Когда свои опаснее хакеров: айтишник с Авито, конструктор-фрилансер и утечка данных в банке

Большинство инцидентов информационной безопасности – это не хакеры в капюшонах, которые взламывают системы ради миллионов. Гораздо чаще все происходит куда прозаичнее: бухгалтер переслал файл не туда, инженер работает над сторонним проектом вместо рабочих задач, а айтишник решил подзаработать, продавая «списанное» оборудование.

В этом и проблема – многие компании даже не замечают, что у них воруют данные, пока не становится слишком поздно. Когда репутация испорчена, а информация уже в чужих руках, остается только гадать: можно ли было этого избежать?

Эта статья – о реальных кейсах, когда инциденты произошли. И о том, как их расследуют, предотвращают и почему безопасность – это не только про антивирусы, но и про контроль человеческого фактора.

Продажа маршрутизаторов: как сотрудник превращал списанное оборудование в наличку

Представьте: компания закупает дорогостоящее оборудование, а спустя время его начинают списывать как сломанное. Все вроде бы логично – техника не вечная. Только вот один нюанс: «сломанные» маршрутизаторы всплывают на Авито, да еще и с описанием «в отличном состоянии». Совпадение? Как выяснилось – нет.

Как работала схема

Один хитрый IT-специалист понял, что у него в руках настоящий золотой рудник. Он списывал рабочее оборудование, оформляя его как неисправное. Дальше – еще проще: выставлял на продажу по сниженной цене. Клиенты находились быстро; кому не нужен дешевый роутер?

Компании же оставалось только мириться с тем, что техника «выходит из строя» быстрее, чем положено. И если бы не расследование, все продолжалось бы годами.

Как его поймали

Когда бухгалтерия начала замечать подозрительное количество списанного оборудования, в дело включились специалисты по информационной безопасности. Вот какие шаги помогли разоблачить мошенника:

1. История браузера – среди посещенных страниц нашлось много заходов на сайты объявлений, включая Авито.
2. Скриншоты и кейлоггер – программа зафиксировала, как сотрудник копировал серийные номера списанной техники и размещал объявления.
3. Сверка данных – взяли пару объявлений с Авито, сравнили с документами в бухгалтерии – один в один.

Чем все закончилось

Как только факты сложились в единую картину, сотрудника вызвали на разговор. Придумать правдоподобную отговорку он не смог – слишком много улик. В итоге он был уволен, а в другом похожем случае клиент передал данные полиции.

Вывод? Иногда кража данных – это не про базы клиентов, а про что-то банальнее. Но ущерб от этого не становится меньше.

Работа над сторонними проектами во время рабочего дня: как инженер использовал офис как фриланс-базу

У каждого, наверное, есть коллега, который вечно «очень занят», но при этом не очень понятно, чем именно. Рабочие задачи у него вроде бы есть, но их выполнение почему-то растягивается на недели. Знакомая ситуация? Вот и у одной компании возникли подозрения насчет своего конструктора – слишком уж долго он возился с проектами.

Как обнаружили проблему

Когда сроки начали гореть, а результат так и не появился, пришлось разбираться. Первым звоночком стало то, что инженер активно работал… но не с теми файлами, с которыми должен был.

Вот что помогло его вычислить:

1. Необычное поведение в приложениях – в рабочее время он часами сидел в CAD-программе, но вот беда: ни один из файлов не относился к проектам компании.
2. Файлы хранились не там, где нужно – конструкторам положено работать через внутреннее хранилище, а он зачем-то держал документы на рабочем столе.
3. Скриншоты показали правду – снимки экрана зафиксировали чертежи, которые никак не относились к текущим задачам.

Как разобрались с ситуацией

Раздувать скандал не стали, но и оставлять все как есть – тоже. Инженеру объяснили, что компания платит ему зарплату не за фриланс. С клиентом, на которого он подрабатывал, тоже провели разговор; оказалось, что он даже не подозревал, что работа велась «по серому».

Что изменилось после инцидента

Компанию этот случай заставил пересмотреть подход к безопасности:

• Обновили локальные нормативные акты, чтобы закрыть серые зоны.
• Усилили контроль за хранением рабочих файлов – теперь все, что не в системе, сразу вызывает вопросы.
• Ввели анализ активности в рабочих приложениях – если кто-то рисует чертежи в AutoCAD, но это не его задача, то это уже повод для разбирательства.

Вывод? Не каждый инсайдер – это преступник. Иногда человек просто пользуется ситуацией, не задумываясь, что это тоже нарушение.

Утечка паспортных данных и номеров карт клиентов: когда сотрудники становятся главной угрозой

Если бы вам нужно было слить в сеть кучу конфиденциальных данных, как бы вы это сделали? Через сложные схемы, взломы, обходы защиты? А вот и нет. Иногда достаточно просто… отправить файлы через личную почту или в мессенджере.

Как началась утечка

Одна из сотрудниц банка решила, что правила – это для других. В какой-то момент она начала отправлять клиентские данные через свой личный e-mail и мессенджеры. Зачем? Сложно сказать. Может, хотела ускорить какие-то процессы, а может, была вовсе не так невинна.

Главное – она даже не пыталась скрываться. Пересылала сканы паспортов, номера карт и прочую чувствительную информацию, не задумываясь, что нарушает сразу несколько законов.

Как ее поймали

Тут вступила в игру нейросеть Staffcop, и вот как она сработала:

• Распознавание изображений – система заметила, что в пересылаемых файлах есть сканы паспортов.
• Анализ переписки – алгоритм «Луна» проанализировал текст сообщений и выявил совпадение с номерами карт.
• Подтверждение через скриншоты – после проверки журналов событий стало ясно: сотрудница действительно пересылала конфиденциальные данные.

Чем все закончилось

Инцидент удалось пресечь, но его последствия остались неизвестны – NDA закрыл всю информацию. Однако ясно одно: если бы система не отследила эту утечку, кто-то мог бы использовать эти данные в мошеннических схемах.

Что изменилось после инцидента

• Усилили контроль за пересылкой файлов и сообщений.
• Внедрили автоматический поиск чувствительных данных в отправляемых документах.
• Усилили обучение сотрудников – многие даже не понимают, что нельзя отправлять клиентские данные через личные мессенджеры.

Вывод? Иногда утечки – это не хакеры, а обычные сотрудники, которые просто не думают о последствиях.

Что такое инцидент информационной безопасности и как его классифицировать

Информационная безопасность – это как страховка: пока все идет хорошо, о ней никто не задумывается. Но стоит случиться проблеме – начинается паника. Вопрос в том, что считать проблемой, а что – просто тревожным звонком.

Инцидент или событие: в чем разница?

Каждый день в любой компании происходит сотни событий безопасности. Кто-то забыл разлогиниться, кто-то открыл странное письмо, а кто-то зашел в систему с нового устройства. Это еще не значит, что случился инцидент – это всего лишь потенциальная угроза.

Простая аналогия:

• Событие безопасности – это если кто-то возится у вашей входной двери. Возможно, это курьер, а возможно, вор. Надо проверить.
• Инцидент безопасности – это если дверь уже выбита и из квартиры выносят телевизор. Тут проверять нечего – нужно действовать.

Проще говоря, инцидент – это не просто подозрительное поведение, а реальная угроза, которая уже затронула данные, системы или бизнес-процессы.

Классификация инцидентов: какие бывают угрозы

Не все инциденты одинаково опасны. Какие-то – это мелкие сбои, а какие-то могут обрушить бизнес. Чтобы правильно реагировать, компании классифицируют инциденты по разным критериям.

1. По уровню ущерба

Какой урон нанесла ситуация?

• Критические – утечка персональных данных, кража базы клиентов, удаление важных файлов.
• Средние – компрометация одного аккаунта, заражение вирусом, взлом отдельного устройства.
• Низкие – попытка фишинга, подозрительный логин с нового устройства, обнаружение потенциальной уязвимости.

2. По вероятности повторения

Некоторые угрозы – разовый случай, а другие могут возникнуть снова, если их не устранить.

• Высокая вероятность – слабые пароли, оставленный без защиты удаленный доступ.
• Средняя – случайная ошибка сотрудника, заражение вирусом из-за скачивания файла.
• Низкая – атака с конкретного IP-адреса, который уже заблокирован.

3. По типу угроз

Все инциденты можно разделить на категории по тому, как именно произошла атака:

• Фишинг – мошеннические письма, которые крадут пароли.
• Вредоносное ПО – вирусы, трояны, шифровальщики.
• DDoS-атаки – перегрузка серверов огромным потоком запросов.
• Утечки данных – сотрудник сливает информацию конкурентам.

Компьютерные инциденты информационной безопасности могут включать вирусные атаки, попытки взлома системы, утечку данных через скомпрометированные учетные записи или заражение корпоративных устройств вредоносным ПО.

4. По преднамеренности

Важно понимать: довольно большая часть инцидентов случается не только из-за злого умысла.

• Злонамеренные – кража данных, саботаж, передача информации конкурентам.
• Случайные – сотрудник по ошибке отправил файл не туда, открыл вирусное письмо, забыл ноутбук с важными данными в кафе.

Почему это важно?

Правильная классификация инцидента – это не просто теория. Это помогает:

• Понять, насколько критична угроза и какие действия нужны прямо сейчас.
• Определить, как избежать повторения ситуации.
• Разделить случайные ошибки сотрудников от реальных атак, чтобы не тратить ресурсы на ложные тревоги.

Вывод: события безопасности случаются постоянно, но не каждое из них превращается в инцидент. Главное для будущего расследования – уметь их различать и правильно оценивать риски.

Как выявить инцидент ИБ: тревожные сигналы, которые нельзя игнорировать

Инциденты информационной безопасности не возникают из ниоткуда. Почти всегда им что-то предшествует: странная активность, неожиданные сбои, нехарактерное поведение сотрудников или систем. Вопрос в том, умеете ли вы распознать эти сигналы, пока еще не поздно.

Признаки, что в компании что-то пошло не так

Некоторые инциденты – как удар молнии: случилось и все. Но чаще всего перед взломом или утечкой можно заметить предупреждающие знаки. Вот основные индикаторы компрометации:

1. Снижение производительности систем. Компьютеры и системы начали работать медленнее, чем обычно. Внезапные зависания, частые перезагрузки, долгий отклик – возможно, кто-то извне загружает систему или запущен вредоносный процесс.
2. Аномальная сетевая активность. Резкое увеличение сетевого трафика, особенно ночью. Если в нерабочее время трафик растет в разы – это подозрительно. Возможно, идет утечка данных или кто-то загружает файлы на сторонние серверы.
3. Неожиданные изменения в системе. Внезапное создание новых учетных записей, смена паролей, новые права доступа – все это может означать, что кто-то пытается получить контроль над системой.
4. Странное поведение файлов. Файлы исчезают, меняются или появляются новые без объяснения причин. Если сотрудники не понимают, куда пропали их документы или почему появились странные файлы, это повод для тревоги.
5. Незнакомое ПО. Обнаружение незнакомых программ, процессов или служб. Если в системе появился софт, который никто не устанавливал, особенно с фоновым запуском, нужно немедленно разобраться, что это такое.
6. Подозрительные письма. Если сотрудники получают странные письма от коллег или клиентов, особенно с просьбой срочно открыть файл или перейти по ссылке, это может быть фишинг.
7. Необычная активность пользователей. Аномальная активность учетных записей. Сотрудник, который никогда не работает ночью, вдруг активен в три часа утра? Бухгалтер заходит в систему из другой страны? Такие вещи не должны оставаться без внимания.

Как выявлять инциденты до того, как они станут катастрофой

Просто ждать, пока что-то сломается, – плохая стратегия. Компании, которые серьезно относятся к безопасности, используют комплексный подход:

1. Мониторинг событий безопасности в реальном времени. Если что-то подозрительное происходит в системе, ответственные лица должны знать об этом сразу, а не через неделю.
2. Системы анализа поведения пользователей (UBA). Такие решения отслеживают, как обычно работают сотрудники, и сигнализируют, если кто-то вдруг начинает вести себя нетипично.
3. SIEM-системы. Они собирают данные из разных источников, анализируют их и помогают понять, какие события могут перерасти в реальную угрозу.
4. Агентский мониторинг и анализ пользовательской активности. Например, с помощью Staffcop можно отслеживать, что делают сотрудники, какие файлы они открывают и какие действия совершают в системе.
5. Обучение персонала. Самый слабый элемент безопасности – это человек. Чем больше сотрудники знают о киберугрозах, тем меньше вероятность, что они случайно спровоцируют инцидент.

Инциденты не происходят внезапно. Если смотреть в правильном направлении, можно заметить тревожные сигналы и предотвратить серьезные последствия. Главное – не игнорировать их и использовать правильные инструменты для мониторинга и анализа.

Как правильно реагировать на инциденты ИБ и не усугубить ситуацию

Когда в компании происходит инцидент информационной безопасности, первое желание – срочно что-то делать, лишь бы остановить проблему. Но хаотичные действия могут только усугубить ситуацию. Если паниковать и «глушить» все подряд, можно случайно уничтожить доказательства, заблокировать важные процессы или даже упустить атакующего.

Чтобы этого избежать, нужна четкая схема реагирования.

Первый шаг – оценка ущерба

Прежде чем что-то предпринимать, нужно понять, с чем именно вы имеете дело. Вопросы, на которые нужно быстро найти ответы:

• Какие данные или системы пострадали?
• Это локальная проблема или угроза для всей компании?
• Насколько критичен ущерб?
• Что будет, если ничего не делать в ближайшие 30 минут?

На этом этапе важно не делать резких движений. Например, если атакующий уже внутри сети, просто отключить Интернет – не всегда хорошая идея. Он может успеть удалить следы или ускорить свои действия.

Локализация и сдерживание инцидента

Когда ситуация понятна, нужно предотвратить дальнейший ущерб. Это не всегда значит «отключить все и сразу» – важно действовать точечно.

Основные меры:

• Блокировка скомпрометированных учетных записей.
• Изоляция зараженных систем от сети.
• Ограничение доступа к важным данным.
• Блокировка IP-адресов атакующих, если угроза приходит извне.

Если утечка данных уже началась, нужно как можно скорее понять, какие файлы были переданы и куда. Например, Staffcop позволяет отследить, какие документы были загружены на сторонние ресурсы или пересланы через почту.

Долгосрочные меры: как избежать повторения

Когда экстренные действия закончены, важно не просто «починить» систему, а сделать так, чтобы инцидент не повторился.

Что поможет:

• Сегментация сети – чтобы атака на одно устройство не давала злоумышленнику доступ ко всей компании.
• Жесткие политики доступа – если сотрудник не должен иметь доступ к конфиденциальным данным, у него его не должно быть.
• Дополнительные уровни защиты – например, двухфакторная аутентификация, чтобы даже украденный пароль не позволил взломщику войти в систему.

Создание плана реагирования: чтобы в следующий раз не метаться

Любая компания, которая серьезно относится к информационной безопасности, должна иметь план реагирования на инциденты. Он нужен, чтобы в критической ситуации сотрудники не пытались придумать, что делать, а действовали по инструкции.

Основные элементы такого плана:

• Команда реагирования – кто отвечает за расследование и устранение инцидента?
• Документированные процедуры – что делать при утечке данных, заражении вирусом, взломе аккаунта?
• Взаимодействие с клиентами и регуляторами – если инцидент затронул клиентов или требуется уведомление регуляторов, должно быть четкое понимание, кто и как с ними связывается.

Реагирование на инциденты – это не просто срочное тушение пожара. Это четкий процесс, который должен включать оценку ущерба, сдерживание атаки, устранение последствий и внедрение мер для предотвращения повторных случаев. Чем лучше компания подготовлена к инцидентам, тем меньше потерь она понесет в случае атаки.

Ликвидация последствий инцидента: что делать после атаки, чтобы история не повторилась

Допустим, инцидент случился, и с ним разобрались – зараженные системы изолированы, утечка остановлена, взломанные учетные записи заблокированы. Но это еще не конец. Ошибка многих компаний – считать, что на этом все. На самом деле самое важное начинается именно после устранения угрозы.

Если просто «залатать дыры» и вернуться к обычной работе, через некоторое время ситуация может повториться – только удар будет сильнее. Поэтому ликвидация последствий инцидента – это не просто восстановление, а анализ причин и улучшение защиты.

1. Восстановление данных и работоспособности систем

Первоочередная задача – вернуть все в норму.

Что нужно сделать:

• Проверить резервные копии и убедиться, что они не повреждены и не заражены. Если резервные данные скомпрометированы, их восстановление может только усугубить ситуацию.
• Очистить системы от вредоносного ПО, если оно использовалось в атаке. Часто хакеры оставляют бэкдоры – скрытые точки входа, которые позволяют вернуться в систему даже после удаления вирусов.
• Перепроверить все учетные записи – сбросить пароли скомпрометированных пользователей, проверить настройки доступа.

Важно не торопиться – слишком быстрый возврат к обычной работе без тщательной проверки может привести к повторному заражению или утечке.

2. Анализ инцидента: что пошло не так?

Любой инцидент – это сигнал о слабом месте в системе. Вопрос в том, сумеете ли вы его найти и устранить.

Разбор включает:

• Анализ журналов событий – какие действия предшествовали атаке, какие учетные записи использовались?
• Выявление уязвимостей – это была ошибка сотрудника, недостаток в системе безопасности или сознательная атака?
• Определение масштаба ущерба – какие данные утекли, насколько критичны потери?

Эта информация не просто для отчетности – на ее основе должны приниматься реальные решения.

3. Усиление защиты и обновление политики безопасности

Если один раз атака удалась, значит, в системе есть дыры. Их нужно не просто заделать, а сделать так, чтобы злоумышленники даже не пытались пробиться снова.

Какие меры могут помочь:

• Ужесточение контроля доступа – минимальные привилегии для сотрудников, доступ только по необходимости.
• Внедрение дополнительной аутентификации – чтобы даже если пароль украден, злоумышленник не смог войти.
• Настройка мониторинга и автоматических оповещений – чтобы в следующий раз тревожные сигналы не прошли незамеченными.

4. Работа с персоналом: обучение и разъяснительная работа

Если причиной инцидента стал человеческий фактор, то технические меры – это только часть решения.

Что важно сделать:

• Обучить сотрудников на примерах реальных инцидентов – чем больше они знают о киберугрозах, тем меньше вероятность, что они снова попадутся на ту же уловку.
• Обновить внутренние инструкции – чтобы у каждого было четкое понимание, что можно, а что нельзя делать с корпоративными данными.
• Провести контрольные проверки – иногда даже простые тесты на внимательность (например, фальшивый фишинг-атак) помогают выявить слабые места.

Ликвидация последствий – это не просто восстановление, а возможность сделать систему сильнее. Ошибка – это ценный урок, если сделать правильные выводы. Если же ограничиться только «починкой» и не разбирать причины, через некоторое время можно получить тот же инцидент, только в более разрушительном масштабе.

Как Staffcop помогает расследовать и предотвращать инциденты

Большинство компаний начинают задумываться о защите информации только после того, как что-то случилось. Но гораздо выгоднее не тушить пожары, а не допускать их возникновения. Один из инструментов, который помогает с этим, – Staffcop.

Это система, которая фиксирует и анализирует активность сотрудников, выявляет подозрительные действия и предотвращает утечки данных. Если в компании случается инцидент, Staffcop помогает быстро выяснить, что произошло, кто виноват и как этого избежать в будущем. Правильное расследование инцидентов информационной безопасности позволяет не только понять, кто и как в организации нарушил систему, но и выявить слабые места в ходе анализа произошедшего.

Как работает Staffcop

1. Сбор данных
• Фиксирует действия пользователей: какие файлы они открывают, какие сайты посещают, с кем общаются.
• Записывает историю переписки, вводимых паролей и копирования данных.
• Делает скриншоты экрана, если зафиксирована подозрительная активность.
2. Анализ поведения сотрудников
• Определяет отклонения от нормального поведения (например, если бухгалтер вдруг начинает скачивать клиентскую базу).
• Выявляет рискованные действия, такие как работа с корпоративными данными в нерабочее время или с нетипичных устройств.
3. Поиск утечек информации
• Анализирует файлы, которые сотрудники пересылают по почте или загружают в облако.
• Выявляет ключевые слова и шаблоны в документах (номера паспортов, карт, конфиденциальные данные).
• Блокирует опасные действия (например, отправку важных файлов в личные мессенджеры).
4. Оповещение службы безопасности
• Если сотрудник заходит на сайт конкурентов или пытается вынести базу клиентов, система сразу отправляет уведомление.
• Можно настроить автоматические реакции, например, блокировку передачи данных или отключение пользователя от сети.

Ключевые преимущества Staffcop

• Работает на Linux (Astra, Ubuntu) – можно развернуть на виртуальном или физическом сервере.
• Локальное хранение данных – вся информация остается внутри компании, без передачи в облачные сервисы.
• Минимальные требования к инфраструктуре – не требует мощных серверов, можно использовать даже в небольших организациях.
• Гибкая интеграция – поддержка API, возможность передачи данных в SIEM-системы, работа с 1С и СКУД.

Как Staffcop помогает расследовать реальные инциденты

• Выявление попытки кражи клиентской базы
• Сотрудник перед увольнением пытался передать данные конкуренту.
• Система отследила переписку и зафиксировала отправку писем на подозрительные домены.
• Руководство предотвратило утечку и приняло меры до ухода сотрудника.
• Фиксация утечки паспортных данных через мессенджеры
• Staffcop обнаружил, что сотрудница банка отправляет сканы документов через личную почту.
• Система автоматически заблокировала передачу данных и отправила уведомление в службу безопасности.
• Удалось избежать крупного скандала и возможных штрафов.
• Контроль работы сотрудников во время удаленки
• Компания обнаружила, что инженер выполняет сторонние заказы во время рабочего дня.
• Анализ приложений и местоположения файлов подтвердил нарушение.
• Руководство внесло изменения в политику безопасности, чтобы исключить подобные случаи в будущем.

Staffcop – это не просто инструмент слежки, а полноценная система мониторинга и защиты конфиденциальности данных. Она помогает предотвращать утечки, выявлять недобросовестных сотрудников и защищать компанию от внутренних угроз. Вместо того чтобы разбираться с последствиями, лучше настроить мониторинг заранее и избежать проблем. Эффективный мониторинг инцидентов информационной безопасности помогает оперативно выявлять аномалии в поведении сотрудников организации, подозрительные активности и потенциальные угрозы еще до того, как они станут катастрофой для компании.

Почему важно не ждать инцидента, а готовиться к нему заранее

Большинство компаний думают, что проблемы информационной безопасности – это что-то далекое и редкое. «Нас это не коснется», «у нас нет ценной информации», «кто нас вообще будет взламывать?» – вот типичные отговорки.

А потом внезапно оказывается, что:

• Сотрудник «случайно» переслал важные файлы на личную почту.
• Конкуренты узнали о вашем новом проекте раньше, чем он был анонсирован.
• Бухгалтерская база исчезла после увольнения одного «обиженного» специалиста.
• Вирус-шифровальщик заблокировал все файлы, а злоумышленники требуют выкуп.

Все эти истории реальны. И самое главное – почти все инциденты можно было предотвратить, если бы компания заранее думала о безопасности.

Почему реактивный подход – это всегда дорого

Рассмотрим два сценария:

1. Компания заранее подготовилась:
• Настроены системы мониторинга активности.
• Доступ к важным данным ограничен.
• Все сотрудники прошли обучение по информационной безопасности.
• Регулярно проверяются журналы событий и анализируются риски.

Если вдруг произойдет инцидент, его заметят сразу и быстро нейтрализуют. Потери будут минимальными.

2. Компания ждет, пока что-то случится:
• Данных о подозрительных действиях нет.
• Никто не следит за тем, какие файлы пересылают сотрудники.
• Учетные записи остаются активными после увольнения сотрудников.
• О сбое узнают только тогда, когда уже произошел ущерб.

В этом случае расследование занимает недели, ущерб – миллионы, а репутация компании под ударом.

Что можно сделать прямо сейчас, чтобы защитить бизнес?

1. Внедрить систему мониторинга. Она должна отслеживать активность сотрудников, работу с файлами, попытки пересылки конфиденциальных данных.
2. Ограничить доступ к критически важным данным. Чем меньше людей имеют доступ к важной информации, тем ниже риск утечки.
3. Обучить сотрудников. Большая часть инцидентов – это ошибки людей, а не атаки хакеров. Простая инструкция «не пересылать файлы через личную почту» может предотвратить утечку.
4. Настроить автоматические оповещения. Если кто-то загружает файлы в облако, копирует данные на флешку или отправляет их на сторонние адреса – система должна сразу сообщить об этом.
5. Регулярно анализировать риски. Безопасность – это не статичный процесс. Угрозы меняются, схемы атак эволюционируют, поэтому важно регулярно пересматривать политику защиты данных.

Любая компания, у которой есть ценные данные (а это практически любая компания), рано или поздно столкнется с инцидентом информационной безопасности. Вопрос только в том, насколько сильными будут последствия. Готовность к инцидентам – это не паранойя, а скорее профилактика, которая экономит деньги, время и репутацию.