Рубрика: Статьи

Как маленькая фирма заплатила $2000 за пароль «12345678»

История о том, почему кибербезопасность — это не только для больших корпораций

Есть такой распространённый миф среди владельцев небольших бизнесов: «Мы маленькие, кому мы вообще нужны? Хакеры идут за Газпромом и Сбербанком, а не за нашей бухгалтерией». Я понимаю эту логику. Она кажется разумной. Она даже звучит убедительно на планёрках. Только вот она в корне неверна — и я расскажу вам конкретную историю, после которой этот миф, надеюсь, умрёт навсегда.

Обычное утро, которое пошло не так

Представьте: маленькая компания, шесть человек, региональный городок. Торговля, склад, бухгалтерия — всё как у людей. Работают себе, никого не трогают. Есть сервер с 1С, есть удалённый программист, который этот сервер обслуживает. Классическая схема для малого бизнеса.

И вот однажды утром сотрудники приходят на работу, запускают 1С — и ничего. Программа не открывается. Заходят на сервер, смотрят на папку с базой данных — а там какая-то хрень непонятная. Файлы есть, но расширения чужие, незнакомые. И рядом лежит текстовый файл.

Открывают его — а там, значит, всё вежливо написано: ваши данные зашифрованы, для восстановления свяжитесь с нами вот по этому Telegram-аккаунту. Приятного аппетита.

Это был классический ransomware — программа-вымогатель. Вся база 1С, со всей историей заказов, клиентами, остатками на складе, взаиморасчётами — всё превратилось в набор нечитаемого мусора.

Бэкапов не было. Вообще. Ни одного.

Три дня переговоров

Директор — человек закалённый, не из робкого десятка — три дня вёл переговоры с мошенниками через Telegram. Торговался. Объяснял, что компания маленькая, что денег нет, что он вообще готов судиться. Те, в свою очередь, демонстрировали профессиональный подход: скидок не давали, на жалость не велись, но и цену особо не задирали. Бизнес, что поделать.

В итоге сошлись на двух тысячах долларов в биткоинах. Деньги перевели, ключ получили, базу расшифровали. Всё заработало.

Казалось бы — хеппи-энд? Ну, такой себе хеппи-энд, если честно.

Два штуки баксов — это ещё относительно дёшево. Некоторые платят десятки тысяч. Некоторые не получают ключ после оплаты. Некоторые получают рабочий ключ, но через месяц их шифруют снова — потому что дыра в безопасности никуда не делась.

Как это вообще произошло

Меня пригласили разобраться, что случилось. И знаете, это оказалось до обидного просто.

Удалённый программист 1С — нормальный, в общем-то, специалист по своей части — для удобства работы открыл наружу порт RDP. RDP — это Remote Desktop Protocol, то есть удалённый рабочий стол Windows. Штука удобная: подключаешься из дома, работаешь с сервером как будто сидишь рядом.

Только вот он этот порт повесил прямо в интернет. Без VPN, без дополнительной защиты, без ничего. И поставил пароль.

Пароль был что-то типа 12345678.

Вот и весь взлом. Никакой супер-хакерской атаки, никаких zero-day уязвимостей, никакой социальной инженерии. Просто боты в интернете постоянно сканируют все IP-адреса подряд, ищут открытые RDP-порты, и методично перебирают простые пароли. Это называется brute force, и это полностью автоматизировано. Никакой человек даже не смотрел на эту компанию специально — просто алгоритм нашёл открытую дверь с кодовым замком «1234» и зашёл.

Поздравляю, вы взломаны.

Что пришлось делать после

После того как пыль осела, пришлось перестраивать всё с нуля. По-хорошему, это надо было делать до инцидента — но что есть, то есть.

  • Корпоративный VPN. Никакого RDP наружу. Хочешь подключиться к серверу — сначала подключись к VPN, и только потом иди куда надо. Это как охранник на входе: пропускает только своих.
  • Файрволл с внятными правилами. Закрыть всё, что не нужно. Разрешить только то, что реально используется. Это звучит банально, но у большинства маленьких компаний файрволл либо отсутствует, либо настроен по принципу «разрешить всё входящее».
  • Резервное копирование. Нормальное, регулярное, с проверкой, что бэкап вообще работает. Бэкап, который никто никогда не проверял — это не бэкап, это иллюзия безопасности. Правило 3-2-1: три копии данных, на двух разных носителях, одна из которых хранится отдельно.
  • Обучение сотрудников. Люди кликают по фишинговым письмам, используют пароль «qwerty» на всём подряд, подключают чужие флешки. Не потому что они плохие — просто их никто никогда не учил, что это опасно.

Почему малый бизнес особенно уязвим

Вот в чём парадокс: маленькие компании думают, что они незаметны, а на самом деле они идеальная мишень.

У крупных корпораций есть выделенные специалисты по безопасности, корпоративные политики, сложная инфраструктура с несколькими уровнями защиты. Их сложно взломать. А малый бизнес — это открытый порт RDP с паролем «12345678». Это рай для автоматических атак.

Современный киберкриминал — это давно не романтичные хакеры в худи, которые целенаправленно охотятся за конкретной компанией. Это организованный бизнес с разделением труда: одни пишут зловредов, другие их распространяют, третьи ведут переговоры с жертвами, четвёртые отмывают биткоины. Им абсолютно всё равно, большая вы корпорация или ИП с шестью сотрудниками. Боты работают 24/7, сканируют весь интернет, и если у вас открытая дверь — они войдут.

Никто специально не выбирал эту компанию. Просто алгоритм нашёл уязвимость — и всё. Автоматически, безлично, равнодушно.

Что сделать прямо сейчас

Если вы читаете это и понимаете, что у вас «тоже примерно так» — вот короткий чеклист на сегодня:

  1. Закройте RDP наружу. Если удалённый доступ нужен — используйте VPN.
  2. Проверьте все пароли на серверах — если там что-то короче 12 символов без спецсимволов, меняйте немедленно.
  3. Настройте резервное копирование с автоматической проверкой.
  4. Убедитесь, что на всех компьютерах установлены актуальные обновления — особенно на серверах.
  5. Поговорите с сотрудниками о фишинговых письмах.

Это не rocket science. Это базовая гигиена, которая закрывает 80% реальных угроз для малого бизнеса.

Вместо заключения

Два часа работы нормального специалиста по безопасности — и этой истории с $2000 в биткоинах, тремя днями нервотрёпки и реальным риском потерять всю историю компании просто не было бы.

Информационная безопасность — это не про паранойю и не про бюджеты уровня «Роснефти». Это про элементарную ответственность перед своим бизнесом. Если вы застраховали машину и офис — застрахуйте и данные. Потому что данные сегодня стоят дороже любого имущества.

Современный киберкриминал не разбирает, большой вы или маленький, столичный или провинциальный. Ему важно одно: есть ли у вас открытая дверь. Не давайте ему этого шанса.

Берегите свои данные. И ставьте нормальные пароли, чёрт возьми.

«Прикрутите ИИ за 3 тысячи» как инфорынок сломал реальность

«Ну вы там просто прикрутите ИИ»

Последнее время я всё чаще замечаю: люди стали заметно переоценивать возможности искусственного интеллекта и в быту, и в бизнесе.

Иногда прилетают заказы из разряда «ну вы там просто прикрутите ИИ» вроде бота, который сканирует и собирает статистику со 100 аккаунтов в 10 соцсетях, или «ИИ-парсера» для WB на миллион товаров с обновлением каждые 10 минут. И всё это за совсем символические деньги, в диапазоне 3 — 5 тысяч рублей.

И самое забавное (и чуть грустное) таких запросов становится больше. Рынок фриланса, честно говоря, и раньше не славился системностью и трезвой оценкой сложности, но сейчас это прямо заметно.

Кажется, многие поверили, что если добавить к проекту приставку «ИИ», то приложение будь то, бот или парсер автоматически превращается в волшебную палочку. Хотя по факту это всё тот же бот и тот же парсер: ему всё равно нужен алгоритм, логика, обработка ошибок, лимиты, прокси, капчи, авторизация, хранение данных и куча рутины.

Всё чаще встречаются запросы из серии: «сделайте нам свой ИИ, чтобы он сам составлял сметы и генерировал документы по нашим данным». Причём обычно это подаётся так, будто речь про “прикрутить кнопку”, а не про полноценную систему с данными, правилами, безопасностью, проверками и ответственностью за ошибки.

Отдельный жанр техническое задание, нагенерированное ChatGPT. Огромная простыня текста на несколько экранов, где половина слов звучит солидно, но заказчик сам не до конца понимает, что они означают и зачем там вообще написаны. В ТЗ встречаются “агенты”, “векторные базы”, “самообучение”, “интеграция со всем”, “автономное принятие решений” а на вопрос “что именно должно получиться в итоге и как вы это будете проверять?” начинается пауза.

Перегретый инфорынок и иллюзия “нажми кнопку”

Виноват во многом перегретый инфорынок. Вокруг ИИ сейчас столько шума, что создаётся ощущение: он уже умеет вообще всё просто “нажми кнопку”. Эту картинку особенно активно продают инфоцыгане: короткие ролики, громкие заголовки и обещания в стиле «запусти ИИ-бота и забудь про работу».

Чего только стоит история с ClawBot на таких кейсах отлично видно, как легко хайп превращает технику и софт в “волшебную инвестицию”, а ожидания улетают в космос.

И на этом “ИИ-пафосе” появилась отдельная прослойка «интересных разработчиков» — новички после экспресс-курсов (я таких реально встречал). Часто это люди с почти нулевыми хардами, но отлично прокачанными софтами: уверенная речь, презентации, “упаковка”, обещания и тон “мы сейчас всё запилим”. И они искренне (или очень убедительно) продают реализацию проектов, которые либо технически не взлетят, либо взлетят, но совсем за другие сроки и бюджеты.

Быстрее — да. Само — нет

Да, с ИИ писать и продумывать стало быстрее и проще. Но «быстрее» не значит «само». Основная работа всё равно остаётся на разработчике.

ИИ в задачах реально полезен уже после когда данные собраны: можно быстро разложить их по категориям, вытащить закономерности, подсветить аномалии, собрать отчёт или нормальную аналитику.

Но вот идея, что ИИ “сам пойдёт” и соберёт всё из десяти площадок — это не магия. Это обычная инженерия: авторизации, лимиты, блокировки, прокси, капчи, хранение, очереди, мониторинг. И всё это делает не «умный бот», а нормальная система, которой руководит специалист.

Пафос вместо требований: опасная подмена реальности

Получается смешная (и опасная) ситуация: люди хотят не реализовать проект, а ощущение, что “если написать умными словами, оно само заведётся”. Хотя на практике всё наоборот: чем больше пафоса в описании, тем важнее приземлить задачу на конкретные данные, чёткие требования, понятные критерии качества и реальные ограничения. И отдельная иллюзия — что если в проекте есть «ИИ», значит он должен стоить копейки. Будто нейросеть — это бесплатная магия, которую “просто прикрутили”, и всё заработало за вечер. Но ИИ не отменяет разработку, он добавляет к ней новые слои: данные, интеграции, инфраструктуру, безопасность, тестирование, мониторинг и ответственность за ошибки.

ИИ может помочь ускорить подготовку документов, подсказать формулировки, разложить данные по полям, но “сделайте нам своего ИИ, чтобы он сам всё делал” — это обычно про дорогую, сложную, долгую разработку. И чем “умнее” обещания, тем дороже в реальности обходится их выполнение: нужно собирать и чистить данные, настраивать доступы, учитывать лимиты и сбои, строить проверяемые сценарии и систему контроля качества. Такой проект нельзя закрыть бюджетом “в пределах пары походов в магазин” только потому, что в описании где-то написано слово «ИИ».

Лобстер, токены и иллюзии: почему ИИ-хайп перегрет

ИИ-рынок перегрет: почему хайп вокруг «умных агентов» опережает реальность

За последние пару лет искусственный интеллект превратился из любопытной технологии в массовый культ. Кажется, что ИИ «уже всё умеет»: пишет тексты лучше людей, программирует, управляет бизнесом, заменяет ассистентов и вот-вот начнёт жить вместо нас. На этом фоне появляются проекты вроде OpenClaw — домашнего ИИ-помощника, который якобы не просто болтает в чате, а «делает дела»: пишет сообщения, лазит по интернету, запускает команды, работает с файлами и сервисами.

И вот тут начинается важный разговор: проблема не в том, что такие проекты плохие. Проблема в том, что рынок ИИ-хайпа перегрет, а ожидания людей — завышены. ИИ стал маркетинговым словом, которое продаёт мечту. Но реальность пока устроена иначе: большинство «вау-демонстраций» держится на ручной настройке, дорогой инфраструктуре и постоянном контроле человека. OpenClaw — отличный пример того, как красивая идея сталкивается с земной практикой.

Почему людям кажется, что ИИ уже стал «личностью»

Большие языковые модели умеют убедительно разговаривать. Они отвечают уверенно, пишут гладко, поддерживают стиль, шутят и даже «сочувствуют». Мозг автоматически приписывает этому разум и самостоятельность. Отсюда рождается опасная иллюзия: если модель умеет красиво объяснять, значит она умеет и думать, и планировать, и отвечать за результат.

Но языковая модель — это в первую очередь генератор правдоподобного текста. Она может быть очень полезной, но она не гарантирует истинность, не понимает мир так, как человек, и не несёт ответственности. Она не «знает», что написала глупость — она просто продолжила фразу наиболее вероятным способом. Поэтому, когда такие модели превращают в «агентов», которые получают доступ к файлам, командам и аккаунтам, ожидания улетают ещё выше: кажется, что теперь это почти автономный помощник. На практике — нет.

OpenClaw как иллюстрация: «он действует», но не сам

Сила OpenClaw в том, что он меняет формат: вместо «вопрос-ответ» появляется «сделай». Вы пишете в мессенджере — агент запускает навыки, ищет информацию, создаёт напоминания, отправляет сообщения. Это выглядит как будущее: будто у вас дома живёт цифровой секретарь.

Но если посмотреть внимательно на реальные истории использования, выясняется важная вещь: почти всё работает только при условии, что человек постоянно подсказывает. Когда говорят «агент купил автомобиль», за кадром часто остаётся главное: владелец пошагово указывает, где искать цены, какие сайты использовать, что именно писать дилеру и на что не соглашаться. ИИ в таких сценариях — это не самостоятельный переговорщик, а скорее умный автомат для переписки и поиска, который ускоряет рутину. Это полезно, но это не «замена человека».

И это ключевой разрыв хайпа и реальности: рынок продаёт мечту об автономности, а пользователи получают инструмент, которому нужны инструкции, проверки и рамки безопасности.

Экономика хайпа: почему «магия» часто оказывается дорогой

Ещё одна причина перегрева — люди не считают стоимость «волшебства». Сам OpenClaw может быть бесплатным, но работа агента почти всегда требует облачной модели. А каждая операция — это токены. Чем больше контекста, памяти, «дневников», проверок и служебных запросов — тем выше расход. В итоге демонстрация «ИИ-ассистента на каждый день» превращается в подписку, которая может стоить как хороший сервисный пакет: десятки или сотни долларов в месяц.

На фоне хайпа люди готовы платить, потому что верят: «это будущее, надо успеть». Отсюда же растут и странные массовые покупки железа — например, отдельного компьютера под агента. На практике же многие задачи решаются проще и дешевле обычными приложениями, а «агентность» добавляет не только эффект новизны, но и расходы.

Главный слон в комнате: безопасность и доверие

Когда ИИ получает право запускать команды, читать файлы и писать от вашего имени, цена ошибки становится очень высокой. И тут хайп особенно опасен: люди ставят модный инструмент «как есть», не думая о сетевой безопасности, прокси, токенах доступа, правах и изоляции. В результате возникают типичные истории: открытые панели управления, утечки ключей API, доступ к аккаунтам мессенджеров и сервисов.

Есть и более тонкая угроза: prompt injection — когда злоумышленник пытается «внушить» агенту выполнить действие через текст. И если модель посчитает это логичным в рамках контекста, она может сделать то, чего вы не хотели. Это не фантастика и не «страшилки», а реальный класс проблем, который признают даже разработчики подобных систем.

Плюс фундаментальный вопрос: даже если агент живёт у вас дома, мозг у него чаще всего в облаке. Значит, ваши запросы, контекст и иногда чувствительная информация уходят внешнему провайдеру. Для многих это может быть приемлемо. Но это точно не то, о чём говорят в рекламных роликах, где «домашний ИИ» выглядит как полностью локальное и безопасное решение.

Почему люди разочаровываются после покупки «будущего»

Самый честный сценарий часто звучит так: человек с энтузиазмом ставит агента, даёт разрешения, тратит выходные на настройку — а потом понимает, что автоматизировать особо нечего. Большая часть бытовых задач уже решается привычными сервисами. А те задачи, которые действительно важны, почти всегда требуют контроля, уточнений и ответственности. В итоге получается пара эффектных, но редких сценариев (плейлист, новости, простые напоминания) и чувство, что ожидания были выше пользы.

Это не значит, что ИИ бесполезен. Это значит, что массовая аудитория ждёт «магии без усилий», а получает «инструмент для технарей». И вот тут рынок перегревается: маркетинг продаёт мечту всем, хотя реально она подходит меньшинству.

Так ИИ переоценён или просто неправильно понят?

ИИ мощный. Но его часто воспринимают как универсальный интеллект, хотя это скорее универсальный помощник для конкретных задач. Он ускоряет работу, помогает черновиками, объясняет, предлагает варианты, автоматизирует рутину — и в этом он великолепен. Но он не гарантирует качество, не несёт ответственности, не понимает контекст «по-человечески» и не становится автономным менеджером вашей жизни просто потому, что у него красивый интерфейс.

Поэтому здоровый взгляд на рынок ИИ сегодня такой: технология действительно меняет мир, но хайп опережает зрелость. «Агенты» вроде OpenClaw — важный шаг к будущему, но пока это больше эксперимент и конструктор, чем массовый продукт. Их ценность — в гибкости и возможностях для подготовленных пользователей, а не в обещании «всё сделает сам».

Итого

Рынок ИИ-хайпа перегрет не потому, что ИИ плохой, а потому что ожидания раздули сильнее, чем реальность успела догнать. Люди переоценивают автономность моделей, недооценивают стоимость токенов и инфраструктуры, игнорируют безопасность и верят демонстрациям, где сложность спрятана за кадром. Проекты вроде OpenClaw показывают будущее — но одновременно напоминают: будущее ещё не стало настоящим.

Если относиться к ИИ как к инструменту, а не как к «разуму», он приносит огромную пользу. Если ждать от него магии и полной замены человека — почти неизбежно придёт разочарование. И именно поэтому сегодня полезно сбавить градус хайпа и трезво оценивать возможности ИИ: он уже помогает, но ещё не спасает.