Принципы работы малого и среднего бизнеса изменились навсегда — но изменились и способы атак на него. Команды распределены, SaaS-инструменты используются для всего — от расчета зарплаты до управления проектами, а подрядчики и поставщики регулярно получают доступ к системам и теряют его. С каждым новым инструментом или сотрудником, у которого есть доступ, число потенциальных точек входа растет.
Расширение этой поверхности атаки важно потому, что атаки на основе учетных данных, включая фишинг, захват аккаунтов и кражу паролей, стали одним из самых распространенных способов компрометации компаний. Они работают именно потому, что доступ разросся и его стало трудно отслеживать. Теперь злоумышленнику достаточно найти один действующий набор учетных данных, чтобы обойти защиту вашей компании.
В этом контексте должно обнадеживать, что более половины малых предприятий сейчас используют корпоративный менеджер паролей. Но Отчет Proton о кибербезопасности малого и среднего бизнеса за 2026 год — глобальное исследование с участием 3000 руководителей предприятий малого и среднего бизнеса — показал, что каждое четвертое предприятие все же столкнулось с утечкой в прошлом году.
Все это указывает на разрыв между внедрением инструментов и тем, как ими пользуются на практике.
Как малые и средние компании сегодня используют менеджеры паролей
Большинство менеджеров паролей созданы для одной задачи: помогать вам запоминать пароли. На практике это означает создание сложных и уникальных паролей и хранение их в зашифрованном хранилище. Это значительно лучше обычной практики повторно использовать одни и те же учетные данные в разных аккаунтах и на разных платформах.
Но поскольку пароли остаются для злоумышленников самой простой точкой входа, малым и средним компаниям нужен менеджер паролей, который делает гораздо больше, чем просто решает проблему запоминания и удобства. Он нужен, чтобы защищать доступ.
Доступ — гораздо более широкий вопрос. Есть ли у нужных людей нужные учетные данные — и знаете ли вы, к чему именно они открывают доступ и попали ли они не в те руки? И по мере роста команд, накопления подписок и постоянной смены подрядчиков вашей организации нужно переходить от простого усиления паролей к учету реальных угроз безопасности.
Именно на такой шаг большинство компаний не идет, пока что-нибудь не пойдет не так.
Где компании ошибаются при внедрении менеджеров паролей
Главный вывод нашего отчета таков: компании, внедряющие менеджеры паролей, используют их непоследовательно.
Небезопасный обмен учетными данными по-прежнему встречается на удивление часто:
- 33% делятся ими в общих документах или электронных таблицах
- 30% делятся учетными данными по электронной почте
- 27% делятся ими через приложения для обмена сообщениями
- 25% записывают их
- 24% делятся ими устно
Это типичная картина: занятые люди выбирают самый быстрый путь из доступных в данный момент. Вместо того чтобы переключиться в приложение менеджера паролей и поделиться новыми учетными данными через предназначенное для этого хранилище, они могут просто вставить их в Slack или в электронное письмо.
Обходные решения по отдельности кажутся безобидными. Но со временем учетные данные оказываются разбросанными по почтовым ящикам, историям чатов и общим документам, и потом в этом трудно разобраться. Когда сотрудник уходит, позже уже нельзя отозвать доступ. А быстро обновить пароли после утечки данных становится невозможно, если они не сохранены централизованно в безопасном месте.
Обучение, направленное на соблюдение политик безопасности, может помочь, но наше исследование показало, что и этого недостаточно…
Почему одного обучения по вопросам безопасности недостаточно
Наш отчет показал, что 39% SMB-компаний столкнулись с инцидентом безопасности, вызванным человеческой ошибкой. Эту статистику легко неверно истолковать: естественная реакция — предположить, что чем внимательнее сотрудники, тем меньше инцидентов.
Но в такой постановке упускается важное: системы безопасности, которые требуют безупречного поведения в условиях ежедневного давления, всегда будут разбиваться о реальность. Ошибки происходят не потому, что людям все равно, а потому, что безопасный вариант часто требует больше времени и усилий, чем типичная SMB-компания может себе позволить. Даже команды с лучшими намерениями будут искать обходные пути, когда у них не хватает ресурсов.
Долговременное решение — не в дополнительном обучении. Оно в том, чтобы проектировать системы, где безопасный вариант одновременно является и самым простым.
Когда безопасно делиться доступом не сложнее, чем отправить пароль в сообщение чата, люди будут так и делать.
Когда проблема доступа выходит из-под контроля
Проблема учетных данных усугубляется по мере роста команд.
Сейчас 86% SMB-компаний полагаются на облачные сервисы в повседневной работе. Обычно это означает, что учетные данные расползаются по инструментам управления проектами, финансовым платформам, маркетинговому программному обеспечению, файловым хранилищам и клиентским системам, у каждой из которых свои разрешения и своя история доступа.
Доступ рассеивается не только между системами; он распространяется по всей организации, переходя между командами, внешними партнерами, подрядчиками и бывшими сотрудниками, у которых все еще может сохраняться возможность входа.
Это означает, что на практике учетные данные накапливаются, старые права доступа продолжают сохраняться, а число людей, у которых есть — или когда-то были — ключи к вашим наиболее чувствительным системам, становится слишком большим, чтобы его можно было легко отслеживать.
Наличие инструментов еще не означает защищенность
SMB-компании, столкнувшиеся с нарушениями безопасности в прошлом году, не экономили на защите: 92% активно инвестировали в инструменты безопасности. У них были менеджеры паролей, электронная почта с шифрованием, обучающие программы и письменные политики. Иными словами, на бумаге их настройки выглядели надежными.
Многим не хватало последовательного контроля за соблюдением требований. Многофакторная аутентификация (MFA) была включена, но не являлась обязательной, менеджеры паролей были внедрены, но не встроены в повседневные привычки, а процессы онбординга и офбординга велись не системно, а неформально. Учитывая популярность браузерных менеджеров паролей, мы предполагаем, что многие вообще не использовали централизованную командную платформу, а вместо этого полагались на набор менее безопасных решений на уровне отдельных сотрудников.
Каждый такой небольшой пробел остается незаметным ровно до того момента, пока из-за него не возникает проблема.
Настоящий показатель надежности настройки безопасности — не список инструментов, а то, выдерживают ли эти инструменты ежедневное давление реальных рабочих процессов.
Вот несколько практик, которые помогут вашему бизнесу приблизиться к этой реальности:
- Используйте менеджер паролей, созданный для команд. Менеджеры паролей в браузере не только менее безопасны, но и не дают администраторам инструментов, необходимых для полного контроля над вашими аккаунтами. Если у вас нет корпоративного менеджера паролей, которым удобно пользоваться, этого будет недостаточно.
- Проверьте, у кого сейчас есть доступ и к чему. Просмотрите списки пользователей в ваших наиболее критичных инструментах и проверьте, нет ли там неожиданных имен.
- Замените общие данные для входа индивидуальными аккаунтами. Хотя делиться данными для входа в менеджере паролей удобно, это не лучшая практика: общие данные для входа снижают прозрачность на уровне аккаунта, из-за чего сложнее выявить утечку и отреагировать на нее.
- Сделайте многофакторную аутентификацию обязательной. MFA — один из самых эффективных методов защиты, но только если она обязательна по умолчанию, а не оставлена в виде необязательной настройки.
- Сделайте отключение доступов при уходе системным. Каждый уход — будь то сотрудник, подрядчик или поставщик — должен сразу приводить к проверке прав доступа, а не становиться тем, о чем вспоминают постфактум.
Хотите узнать, что еще можно узнать из нашего опроса 3 000 руководителей компаний на шести ключевых рынках? Подробнее — в нашем SMB Cybersecurity Report 2026. Вы узнаете, что вызывает утечки и во сколько они на самом деле обходятся, где чаще всего возникают ошибки из-за человеческого фактора и как переход в облако и внедрение ИИ создают новые слепые зоны. В отчете также есть практические шаги по усилению защиты, которые работают в реальных условиях.
