Электронная почта остается основным вектором атак на стартапы: пять ошибок основателей
Стартапы часто игнорируют безопасность электронной почты, но данные показывают, что фишинг является самым распространенным начальным вектором атак, и один скомпрометированный почтовый ящик может уничтожить компанию на ранней стадии.

Согласно отчету IBM о стоимости утечки данных за 2025 год, фишинг снова был самым распространенным начальным вектором атак, составляя 16% проанализированных утечек, со средней стоимостью 4,19 миллиона евро за инцидент. Отчет Verizon об исследовании утечек данных добавляет, что человеческий фактор — фишинг, кража учетных данных или социальная инженерия — задействован примерно в 60% утечек.
Основатели часто совершают пять критических ошибок:
1. Отношение к безопасности электронной почты как к ИТ-проблеме, которую нужно решить позже. В стартапе из пяти человек «ИТ» — это часто тот, кто настроил рабочую учетную запись на первой неделе с настройками по умолчанию. Электронная почта — это не просто канал связи; это главный ключ ко всему. Сброс паролей для CRM, облачной консоли и банковских порталов проходит через почтовый ящик. Если злоумышленник получает контроль над почтой основателя, он фактически контролирует компанию. Решение почти ничего не стоит: внедрить двухфакторную аутентификацию (желательно с аппаратными ключами или ключами доступа вместо SMS), требовать менеджер паролей с первого дня и выбрать провайдера деловой электронной почты, у которого безопасность включена по умолчанию.
2. Предположение, что ваша команда распознает фишинг. Обучение, разработанное для угроз 2015 года, теперь опасно устарело. IBM обнаружила, что генеративный ИИ сократил время, необходимое для создания убедительного фишингового письма, с примерно 16 часов до 5 минут. Исследование Keepnet показало, что новые сотрудники на 44% чаще поддаются фишингу, чем более опытные, и 71% нажимают на фишинговое письмо в первые 90 дней. Обучение должно быть непрерывным и основанным на симуляциях, а не разовым слайдом при вводе в должность.
3. Игнорирование проблемы движения денег. Атаки с компрометацией деловой электронной почты (BEC) не требуют вредоносного ПО. Им нужно правдоподобное письмо якобы от генерального директора, который путешествует и срочно запрашивает перевод. Отчет Verizon оценивает медианные потери от одного инцидента BEC примерно в 43 675 евро, что для многих компаний на ранней стадии составляет месяц или более операционных средств. Защита процедурна: любые изменения платежных реквизитов или любой перевод выше установленного порога должны быть подтверждены через второй канал — телефонный звонок на известный номер, а не ответ на электронное письмо.
4. Пропуск скучных стандартов аутентификации. SPF, DKIM и DMARC — это три DNS-записи аутентификации электронной почты, которые сообщают почтовым серверам, какие сообщения действительно приходят с вашего домена. Без них любой может отправлять электронные письма, которые выглядят как от вас, направленные вашим клиентам, инвесторам или поставщикам. DMARC поддерживает доступную документацию, и настройка всех трех обычно занимает полдня.
5. Забывание, что безопасность электронной почты теперь является вопросом соответствия. Согласно GDPR, утечка персональных данных через ваши почтовые ящики может вызвать обязанность уведомить в течение 72 часов и штрафы до 20 миллионов евро или 4% глобального оборота. Директива NIS2 расширяет обязательства по безопасности на более широкий круг компаний и их поставщиков. Все чаще корпоративные клиенты и инвесторы проверяют практики безопасности во время комплексной проверки. ENISA публикует бесплатные руководства, предназначенные для МСП.
Вывод: Стартапы, которые делают это правильно, не тратят больше — они принимают решения раньше. Усиленная настройка электронной почты, правило проверки платежей, три DNS-записи и реалистичное обучение нейтрализуют вектор атак, лежащий в основе большинства утечек. Каждая из этих мер доступна команде из двух человек.

