Как не попасть под налоговую проверку за переводы на карту

Разбираем, какие поступления под пристальным вниманием ФНС и как обезопасить себя.

С июля 2025 года ФНС получила расширенные возможности мониторинга переводов между физлицами. Это - продолжение тренда на обеление доходов и борьбу с «теневой» занятостью.

Какие переводы вызывают интерес налоговой
- Регулярные поступления от разных лиц - особенно одинаковыми суммами
- Деньги без комментариев («перевод без назначения»)
- Оплата за услуги/товары на личную карту, если вы не ИП или самозанятый
- Продажа авто/аренда, когда нет декларации, но деньги поступили
- Подарки от посторонних лиц - если нет подтверждений

Пороговые значения (ориентиры)
- До 30 000 ₽ в месяц от частных лиц - почти всегда остаются вне внимания
- Свыше 100 000 ₽ в месяц - высока вероятность запроса
- Разовый перевод от 100 000 ₽ - практически гарантировано привлечение внимания

Важно: даже при малых суммах, если переводы регулярные и систематичные - они могут быть признаны доходом.

НДФЛ 13–15% могут начислить на:
- Доходы, если вы не зарегистрированы как ИП/самозанятый
- Оплату от клиентов на личную карту
- Подарки от знакомых/дальних родственников
- Любые поступления без объяснений, если не докажете, что это не доход

Освобождаются от налога:
- Переводы между собственными счетами
- Официальные выплаты (зарплата, пенсия, пособие)
- Подарки от ближайших родственников (жена, дети, родители)
- Возврат долга - при наличии подтверждающих переписок, чеков

Как снизить риски:
- Указывайте назначение: «возврат долга», «подарок от жены», «на день рождения»
- Сохраняйте переписки, чеки, квитанции
- Не принимайте оплату на личную карту, если работаете с клиентами
- Зарегистрируйтесь как самозанятый или откройте счёт для бизнеса
- Избегайте переводов через чужие карты - ФНС это отслеживает

Зарождение Google

Google начинался с пробки, кнопки «Reset» и инженерного упрямства

Сегодня дата-центры Google - это сотни тысяч серверов, распределённые по всему миру, разработанные и собранные под задачи компании.

А в самом начале всё было иначе.

В конце 90-х у Ларри Пейджа и Сергея Брина не было миллионов долларов и премиального железа. Были идеи, алгоритм PageRank и гараж.
Первые серверы Google собирались вручную, на дешёвых комплектующих.
Изоляцию делали из пробковых досок - так дешевле. На каждом корпусе была кнопка перезагрузки - потому что отказы были нормой. Этот «зоопарк» получил прозвище Corkboard cluster.

К 1999 году Google сделал свой первый крупный заказ - 1680 серверов.
Каждый - на Pentium II, с 256 МБ памяти и двумя винчестерами.
$2,3 млн на всю партию.
Систему охлаждения проектировали сами. Платформу - подбирали под архитектуру, а не наоборот.

Что в итоге определило успех?
Не железо.
Инженерный принцип: "система должна уметь падать, но не ломаться".
Google делал ставку не на надёжность отдельных узлов, а на устойчивость всей системы. Падение одного сервера не критично, если это предусмотрено архитектурно.

Это и стало основой того, что мы сегодня называем облачной архитектурой:
горизонтальное масштабирование, отказоустойчивость через софт, гибкость, независимость от вендоров.

Урок для ИТ-руководителей и предпринимателей:
Сильная инфраструктура - не обязательно дорогая.
Но она всегда системная.
Всё держится не только на железе, а на правильной ИТ-архитектуре и мышлении на уровне всей системы.

Волков про ИТ

ИТ в условиях банкротства: как защитить данные и не потерять контроль над бизнесом

Когда компания входит в процедуру банкротства, первым делом режут ИТ-бюджет.

Но ИТ - это не просто сервера и лицензии. Это:
- Доступ к 1С, ЭЦП и документообороту
- Контроль над данными и клиентскими базами
- Возможность сдачи отчётности и защиты активов
- Основа для работы даже в "остаточном режиме"

Один не верный шаг - и вы теряете не только данные, но и возможность управлять бизнесом.

В статье разбираю:
- Какие ИТ-риски возникают в банкротстве
- Почему важно поддерживать ИТ инфраструктуру до конца процедуры
- Как ИТ-аудит помогает сохранить управляемость
- Реальные кейсы: как мы спасали клиентов в Soltecs

Чек-лист для собственников: что нужно сделать до и во время банкротства, чтобы не попасть в ИТ-хаос.

Читайте статью полностью: https://vc.ru/id3440491/2108074-it-v-usloviyah-bankrotstva-kak-zashitit-dannye-i-ne-poteryat-kontrol-nad-biznesom

Если вы - собственник, топ-менеджер или конкурсный управляющий - напишите, мы поможем защитить данные и инфраструктуру.

Soltecs - когда ИТ важно даже в кризис.

Волков про ИТ

Информационная безопасность — это не только про фаерволы или антивирусы. Это про мышление.

"История вымышленная"

В компании, где директор сейчас в Шанхае, а бухгалтер в Москве, случилось ЧП.

10:14 утра. На почту главбуха приходит письмо от директора: «Переведи 18,2 млн - срочно. Счёт за оборудование. Я улетаю». Всё вроде по делу. Подписи нет, но в последние месяцы у всех завал, формальности забыты. Новый цех, экспорт, первый контракт с Азией - не до приветствий.

Бухгалтер проверяет реквизиты, оформляет платёж. Через пару часов - звонок:
- Ты китайцам перевела?
- Конечно, как только директор написал.
- Какой директор? Он четыре часа в небе - он ничего не писал.

Почту взломали. Использовали старый неотключённый ящик. Поставили переадресацию. Подделали адрес. Подменили отображаемое имя. Всё выглядело "как обычно".

В результате:
- 18 млн улетели в Гонконг - крипта - нет следа
- Заказ сорван, китайцы нашли нового поставщика
- Новый цех — отложен на полгода
- Минус 20+ млн руб., срыв экспортных планов
- Ушли сотрудники, проверка налоговой, заявление от бухгалтера на столе

Кибербезопасность - это не антивирус. Это осознанность на всех уровнях. Это культура проверки, здоровое недоверие, выстроенные процессы.

- У тебя в компании есть регламент на случай «подозрительных писем от руководства»?
- Сотрудники умеют распознать фишинг?
- Старые почты отключены и учетные записи деактивированы?

Если на любой из этих вопросов ответ - «не уверен», пора задуматься. Потому что даже один пробел может стоить месяцы развития и десятки миллионов.

Волков про ИТ

С днём системного администратора!

Когда-то и я был тем самым человеком, который: – настраивал серверы ночью,
– тушил «пожары» в 9 утра в понедельник,
– и всегда знал, что стабильность системы зависит от меня.

Сегодня я хочу сказать важное: системные администраторы - это фундамент любой ИТ-инфраструктуры.
Они не просто подключают принтеры и чинят интернет.
Они — тихие архитекторы стабильности, которые делают возможной работу всего бизнеса.

⚙️ Настроить отказоустойчивость,
🔐 разграничить доступ,
🛡️ выстроить защиту данных,
📦 поднять резерв из бэкапа, когда все рухнуло -
для настоящего профессионала это обычный день.

Сегодня многие забывают, кто стоит за надёжной ИТ-системой.
Но если вы - собственник бизнеса, знайте: сильный системный администратор или надежный подрядчик - это инвестиция в безопасность, стабильность, эффективность и контроль.

И если вы до сих пор думаете, что сисадмин - это про «айтишника с отверткой»,
то, возможно, пора пересмотреть свой подход к ИТ.

Поздравляю коллег, кто прошёл путь от серверной до стратегии.
Ваша работа - не про героизм. Она про ответственность и результат.

«Сапёр» и «Косынка»: обучение через игру, о котором никто не догадывался

Все мы в какой-то момент залипали в «Косынку» или «Сапёра» - игры, которые поставлялись вместе с Windows, будто бы просто для развлечения. Но у Microsoft была совсем другая цель. Игры — лишь интерфейс, за которым скрывалась методичная UX-просветительская работа.

В 1990 году, когда Windows 3.0 только начинала завоёвывать рынок

«Косынка» была внедрена не ради досуга. Её основная задача - научить пользователя базовому навыку работы с мышью. Особенно - технике drag-and-drop, перетаскиванию объектов. Раньше люди работали с клавиатурой и командной строкой. А теперь их нужно было переучить на графический интерфейс.
«Косынка» - это обучающий симулятор. Люди играли, затягивались, не осознавая, что проходят мини-курс по управлению мышью. Перетягивать карты, нажимать правой кнопкой, удерживать - всё это закладывало мышечную память и устраняло страх перед новыми технологиями.

«Сапёр» решал другую задачу. В нём требовалась предельная точность клика - одно неверное движение, и всё взрывается. Тем самым он учил контролировать курсор, развивал точность, а заодно - логику и внимательность. Для пользователей начала 90-х это была реальная прокачка навыков, необходимых при работе с ОС.
Microsoft не просто делала ОС. Они внедряли микрообучение через геймификацию задолго до того, как это стало трендом. Люди осваивали интерфейс и навыки работы мышью - просто потому, что хотели поиграть в «Сапёра».

В 2012 году, когда игры внезапно исчезли из Windows 8 и стали распространяться через Store - это тоже был тест. Только теперь на освоение нового способа установки софта.

Игры, которые казались «бонусом» - на деле были частью стратегии. Обучающая программа, замаскированная под игру, работала лучше любого мануала. Именно поэтому миллионы людей в мире узнали, как обращаться с мышью - не проходя ни одного курса.

Волков про ИТ

Три кита работы с данными: доступность, целостность и конфиденциальность

Любой бизнес сегодня держится на данных. Клиентская база, финансы, документы, CRM, переписки, сервисы - всё это информационные активы. И у этих активов есть три ключевые характеристики, за которыми нужно следить как за деньгами на счёте:

Доступность
Данные должны быть под рукой, когда они нужны. Не «через пару дней восстановим», а сейчас. Неважно, идет ли речь о базе клиентов или отчёте для налоговой - если доступ невозможен в нужный момент, бизнес останавливается.

Целостность
Информация должна быть точной и неизменной. Если в документах пропали строки, в базе клиентов оказались «призраки», а цифры внезапно не сходятся - это уже не данные, а угроза. Ошибки в целостности незаметны, пока не вызовет проблемы.

Конфиденциальность
Не всё, что есть в компании, должно быть доступно всем. Коммерческая тайна, персональные данные, финансы - если это утечёт, последствия могут быть куда серьёзнее, чем просто штраф.

Эти три принципа - доступность, целостность и конфиденциальность - основа любой зрелой IT-инфраструктуры. Если хотя бы один из них не соблюдается, это вопрос времени, когда случится кризис.

Когда мы выстраиваем системы и процессы для бизнеса, мы в первую очередь смотрим именно на это. Потому что IT - это не про «компьютеры работают», а про защиту ресурсов, непрерывность процессов и контроль.

Источник концепции - классическая модель безопасности CIA (Confidentiality, Integrity, Availability).
Но для бизнеса это давно не теория, а практическое руководство.

Волков про ИТ

Web1 → Web2 → Web3
Разбираемся, как менялся интернет - и как это оказывало влияние на нас.

Почему вообще Web1 / Web2 / Web3?
Это не маркетинговые термины. Это три принципиально разных подхода:
– к архитектуре,
– к контролю над данными,
– к роли пользователя.

И если вы предприниматель - важно понимать, в каком "web" живёт ваш бизнес.

Web1 - цифровая витрина (1990–2005)
Интернет был односторонним.
Один публикует - все остальные читают. Всё.

- Статичные сайты без входа и комментариев
- Пользователь = зритель
- Контроль, у владельца сайта

Принцип: «Мы вам покажем, но вы нам ничего не скажете».

Для бизнеса: это как повесить объявление на столбе - увидят те, кто случайно проходил мимо.

Web2 - платформа, на которой зарабатывают на тебе (2005–2020)
Появились соцсети, блоги, YouTube. Люди начали говорить, лайкать, комментировать. И делиться личным.

- Контент создают пользователи
- Власть у платформ (Facebook, Google и т.д.)
- Данные - новая валюта, а алгоритмы решают, что ты увидишь и кому ты покажешься.
Принцип: «Ты создаёшь - мы зарабатываем».

Для бизнеса: вы можете «присутствовать», но правила задаёте не вы, а алгоритмы. Подписчики - не ваши. Доступ завтра могут отрезать.

Web3 - кошелёк и блокчейн (с 2020-х)
Децентрализация, криптокошельки, smart-контракты. Идея в том, что контроль должен быть у тебя.

- Учетные записи - это кошельки
- Всё хранится в блокчейне
- Нет логинов, только ключи
- Смарт-контракты - код вместо юристов

Принцип: «Сам себе платформа. И сам за всё в ответе».

Для бизнеса: можно строить независимые сервисы, где нет посредников. Но пока это сложно, неудобно и небезопасно для новичков.

Итого:

Web1 - ты смотришь

Web2 - ты создаёшь, но не владеешь

Web3 - ты владеешь, но и рискуешь сам

Что дальше?
Вероятно, Web2.5 - гибрид, где привычные интерфейсы работают поверх децентрализованных решений.

Кто первым найдёт баланс между удобством и контролем - тот и соберёт новый интернет под себя.

Волков про ИТ

С 1 августа Россияне могут отказаться от рекламных SMS

Теперь отказаться от навязчивых рекламных SMS стало проще: с 1 августа 2025 года абоненты всех российских операторов могут официально подать заявление на отказ от рассылок. Сделать это можно онлайн на сайте оператора или лично в салоне связи. Рассылки должны прекратиться уже на следующий день.

А с 1 сентября появится новая функция - запрет на массовые обзвоны. Это часть первого пакета мер по борьбе с кибермошенничеством, утверждённого правительством весной этого года.

Что это даёт:

- Уменьшается количество потенциально мошеннических сообщений и звонков
- Появляется контроль над тем, какую информацию вы получаете
- Повышается цифровой комфорт и безопасность

Детали и заявления - на сайте вашего оператора или в его офисах.

Источник: Минцифры РФ официальное сообщение

Реальный кейс: как потерять $380 млн, не спросив “А вы точно наш сотрудник?”

Недавно произошёл инцидент, который должен быть наглядным уроком для любого бизнеса.

Компания Clorox - крупный производитель бытовой химии - потеряла $380 млн из-за элементарной ошибки в техподдержке. Хакер просто позвонил, представился сотрудником и попросил сбросить пароль. Личность не проверили. Позже - второй звонок: просьба отключить MFA (многофакторную аутентификацию) для Okta и Microsoft-аккаунтов. И снова - доступ предоставлен.

Итог:
– заражение ИТ-инфраструктуры
– остановка производства
– утечка данных
– и многомиллионные убытки

Вывод:
Любой запрос на доступ к системам и данным должен проверяться. Минимум - проверка личности и согласование ответственного лица. Идеально - работающая система авторизации и согласований.
В Soltecs мы десятки раз сталкивались с ситуациями у клиентов , где “удобство” побеждало безопасность. Но именно такие «удобства» потом обходятся слишком дорого.

Если у вас в компании техническая поддержка или системные администраторы работают без формализованного процесса выдачи доступов - это прямая угроза безопасности. Даже если у вас всего 5 сотрудников.

Важно:
Проверьте свои процессы.
Подумайте, кто и как может получить доступ.
Обсудите, нужна ли вам двухфакторная идентификация.
И, наконец, зафиксируйте это всё регламентом - чётким и обязательным.

Ссылка на кейс: Ars Technica, июль 2025

Волков про ИТ

Цифровой суверенитет: будущее, которое уже наступает

Мы всё чаще сталкиваемся с новостями, которые по отдельности кажутся случайными, но на самом деле – это части одной большой мозаики. За последнюю неделю:

– Российский мессенджер MAX активно выходит на рынок
– Telegram планирует официальное представительство в РФ
– Госдума разрабатывает законодательные меры против рекламы VPN и доступа к экстремистским материалам

Что это значит в целом?
Это не просто шаги в сторону регулирования интернета – это сигнал к формированию новой цифровой архитектуры, где вопрос контроля, идентичности и безопасности становится приоритетом.

Цифровой суверенитет – это не лозунг, а новая реальность.
Страны больше не хотят быть просто пользователями чужих технологий. Они стремятся стать владельцами собственной цифровой экосистемы – с независимыми сервисами, платформами, банкингом и контентом.

Китай уже давно это делает. США идут по тому же пути, просто у них свои продукты давно стали мировыми стандартами. Россия – догоняющий игрок, но уже с понятной траекторией.

И вот важный поворот:
Скоро модель «открытого интернета» перестанет быть эталоном. Она уступит место закрытым цифровым экосистемам, где доступ к внешнему контенту и влиянию будет контролироваться.

Это не «цифровой гулаг». Это – защитная оболочка в условиях, где:

– информация = оружие
– смартфон = инструмент пропаганды
– культурное влияние = способ навязать чужую модель поведения

Кто не сможет защитить себя – станет марионеткой чужих интересов.
И здесь вопрос не только в технологиях, но и в культуре, мышлении, привычках.

Мы всё ещё любим говорить о свободе, открытости, глобализации. Но будущее идёт по другому пути.

В этом новом мире необходим контроль над цифровой средой. Над тем, какие идеи попадают в головы граждан, как передаётся информация, какие технологии используются, какие деньги обращаются. Цифровой рубль – часть этой системы.

Это уже не про выбор, а про необходимость.

Мир становится «закрытым» – и нам приходится адаптироваться.

Да, это может идти вразрез с нашими привычками, особенно в мегаполисах, где культурное влияние Запада ещё велико.

Может показаться, что это путь к ограничению свободы.
Но на деле – это попытка сохранить устойчивость.

Мы все – и бизнес, и государство, и граждане – входим в новую цифровую эпоху. Не по своей воле, а потому что так устроен тренд.

Важно только одно:
иметь голову на плечах и понимать, куда всё движется.
Тот, кто осознаёт, – может адаптироваться, выстроить собственную систему, быть избирательным в том, что потребляет в цифровом мире и не стать жертвой чужой игры.

Эмоциональная зависимость от ИИ у подростков: что показало новое исследование

Common Sense Media опубликовала отчёт “Talk, Trust, and Trade-Offs: How and Why Teens Use AI Companions”, проведённый NORC при Чикагском университете в апреле–мае 2025 года (опрос 1 060 подростков из всех штатов США) - краткий обзор на TechCrunch. Результаты заставляют задуматься о рисках эмоциональной зависимости от искусственного интеллекта у молодых пользователей и вызывают серьёзные вопросы к будущему цифровой среды.

Ключевые данные из отчета:

- 72% подростков уже общались с ИИ-компаньонами
- 52% делают это регулярно
- 33% используют ИИ для эмоциональной поддержки, ролевых игр или романтических переписок
- 24% делятся личной информацией, не осознавая, что она может использоваться платформами бессрочно
- 50% не доверяют советам ИИ, но всё равно продолжают взаимодействие
- 33% обсуждали с ИИ серьёзные личные темы вместо людей

Из этого следует, что архитектура ИИ-компаньонов часто строится на подстройке под пользователя - согласии с ним и постоянной эмоциональной поддержке. Это формирует иллюзию дружбы и может усиливать зависимость.

Мне кажется, что пока нет действенных механизмов проверки возраста и персонализации контента, использование таких сервисов детьми без контроля выглядит рискованно. Даже Сэм Альтман, CEO OpenAI, которые разработали ChatGPT, признаёт, что чрезмерная эмоциональная опора на ИИ у подростков - тревожный сигнал (его комментарий).

ИИ способен давать пользу, он все больше проникает в нашу жизнь и повседневные привычки, но требует грамотного и осторожного применения. Особенно, когда речь идёт о формировании личности и эмоциональной устойчивости подростков.

Волков про ИТ

Где и как хранить секретные файлы: мини гайд по личной безопасности данных

Сегодня разложим по полочкам: как правильно хранить самые важные личные файлы, пароли и секретные фразы, как их резервировать, защищать и шифровать.

Классификация данных по уровню важности
Важно осознавать, что все файлы не равны. Разделите свои данные по критичности:

- Системные бэкапы – 1/10: удобно восстанавливать, но потеря не критична
- Текущие рабочие файлы – 3/10: важно для повседневной работы, но заменимо
- Копии бумажных документов – 5/10: сложно восстановить, но не критично
- Личный архив (фото, видео) – 8/10: ценность - эмоциональная, будет обидно потерять
- Секреты: файлы, ключи, пароли, криптокошельки – 10/10: потеря = катастрофа.

Принципы хранения:

1. Минимизация поверхности риска:
Храните только то, что действительно нужно. Всё остальное - удаляйте.

2. Закон трёх копий:
- Основная копия на рабочем устройстве
- Резервная - на внешнем носителе (SSD/HDD) или сетевом устройстве хранения (NAS)
- Облачная - в надёжном зашифрованном облаке

3. Географическая децентрализация:
Хранение копий в разных локациях спасает от пожара, кражи или отключения света

Шифрование - без него никуда

- Для архивов: 7-Zip с AES-256 + сложный пароль
- Для дисков: Veracrypt, BitLocker, FileVault
- Для облаков: Cryptomator

Дополнительно: всегда используйте двухфакторную аутентификацию.

Инструменты для хранения паролей и ключей

- Менеджеры паролей: Bitwarden, KeePassXC, 1Password (обязательно резервная копия базы по закону 3х копий)
- Мнемонические парольные фразы для кошельков (12 или 24 слова): физическая копия + шифрованный дубликат на USB

Если используете аппаратные кошельки: Ledger, Trezor, не держим seed-фразу рядом!

Резервное копирование: автоматизируй или потеряешь

Резервные копии нужно делать регулярно - вручную это неудобно, требует ответственности, поэтому лучше один раз настроить автоматическое копирование и все равно периодически следить за его выполнением.

Для этого подойдут простые и надёжные инструменты:
Duplicacy, Acronis, Synology (для владельцев NAS) - они умеют создавать копии и шифровать их.

Чтобы всё работало без вашего участия, настройте автоматическое выполнение:
например, по расписанию каждый день или раз в неделю.

Безопасность - это не разовое действие, а постоянный процесс.
Если ты всерьёз относишься к своим данным - особенно к ключам, паролям и кошелькам - потратьте время и выстройте систему хранения сейчас, а не когда уже будет поздно.

Волков про ИТ

📵 Звонки в мессенджерах

На этой неделе в России произошло нечто, что нельзя назвать иначе как системным поворотом. Роскомнадзор официально подтвердил блокировку голосовой связи в WhatsApp и Telegram - двух ключевых каналах коммуникации для большинства россиян.

Формальная причина - борьба с мошенниками. Но давайте говорить честно: мошенники атакуют по всем каналам - и по сотовой связи, и через СМС, и через e-mail, и через фальшивые сайты. Блокировка звонков в мессенджерах - это не борьба с мошенничеством, это демонтаж привычной, понятной и что важно, бесплатной инфраструктуры для общения.

Цифры говорят сами за себя: WhatsApp используют ежедневно 68% россиян, Telegram - 55%.

Многие семьи, особенно пожилые люди, полностью перешли на звонки через мессенджеры - потому что это понятно, просто, дешево и, зачастую, единственный доступный способ связи.

Мы все адаптируемся. Подстроимся, научим друг друга, найдем обходные пути. Но для старшего поколения - это не просто "неудобство". Это может быть настоящим разрывом связи с миром. Когда нет сил и желания осваивать новое, а привычный канал - исчез. Я знаю, что для многих звонок детям и внукам - это не просто коммуникация, это смысл жизни.

Последствия, на самом деле, куда глубже, чем кажется:
- удар по цифровой независимости общества
- усиление контроля над частной коммуникацией
- открытие лазейки для следующих ограничений
- стимул для мошенников, которые начнут предлагать пожилым людям «альтернативы» - часто фейковые
перечислять можно долго....

Я как специалист в сфере ИТ и ИБ не могу не задаться вопросом: если причина - мошенники, то почему решение - лишить миллионы людей инструмента общения, а не улучшить цифровую гигиену и просвещение?

Самое простое, что мы можем сделать - это чаще звонить любым способом своим близким. Особенно родителям. Объяснять, помогать осваивать, обучать, быть рядом. Когда отключают системы, должна включаться человечность.

Периодическая смена паролей - устаревшая практика

До сих пор во многих компаниях, особенно в корпоративном секторе, сохраняется формальное требование - менять пароли по графику: раз в 30, 60 или 90 дней. Это правило воспринимается как аксиома безопасности, хотя уже давно пора признать: оно не только неэффективно, но и может создавать дополнительные риски. Особенно в контексте современных угроз и привычек пользователей.

Я регулярно сталкиваюсь с этим на практике - в компаниях, которые обращаются к нам в Soltecs за консультацией или сопровождаем. Люди воспринимают смену пароля не как усиление защиты, а как очередное неудобство. Что они делают? Меняют одну цифру в конце или повторяют старый пароль с минимальной модификацией. По сути - создают предсказуемые схемы, которыми легко воспользоваться злоумышленнику.

В мае 2019 года Microsoft убрала обязательную смену паролей из своих базовых политик безопасности для Windows 10 и серверных систем. Это было не просто очередное обновление, а осознанное признание: политика регулярной смены пароля - неэффективна. Вот что они написали:

«Если ваш пароль не украден - нет причин его менять. А если украден - вы не будете ждать истечения срока, вы захотите действовать немедленно».

И далее:

«Если вы предполагаете, что пароль может быть скомпрометирован - каков приемлемый срок, в течение которого злоумышленник может им пользоваться? 42 дня? 60? Регулярная смена пароля вводит массу проблем, но не даёт реальной пользы - особенно если пароль в итоге легко подбирается или повторно используется».

Полный текст Microsoft Security Guidance: по ссылке

В современных реалиях гораздо более эффективны другие меры:

- многофакторная аутентификация (MFA)
- запрет на использование слабых или украденных паролей (через проверку по базам утечек)
- системное обнаружение аномального поведения (необычные входы, подозрительные действия)
- блокировка после попыток брутфорса
- обучение персонала цифровой гигиене

И вот в чём парадокс: если все эти меры внедрены - то график смены пароля просто не нужен. А если они не внедрены - никакой график не спасёт. Получается, что во всех вариантах старая практика либо избыточна, либо бесполезна.

Более того, Microsoft официально исключила этот параметр из руководства по аудиту. То есть - если ваша система безопасности построена грамотно, то не будут обращать внимание, что вы не меняете пароли каждые 90 дней. Напротив - могут отметить зрелый подход к безопасности.

Подчеркну: я не против смены пароля по факту. Если есть основания полагать, что данные могли быть скомпрометированы - сменить пароль, обязательно, нужно. Но это должна быть осознанная реакция на угрозу, а не автоматическая рутина без смысла.

Периодическая смена паролей по графику - это атавизм, который стоит оставить в прошлом. Пользователи устают от требований, придумывают простые схемы, и в итоге безопасность снижается.

А вот если вы хотите действительно усилить защиту - начните с MFA, мониторинга, настройки доступа по принципу минимальной необходимости и обучения персонала. Это работает. А смена цифр в конце пароля - нет.

Волков про ИТ

Как пользоваться VPN осознанно

Сегодня VPN стал для многих привычным инструментом: обойти блокировки, скрыть IP, «чувствовать себя в безопасности». Но как это на самом деле работает.

Давайте посмотрим на факты:
1. В России VPN работает хуже: скорость ниже, часть серверов блокируется, протоколы ограничиваются
2. Бесплатные VPN часто небезопасны: Citizen Lab показало, что некоторые приложения используют одинаковый пароль, зашитый в код. Это значит, что владельцы могут читать ваш трафик.
3. VPN не защищает от того, что сами сервисы (банки, соцсети, маркетплейсы) продолжают собирать данные о вас.

Что это означает:

1. Ваши данные могут утекать через VPN
Бесплатный VPN зарабатывает не на подписке, а на продаже информации. То есть ваши переписки, пароли, интересы и даже финансовые данные могут оказаться в чужих руках.

2. Опасность для кошелька
Злоумышленнику достаточно перехватить доступ к почте через "ненадёжный VPN", чтобы сбросить пароль от банка или криптобиржи. Возможные финансовые потери.

3. Иллюзия защиты
Многие приложения маскируются под VPN, а на деле это обычные прокси без шифрования. Вы думаете, что защищены, а ваши данные уходят открытым текстом.

4. Сбор информации всё равно продолжается
VPN скрывает ваш IP, но не делает вас невидимым. Поведение всё равно анализируется сервисами - например, сколько времени вы проводите в приложениях или что ищете в магазинах.

5. Правовые риски
В России использование VPN само по себе не запрещено. Но:
- реклама VPN-сервисов — под запретом;
- использование для доступа к "запрещённым" материалам может обернуться штрафом.

Как пользоваться VPN осознанно

1. Не доверяйте бесплатным "100% безопасным" приложениям

2. Проверяйте, действительно ли шифруется трафик и меняется IP

3. Используйте VPN как часть общей цифровой гигиены: добавьте приватный браузер, двухфакторную аутентификацию, дисциплину в паролях

4. Разделяйте онлайн-жизнь: личные аккаунты не стоит открывать через сомнительные VPN

VPN - не волшебная кнопка безопасности. Это инструмент, который может быть полезен, при правильном выборе. Понимание рисков надёжнее любых рекламных обещаний - оно дает способность отличить проверенный сервис от небезопасных решений.

Волков про ИТ

Что дороже для бизнеса: новые клиенты или сохранённые данные?

Малый и средний бизнес легко вкладывает деньги в маркетинг: реклама, таргет, CRM, сайты, соцсети.
Но когда речь заходит о защите данных, резервном копировании и плане действий на случай сбоя - почти всегда это остаётся «на потом».

Проблема в том, что «потом» часто наступает внезапно.

По статистике 64% компаний после серьёзной кибератаки теряют клиентов и партнёров. 47% признают, что им стало сложнее привлекать новых.
И дело не в конкуренции. Просто бизнес не смог вовремя обслужить тех, кто уже доверился.

Представьте, что в понедельник утром:

- заблокирован доступ к базе клиентов
- бухгалтерия и 1С не работают
- все файлы зашифрованы
- почта и переписка исчезли
- сотрудники сидят без задач

Сколько дней в таком режиме ваш бизнес сможет выжить?
Для большинства - это не недели, а всего несколько дней.

Почему компании соглашаются платить выкуп хакерам?

- Боятся репутационных потерь
- Нет резервных копий
- Бизнес встал, и кажется: проще «заплатить и вернуться к работе»
- Сомневаются, что смогут восстановиться своими силами

Но, только 7% компаний получают все данные обратно после выплаты выкупа, но даже после этого, их данные могут быть опубликованы в интернете.
Остальные теряют и деньги, и клиентов.

Что реально работает:

- Резервное копирование. Экономит сотни тысяч рублей и дни простоя
- Обучение сотрудников. 60% атак начинаются с фишинга. Осознанность снижает инциденты почти вдвое
- Отказ от устаревших систем. Старое ПО и «костыли» = +50% к рискам
- Надёжная ИТ-инфраструктура, когда системы изначально настроены правильно, вероятность критического сбоя в разы ниже
- Техническая поддержка, в кризис важна скорость реакции: чем быстрее устранён сбой, тем меньше убытков

Вывод: сохранённые данные и готовность к сбоям стоят дороже новых клиентов.
Потому что без них бизнес просто перестаёт существовать.

В Soltecs мы выстраиваем надёжную ИТ-инфраструктуру, обеспечиваем защиту данных и предоставляем полный комплекс услуг по сопровождению.
Мы можем стать надежным партнёром по защите данных и вашего бизнеса.

Волков про ИТ

Социальная инженерия: главное оружие против безопасности

На днях прочитал книгу Джека Шафера «Включаем обаяние по методике спецслужб». Автор - бывший агент ФБР, обучавший сотрудников методам установления доверия. Читая её, я в очередной раз убедился: социальная инженерия - это не выдумка хакеров, а проверенный десятилетиями инструмент работы с людьми.

Когда мы говорим про ИБ, обычно представляем вирусы, уязвимости, взломы через код. Но на практике всё куда проще: почти 80% успешных атак на компании начинаются с социальной инженерии. Звонок «от банка», письмо «от директора», просьба «сбросить пароль» - и вот система сдана без единой строчки кода.

Шафер описывает «формулу дружбы»: близость, частота, длительность и интенсивность контакта. В ФБР её использовали, чтобы склонять людей к сотрудничеству. В руках злоумышленника это превращается в классический фишинг и pretexting:

1. «близость» - регулярные касания (звонки, письма, мессенджеры)
2. «частота и длительность» - постоянное поддержание контакта, чтобы жертва привыкла
3.«интенсивность» - игра на эмоциях: срочность, страх, любопытство

По сути, это и есть методичка по социальной инженерии. Только у ФБР цель была вербовка агентов, а у атакующих сегодня - кража данных и денег.

Что важно: понимая эти техники, можно им противостоять. Если вы замечаете слишком навязчивые контакты, игры на доверии или чрезмерное давление на эмоции - почти наверняка перед вами манипуляция. И в корпоративных системах именно обучение сотрудников часто эффективнее, чем любой антивирус.

А теперь - обратная сторона: те же приёмы можно использовать и в «мирных» целях - выстраивать доверие с клиентами, партнёрами, коллегами. Разница лишь в том, используем ли мы эти навыки для созидания или для обмана.

Социальная инженерия - это та точка, где психология и информационная безопасность напрямую пересекаются. И именно через неё чаще всего атакуют системы. Поэтому читать такие книги полезно не только для прокачки харизмы, но и для развития навыка киберзащиты.

Волков про ИТ

Безопасность - это люди: почему малый бизнес под ударом не меньше корпораций

В мире киберугроз давно стало очевидно: самые сложные атаки используют человеческий фактор. И неважно, идёт ли речь о международной корпорации или о небольшой компании с десятком сотрудников.

Недавние громкие кейсы показали: даже в крупнейших организациях страны пароли до сих пор хранятся в файлах на рабочем столе, а критически важные системы работают на устаревших версиях операционных систем. И это при том, что у корпораций есть бюджеты, ИТ специалисты и целые отделы ИБ.

А что у малого бизнеса?
Там всё ещё проще - и потому опаснее. Нет ИТ-отдела, нет постоянного контроля, нет резервных копий. И если корпорация может позволить себе потерять пару дней на восстановление, то для малого бизнеса даже несколько часов простоя может обернуться потерей клиентов и денег.

Почему именно люди становятся слабым звеном
- сотрудник открыл «письмо от банка» и сам передал злоумышленникам доступ
- бухгалтер поставила пароль «123456», потому что «так проще запомнить»
- менеджер сохранил клиентскую базу в Google-диск без защиты
- владелец бизнеса решил «не обновлять систему, пока работает»

Это мелочи, но именно они и открывают дверь для сложных целевых атак (APT), которые всё чаще направлены не только на корпорации, но и на небольшие компании.

Чем это грозит малому бизнесу
- простой даже на один день = сорванные сделки и потерянные клиенты
- утечка данных = удар по репутации, отток партнёров и недоверие
- мошеннические схемы = прямые финансовые потери, которые невозможно компенсировать

При этом важно понимать: речь не о дорогих системах безопасности из мира корпораций. Для малого бизнеса достаточно базовых вещей:

1. навести порядок в ИТ-инфраструктуре
2. обновить устаревшее ПО
3. настроить резервное копирование
4. внедрить простые правила безопасности для сотрудников
5. объяснить команде, что именно они - первая линия защиты

Практика показывает: компании, которые вкладываются не только в технологии, но и в людей, гораздо реже становятся жертвами атак.

Что мы делаем в Soltecs: мы помогаем малому и среднему бизнесу выстраивать ИТ и безопасность так, чтобы предприниматель мог сосредоточиться на росте компании, а не на рисках.

Волков про ИТ

Взлом на заказ: новая «услуга» на рынке теневой экономики

Мир киберугроз меняется быстрее, чем бизнес успевает адаптироваться. Ещё несколько лет назад «взлом по заказу» звучал как сюжет фильма. Сегодня - это реальный сервис в даркнете: за деньги можно нанять группу хакеров, чтобы сломать конкурента, украсть клиентскую базу или вывести из строя сайт.

Важно: речь не о крупных корпорациях, а именно о малом и среднем бизнесе. Вы - более уязвимая цель, потому что у вас:

- Нет выделенной команды кибербезопасности
- ИТ-инфраструктура часто строится «по факту», без стратегии
- Сотрудники используют слабые пароли, личные почты, публичные облака и мессенджеры для работы

Что это значит для предпринимателя?

- Конкурент может «ударить» по вам не только в офлайне. Цифровые атаки становятся частью конкурентной борьбы
- Цена входа в киберпреступность падает. За относительно небольшую сумму можно заказать DDoS-атаку, фишинг-рассылку или даже взлом корпоративной почты
- Репутация страдает первой. Клиенты не будут разбираться, кто виноват - они просто уйдут к другим

Что делать:

- Пересмотреть базовую ИТ-гигиену (резервные копии, сложные пароли, двухфакторная аутентификация)
- Проверить, как ваши данные хранятся и где уязвимости
- Обучить сотрудников хотя бы основам цифровой безопасности
- Обратиться к профессионалам

И главное - системно подойти к построению ИТ-инфраструктуры, а не «латать дыры».

Сегодня атаки становятся «услугой», завтра они могут стать вашей проблемой.

Волков про ИТ