Callback
  • Від місця на ринку до магазину

  • -

  • Від магазину до торговельної мережі

  • -

  • Від торгівлі до виробництва

Інформаційна безпека магазину: захист від кіберзагроз

Володимир Витищенко
Володимир Витищенко

Експерт з автоматизації торгівлі у Торгсофт

Що загрожує даним магазину та з чого почати захист

База даних з товарами, клієнтами та історією продажів для магазину має таку саму цінність, як товар на полицях. Її можна втратити за один вечір: через вірус-шифрувальник, викрадений пароль або помилку працівника. У цій статті розбираємо, які загрози актуальні для українського ритейлу у 2026 році, що робити під час інциденту та як налаштувати захист без штату ІТ-фахівців.

Якщо атака відбувається прямо заразВід'єднайте уражений комп'ютер від мережі та інтернету (витягніть мережевий кабель, вимкніть Wi-Fi), але не вимикайте живлення. Не видаляйте файли, не запускайте «лікування» та не підключайте диск з резервними копіями. Зафіксуйте, що бачите на екрані (фото), та зверніться до фахівця. Про інцидент можна повідомити CERT-UA: incidents@cert.gov.ua, +38 (044) 281-88-25.

Чому це стосується саме малого магазину

Поширена думка «ми занадто малі, щоб нас атакували» не відповідає дійсності. За даними звіту Verizon DBIR 2025, програми-вимагачі були присутні у 88% зламів малого та середнього бізнесу проти 39% у великих компаніях. Причина проста: у малому бізнесі рідко є окремий ІТ-фахівець, оновлення встановлюються нерегулярно, а резервні копії часто зберігаються на тому самому комп'ютері, що й основні дані.

Український контекст додає ризиків. За даними Держспецзв'язку, у 2025 році CERT-UA опрацювала майже 6000 кіберінцидентів, а кількість ворожих атак зросла на 37% порівняно з попереднім роком. В аналітичному звіті за друге півріччя 2025 року CERT-UA зазначає, що зловмисники дедалі частіше прагнуть отримати довготривалий прихований доступ до систем та атакують особисті поштові скриньки працівників, щоб обійти захист корпоративної пошти.

Для магазину наслідки однакові незалежно від того, хто атакував: каса не працює, залишки невідомі, борги постачальникам і клієнтські замовлення відновлюються по пам'яті.

Основні загрози для магазину

Віруси-шифрувальники

Шкідлива програма шифрує файли на комп'ютері та в доступних мережевих папках, після чого вимагає викуп за розшифрування. Працівник бачить, що документи та база не відкриваються, а на екрані або у файлах з'являється вимога оплати. Для магазину це означає зупинку продажів: без бази немає цін, залишків та історії розрахунків. За даними Verizon DBIR 2025, медіанний розмір сплаченого викупу становив 115 тисяч доларів, при цьому 64% постраждалих організацій відмовилися платити. Оплата не гарантує повернення даних, тому головний захист від шифрувальника — справна резервна копія, створена до зараження.

Викрадення паролів та даних

Окремий клас шкідливих програм (інфостілери) непомітно збирає збережені у браузері паролі, файли cookie та документи. Працівник нічого не бачить: комп'ютер працює як зазвичай. Через певний час викрадені дані використовують для входу в пошту, банкінг, адмінку інтернет-магазину або облікову програму. Звідси правило: паролі до критичних сервісів не зберігають у браузері на касовому комп'ютері.

Фішинг

Зловмисники надсилають листи або повідомлення, які маскуються під банк, службу доставки, постачальника, податкову або маркетплейс. Мета — змусити перейти за посиланням на підроблений сайт та ввести логін, пароль або дані картки. Кіберполіція фіксує, що шахраї створюють копії сайтів банків та маркетплейсів, щоб отримати доступ до чужих рахунків. Підроблену адресу видають зайві літери або цифри в домені, тому адресу сайту перевіряють до введення даних.

Злам робочих акаунтів

Пошта, сторінки магазину в соціальних мережах, кабінети на маркетплейсах та месенджери — це теж активи бізнесу. Зламаний акаунт використовують для розсилки шахрайських повідомлень клієнтам від імені магазину або для перепродажу доступу. Кіберполіція радить для захисту акаунтів використовувати складні паролі та двофакторну автентифікацію.

Атаки через підрядників і програми

Магазин пов'язаний з десятками зовнішніх сервісів: банк, платіжні системи, служби доставки, маркетплейси, хостинг сайту, ІТ-підрядники з віддаленим доступом. За даними Verizon DBIR 2025, частка зламів за участю третіх сторін подвоїлася за рік. Практичний висновок: кожен доступ підрядника має бути іменним, обмеженим у часі та вимкненим одразу після завершення робіт.

ЗагрозаЯк потрапляє в магазинЩо страждає
Шифрувальник Вкладення в пошті, зламаний віддалений доступ, піратські програми База даних, документи, робота каси
Викрадення паролів Заражений файл, шкідливе розширення браузера Пошта, банкінг, адмінка сайту, соцмережі
Фішинг Лист або повідомлення з підробленим посиланням Гроші на рахунках, дані карток, акаунти
Злам акаунтів Слабкий пароль, відсутність двофакторної автентифікації Репутація, клієнтська база, продажі онлайн
Атака через підрядника Постійний віддалений доступ, спільні паролі Уся інфраструктура магазину

Як зловмисники потрапляють у комп'ютери магазину

Основні вектори проникнення в малий бізнес добре відомі та повторюються з року в рік:

  • Електронна пошта та месенджери. Вкладення «рахунок», «акт звірки», «резюме» або посилання на «документ». Це найдешевший для зловмисника спосіб, тому він найпоширеніший.
  • Відкритий віддалений доступ. Прямий RDP-доступ до сервера з інтернету зловмисники знаходять автоматичним скануванням та підбирають пароль.
  • Піратські програми та «активатори». Разом зі зламаною програмою на комп'ютер часто встановлюється шкідливий код.
  • Флешки та зовнішні диски. Носій, який побував на зараженому комп'ютері, переносить шкідливу програму на касовий комп'ютер або сервер.
  • Wi-Fi магазину. Якщо гостьова мережа для відвідувачів не відокремлена від робочої, доступ до робочих комп'ютерів отримує будь-хто в радіусі дії роутера.
  • Особисті скриньки працівників. CERT-UA фіксує розсилання шкідливих листів безпосередньо на особисту пошту, з якої працівники заходять і на робочих комп'ютерах.

Типові помилки, які роблять атаку можливою

CERT-UA на основі аналізу реальних інцидентів назвала найтиповіші помилки організацій, через які атаки стають успішними:

  • відсутність багатофакторної автентифікації — викрадений пароль одразу дає повний доступ;
  • незахищений віддалений доступ — RDP та інтерфейси адміністрування відкриті для всього інтернету замість конкретних користувачів і адрес;
  • відсутність ізоляції систем — компрометація одного комп'ютера дозволяє розвинути атаку на всю мережу;
  • робота працівників з правами адміністратора у повсякденних задачах;
  • резервні копії на тому самому комп'ютері або постійно підключеному диску — шифрувальник знищує їх разом з основними даними.

До цього переліку варто додати організаційні помилки, характерні для роздрібу: один спільний пароль на всіх продавців, паролі на стікерах біля каси, звільнені працівники зі збереженим доступом та відсутність відповідальної особи, яка контролює перелічене.

Що робити під час інциденту

Порядок дій залежить від типу атаки, але загальна логіка однакова: зупинити поширення, зберегти докази, залучити фахівця, відновитися з перевіреної копії.

  1. Ізолюйте уражені комп'ютери. Від'єднайте мережевий кабель та вимкніть Wi-Fi на комп'ютері з ознаками зараження. Це зупиняє шифрування мережевих папок та передачу викрадених даних.
  2. Не вимикайте живлення без потреби. В оперативній пам'яті можуть залишатися дані, корисні для аналізу та відновлення.
  3. Зафіксуйте докази. Сфотографуйте повідомлення на екрані, збережіть підозрілий лист, запишіть час подій. Це знадобиться фахівцям та поліції.
  4. Змініть паролі з чистого пристрою. Пошта, банкінг, адмінка сайту, соцмережі — у такому порядку. Паролі змінюють з телефона або комп'ютера, який точно не був уражений.
  5. Попередьте банк. Якщо є підозра на компрометацію платіжних даних, зверніться до банку для блокування операцій.
  6. Залучіть фахівців. Повідомте свого ІТ-підрядника. Заяву про кіберзлочин можна подати до Кіберполіції, про інцидент — повідомити CERT-UA.

Чого не можна робити

  • Не платіть викуп одразу. Оплата не гарантує розшифрування та позначає бізнес як «платоспроможну жертву» для повторних атак.
  • Не підключайте диск з резервними копіями до зараженого комп'ютера — копія буде зашифрована разом з рештою даних.
  • Не перевстановлюйте систему та не форматуйте диски до консультації з фахівцем: разом із системою зникнуть докази та, можливо, шанс на відновлення файлів.
  • Не запускайте випадкові «дешифратори» з інтернету — під них часто маскуються нові шкідливі програми. Безкоштовні перевірені дешифратори для деяких шифрувальників публікує проєкт Європолу No More Ransom.
  • Не приховуйте інцидент від працівників, які працюють з ураженими системами: вони мають знати, чим не можна користуватися.

Як відновити роботу після атаки

Технічне відновлення виконують у такому порядку:

  1. Фахівець визначає, як зловмисник потрапив у систему. Без цього кроку відновлена система буде зламана повторно тим самим шляхом.
  2. Уражені комп'ютери очищають або перевстановлюють систему з нуля. CERT-UA у звіті за друге півріччя 2025 року наголошує, що поверхневого відновлення недостатньо: без глибокого очищення систем організації залишаються відкритими для повторних атак.
  3. Змінюють усі паролі, які могли бути скомпрометовані, та вмикають багатофакторну автентифікацію.
  4. Дані відновлюють зі справної резервної копії, створеної до проникнення. Копію спершу перевіряють на окремому комп'ютері.
  5. Закривають виявлений вектор атаки: оновлюють програми, обмежують віддалений доступ, змінюють налаштування ролей.

Профілактика: план захисту для магазину

Британський національний центр кібербезпеки у посібнику для малого бізнесу зводить захист до п'яти напрямів: резервні копії, захист від шкідливих програм, захист пристроїв, паролі та протидія фішингу. Нижче ці напрями адаптовані до реалій українського магазину.

Захист сервера з обліковою програмою

Сервер Торгсофт — це зазвичай комп'ютер з Windows, на якому працюють програма та база даних. Базові правила для нього:

  • використовуйте цей комп'ютер тільки для роботи облікової програми: без пошти, месенджерів, перегляду сайтів та встановлення сторонніх програм;
  • встановлюйте оновлення Windows та антивірусного захисту регулярно, за графіком;
  • працюйте під обліковим записом без прав адміністратора; права адміністратора — окремий запис з окремим паролем для налаштувань;
  • вимкніть автозапуск флешок та обмежте їх використання на сервері;
  • у самій обліковій програмі налаштуйте ролі: продавець бачить тільки те, що потрібно для роботи зміни, а звіти, залишки по складах та дані клієнтів доступні лише власнику або адміністратору. У Торгсофт для цього передбачені налаштування ролей та обмеження доступу.

Віддалений доступ

  • не відкривайте прямий RDP-доступ до сервера із загальнодоступного інтернету;
  • надавайте віддалений доступ через VPN або програми дистанційної підтримки, окремо для кожної людини, з багатофакторною автентифікацією, якщо сервіс її підтримує;
  • вмикайте доступ підряднику на час робіт та вимикайте після завершення;
  • ведіть перелік: хто, звідки та до чого має віддалений доступ. Переглядайте його щокварталу та після кожного звільнення.

Паролі та двофакторна автентифікація

  • у кожного працівника — власний обліковий запис та власний пароль у Windows та в обліковій програмі;
  • паролі довгі та унікальні для кожного сервісу; для зберігання зручно використовувати менеджер паролів;
  • двофакторна автентифікація обов'язкова для пошти, банкінгу, адмінки сайту, кабінетів маркетплейсів та соцмереж;
  • доступи звільнених працівників вимикають у день звільнення.

Резервне копіювання за правилом 3-2-1

Правило 3-2-1 означає: три копії даних, на двох різних типах носіїв, одна з копій — поза магазином (у хмарному сховищі або на диску в іншому приміщенні). Копія на тому самому комп'ютері захищає від випадкового видалення файла, але не від шифрувальника, пожежі чи крадіжки техніки. CERT-UA у своїх рекомендаціях окремо наголошує на зберіганні резервних копій на окремих сховищах даних.

Для бази Торгсофт налаштуйте щоденне архівування бази даних. Автоматичне копіювання архіву в хмарне сховище виконує опція «Архів у хмару»: копія створюється за розкладом і зберігається за межами магазину.

Тестове відновленняРезервна копія вважається робочою тільки після перевірки. Раз на квартал розгорніть архів бази на окремому комп'ютері та переконайтеся, що програма відкривається, а дані актуальні. Запишіть дату перевірки та скільки часу зайняло відновлення.

Межі допомоги Торгсофт

Технічна підтримка Торгсофт допоможе встановити програму на новий або очищений комп'ютер та розгорнути придатну резервну копію бази. Розшифрувати файли, пошкоджені вірусом-шифрувальником, підтримка не може: для відновлення потрібна справна копія, створена до зараження. Саме тому щоденне архівування та зберігання копії поза магазином — зона відповідальності власника.

Хто за що відповідає

Захист працює, коли за кожен напрям відповідає конкретна людина. Для магазину без штатного ІТ-фахівця розподіл може виглядати так:

НапрямВідповідальнийПеріодичність
Резервні копії та їх перевірка Власник або адміністратор магазину Копії щодня, тестове відновлення щокварталу
Оновлення Windows та програм ІТ-підрядник або адміністратор Щомісяця
Перегляд доступів та ролей Власник Щокварталу та після кожного звільнення
Віддалений доступ підрядників Власник або адміністратор Вмикати на час робіт
Інструктаж працівників про фішинг Власник або адміністратор Під час прийому на роботу та раз на пів року
Реагування на інцидент Власник разом з ІТ-підрядником За планом, складеним заздалегідь

Працівників за помилку, про яку вони повідомили самі, не карають. Інакше наступного разу про підозрілий лист або дивну поведінку комп'ютера власник дізнається останнім.

Чекліст власника магазину

  • База даних архівується щодня, одна копія зберігається поза магазином.
  • Тестове відновлення з архіву проводилося протягом останніх трьох місяців.
  • Сервер з обліковою програмою використовується тільки для роботи програми.
  • Прямий RDP-доступ до сервера з інтернету закритий.
  • У кожного працівника власний обліковий запис без прав адміністратора.
  • Двофакторна автентифікація увімкнена для пошти, банкінгу, сайту та соцмереж.
  • Ролі в обліковій програмі обмежують доступ продавців до звітів та даних клієнтів.
  • Гостьовий Wi-Fi відокремлений від робочої мережі.
  • Є перелік усіх віддалених доступів, доступи звільнених вимкнені.
  • Працівники знають, кому повідомляти про підозрілі листи та збої.
  • Записані контакти для екстреного випадку: ІТ-підрядник, банк, Кіберполіція, CERT-UA.

Головний висновокАбсолютного захисту не існує, але більшість атак на малий бізнес використовують ті самі прогалини: слабкі паролі без другого фактора, відкритий віддалений доступ та резервні копії поруч з основними даними. Закривши ці три пункти, магазин прибирає найімовірніші сценарії втрати даних.