Почему безопасность стала практическим вопросом, а не темой для дискуссий

Ещё несколько лет назад криптовалюта в корпоративном мире выглядела экспериментом для отдельных технологических компаний. К 2026 году картина изменилась. Бизнес рассчитывается криптой с зарубежными подрядчиками, держит часть резервов в стейблкоинах, выплачивает зарплату распределённым командам и принимает оплату от клиентов в цифровых активах. Вместе с удобством пришла и обратная сторона: каждая такая операция создаёт точки, в которых компания может потерять деньги или столкнуться с претензиями регулятора.

Масштаб угроз хорошо виден по итогам 2025 года. По данным Chainalysis, за год у криптоиндустрии похитили более 3,4 млрд долларов[1]. Значительная часть пришлась на один эпизод: февральский взлом биржи Bybit с потерей около 1,5 млрд долларов стал крупнейшей кражей в истории криптовалют. Атаки становятся реже, но крупнее, и разрыв между самым большим взломом и медианным инцидентом впервые превысил тысячекратный. Основным источником угрозы остаются северокорейские группировки, на счету которых за год не менее 2,02 млрд долларов.

Карта рисков: что угрожает компании на самом деле

Когда руководитель слышит словосочетание «риски криптовалюты», он чаще всего представляет взлом и кражу средств с кошелька. Реальная картина шире, и полезно разложить угрозы на три группы.

Первая группа объединяет технические и операционные риски. Сюда входит кража закрытых ключей, ошибки при настройке кошельков, фишинг сотрудников и подмена адресов получателя. Эти риски ближе всего к классической информационной безопасности, но имеют специфику: транзакция в блокчейне необратима, и отозвать ошибочный или мошеннический перевод нельзя.

Вторая группа охватывает комплаенс и регуляторные риски. Компания может получить средства от контрагента, чей кошелёк связан с санкционным адресом или нелегальным источником через цепочку переводов. Может не учесть требования по передаче данных об отправителе и получателе. Может столкнуться с банком, который заморозит поступление от криптооперации до выяснения происхождения денег. Эти риски не приводят к мгновенной краже, но способны парализовать расчёты и обернуться штрафами.

Третья группа включает финансовые и контрагентские риски. Волатильность курса, выбор ненадёжной площадки для обмена, контрагент, который не выполнил обязательства. Здесь потери возникают не из-за хакера, а из-за неверного управленческого решения.

Показательный пример относится к рубежу 2025 и 2026 годов, когда резко выросло число атак типа «отравление адреса» (address poisoning). Сервис Blockaid зафиксировал рост числа таких транзакций с 628 тысяч в ноябре 2025 года до 3,4 млн в январе 2026, то есть более чем в пять раз. Схема проста и опасна именно для бизнеса. Злоумышленник генерирует адрес, визуально похожий на адрес реального контрагента компании, и отправляет на её кошелёк мелкую транзакцию. Бухгалтер или финансист, привыкший копировать реквизиты из истории операций, при следующем платеже выбирает поддельный адрес и отправляет деньги мошеннику. Технического взлома здесь нет вообще, сработала привычка и невнимательность.

Технический аспект: где хранятся активы и кто имеет к ним доступ

Фундамент корпоративной безопасности в крипте составляет управление закрытыми ключами. Тот, кто контролирует ключ, контролирует средства, поэтому вопрос хранения стоит решать до того, как на балансе компании появятся сколько-нибудь значимые суммы.

Главное разделение проходит между горячими и холодными кошельками. Горячие подключены к интернету и нужны для повседневных операций, через них проходят оплаты и расчёты. Холодные хранят резервы в офлайне и используются редко. Разумная практика состоит в том, чтобы держать на горячих кошельках только оборотный минимум, а основную часть активов выводить в холодное хранение. Тогда даже успешная атака на операционный кошелёк не приведёт к потере всего капитала компании.

Следующий уровень защиты составляет технология подписания транзакций. Здесь конкурируют два подхода:

  • Мультиподпись требует, чтобы перевод подтвердили несколько независимых ключей, например по схеме «три из пяти», когда из пяти держателей подпись должны поставить минимум трое. Подход прозрачен и хорошо подходит для управленческого контроля, поскольку каждая подпись видна.
  • Второй подход называется вычислениями с распределением секрета (MPC). При нём полный закрытый ключ не существует целиком ни в один момент времени, он разбит на зашифрованные доли, распределённые между разными устройствами и узлами.

К 2026 году у институциональных игроков фактическим стандартом стало сочетание этих методов: MPC обеспечивает операционную скорость ежедневных переводов, а мультиподпись отвечает за прозрачное управление крупными решениями.

Для компании, которая не хочет строить инфраструктуру самостоятельно, имеет смысл оценивать поставщика услуг хранения по формальным признакам. Сертификации SOC 2 Type II и ISO 27001 к 2026 году перестали быть преимуществом и превратились в минимальное условие для серьёзного игрока. Полезно также понимать, как устроено разделение ролей внутри системы: когда один сотрудник инициирует транзакцию, а другой её подтверждает аппаратным или биометрическим ключом, вероятность как внешнего мошенничества, так и внутреннего злоупотребления заметно падает. Отдельного внимания заслуживает регулярное обновление долей ключа, которое позволяет усиливать защиту без смены адреса кошелька.

Человеческий фактор: самое уязвимое место в системе

Технологии защиты совершенствуются быстрее, чем привычки людей. По данным AMLBot, изучившего более 2500 реальных расследований, около 65% инцидентов 2025 года были вызваны социальной инженерией, а не техническими уязвимостями[2]. То есть в большинстве случаев атакующие не взламывали код, а обманывали конкретного человека. На фишинг пришлось 18% всех инцидентов, и он стал вторым по частоте типом атаки после инвестиционных схем.

Для бизнеса это означает, что инвестиции в защиту бессмысленны, если сотрудник готов перевести средства по убедительной просьбе из поддельного письма или подтвердить транзакцию после разговора с человеком, представившимся партнёром или сотрудником сервиса. Поэтому регламенты и обучение людей стоят в одном ряду с технологиями.

Несколько мер дают наибольший эффект при минимальных затратах. Белые списки адресов ограничивают круг получателей, которым компания вообще может отправлять средства, и любое новое направление проходит отдельное подтверждение. Лимиты на сумму одной операции и на дневной оборот не дают увести крупные средства в один заход. Запрет копировать адрес получателя из истории транзакций напрямую закрывает описанную выше угрозу отравления адреса: реквизиты сверяются с первоисточником, а не берутся из ленты переводов. Наконец, разделение полномочий не позволяет одному человеку единолично провести крупный платёж, что снижает риск как ошибки, так и сговора.

Комплаенс и юридический контур: риски, которые не видно сразу

Эта группа угроз коварна тем, что проявляется с задержкой. Компания может месяцами спокойно работать, а затем получить блокировку поступления или запрос от банка, потому что один из контрагентов оказался связан с проблемным источником средств.

Ключевая практика здесь состоит в проверке контрагента и адреса до проведения транзакции, а не после неё. Каждый внешний адрес, на который компания отправляет средства или от которого получает их, стоит сверять с санкционными списками и базами адресов, связанных с нелегальной активностью. Сложность в том, что прямого совпадения часто не бывает. Кошелёк проходит проверку без замечаний, но при анализе цепочки выясняется, что несколько шагов назад он получил средства от санкционного адреса. Такие связи через посредников видны только при анализе истории переводов, и именно их пропускают поверхностные проверки.

Добавляется регуляторное давление. Правило передачи данных об отправителе и получателе (FATF Travel Rule) обязывает поставщиков услуг с виртуальными активами сопровождать переводы информацией о сторонах сделки. В Евросоюзе для операций между лицензированными площадками порог отсутствует вовсе, данные требуются по любому переводу. Переходный период регламента MiCA, который навёл порядок на крипторынке ЕС, завершился 1 июля 2026 года без продлений: с этого момента любая компания, обслуживающая клиентов из ЕС без разрешения CASP, работает с нарушением Регламента (ЕС) 2023/1114. Лицензию к сроку получили немногие. Из более чем 1200 площадок, ранее зарегистрированных по национальным правилам, полную авторизацию по MiCA прошли около 210, то есть примерно каждая шестая. Для бизнеса, ведущего трансграничные расчёты, это значит, что круг контрагентов с чистым правовым статусом заметно сузился, и выбор площадки теперь напрямую влияет на юридическую чистоту операций.

Здесь возникает управленческая развилка. Выстраивать весь комплаенс-контур внутри компании дорого и требует отдельной экспертизы. Альтернатива состоит в том, чтобы часть нагрузки перенести на инфраструктуру партнёра, который уже работает в правовом поле и берёт проверки, документирование и взаимодействие с банками на себя.

Выбор партнёра по операциям как часть системы безопасности

Когда компания проводит крупные операции с криптовалютой, многое решает не столько технология кошелька, сколько то, через кого проходит обмен и ввод-вывод средств. Лицензированный поставщик услуг с виртуальными активами (VASP) закрывает сразу несколько рисков из описанных выше, поскольку работает в регулируемом поле и предоставляет документальное сопровождение сделок. GeCrypto относится к таким компаниям: это VASP, лицензированный Национальным банком Грузии, и его опыт работы с бизнесом удобно рассмотреть на трёх типичных сценариях.

Первый сценарий касается расчётов с зарубежными подрядчиками в ЕС и США. Классический банковский перевод через SWIFT идёт два-три дня, а по отдельным направлениям и до недели, при этом совокупная стоимость трансграничного платежа с учётом курсовой разницы, комиссий банков-посредников и комплаенс-издержек обычно составляет от 3 до 7% суммы. Расчёт через криптоинфраструктуру проходит за минуты и стоит доли процента. Помимо экономии и скорости, компания снимает с себя головную боль с банками-посредниками, которые любят задерживать платежи для дополнительных проверок. Неслучайно объём B2B-платежей в стейблкоинах за год вырос в разы.

Второй сценарий связан с вводом и выводом крупных сумм на расчётный счёт. Бизнес, получивший от клиентов оплату в криптовалюте за оказанные услуги, рано или поздно сталкивается с задачей завести эти средства в банк. Здесь и проявляется ценность лицензии. Когда деньги поступают на расчётный счёт от лицензированного VASP, у комплаенс-службы грузинских банков обычно не возникает вопросов даже к переводам на сумму около миллиона долларов, потому что источник прозрачен и сопровождается полным пакетом документов по сделке. Работает и обратный сценарий, когда компании нужна крупная сумма в криптовалюте в обмен на оплату с расчётного счёта. В обоих случаях документальная прослеживаемость операции снижает риск блокировки и претензий.

Третий сценарий охватывает выплату вознаграждения сотрудникам в криптовалюте. Для распределённых команд, где специалисты находятся вне грузинской юрисдикции, крипта часто оказывается самым быстрым и предсказуемым способом расчёта. Организованная через лицензированного партнёра, такая выплата сохраняет прозрачность для бухгалтерии и не превращается в источник регуляторных вопросов.

Во всех трёх случаях логика одна. Правильно выбранный партнёр по операциям становится таким же элементом контура безопасности, как кошелёк с мультиподписью или регламент проверки адресов. Он снимает часть финансовых, комплаенс- и контрагентских рисков, которые компании пришлось бы закрывать самостоятельно.

Чек-лист: как выстроить систему минимизации рисков

Ниже короткий перечень шагов, который удобно использовать как опорную точку при настройке корпоративной работы с криптовалютой.

  1. Разделите хранение на горячее и холодное, оставляя на операционных кошельках только оборотный минимум.
  2. Внедрите мультиподпись или MPC для подтверждения транзакций и разведите роли инициатора и подтверждающего.
  3. При выборе поставщика услуг хранения (кастоди) проверяйте наличие сертификаций SOC 2 Type II и ISO 27001.
  4. Заведите белые списки адресов, лимиты на операции и запрет копировать реквизиты из истории переводов.
  5. Регулярно обучайте сотрудников распознавать фишинг и социальную инженерию, поскольку именно люди остаются главной мишенью.
  6. Проверяйте контрагентов и адреса по санкционным базам до транзакции, а не после неё.
  7. Учитывайте требования Travel Rule и завершение переходного периода MiCA при работе с европейскими партнёрами.
  8. Передавайте крупные операции ввода, вывода и трансграничных расчётов лицензированному VASP, чтобы получить документальное сопровождение и снизить нагрузку на собственный комплаенс.

Системная работа по этим пунктам не делает риски нулевыми, но переводит их из разряда случайностей, на которые компания не влияет, в разряд управляемых параметров. В этом и состоит главная цель корпоративной безопасности при работе с цифровыми активами.

[1] Chainalysis. 2026 Crypto Crime Report.

[2] AMLBot. Crypto Crime Report 2025.