Защита как актив: как бизнесу обосновать расходы на ИБ
Калькулятор «Лаборатории Касперского» и «Технологий доверия» позволяет оценить возврат вложений в кибербезопасностьМировые расходы на кибербезопасность растут вместе с количеством атак. Так, по оценкам консалтинговой компании Gartner, если в 2024 г. компании потратили на киберзащиту $184 млрд, то в 2025 г. сумма выросла до 212–213 млрд, а в 2026 г. может достичь $240 млрд. Только в России на закупку решений в сфере информационной безопасности (ИБ) в прошлом году потратили 191,7 млрд руб., свидетельствуют данные «СКБ Контур».
Это показывает, что бизнес осознает важность защиты критически важных и чувствительных данных, а также собственной инфраструктуры, однако препятствием нередко становится невозможность обосновать затраты в цифрах. Зачастую не вполне ясны ни необходимый объем вложений, ни экономия от снижения соответствующих рисков. Потребность в оценке инвестиций особенно остро возникает у компаний, которые не просто озаботились повышением безопасности, а развивают IT-инфраструктуру и находятся в процессе цифровой трансформации, внедряют новые технологии, включая ИИ, участвуют в формировании собственной ИБ-команды.
Чтобы руководство компаний и директора по информационной безопасности могли оценить эффект от инвестиций в ИБ, «Лаборатория Касперского» и «Технологии доверия» разработали пилот специального калькулятора. Он позволяет сделать оценку, сколько можно вернуть вложений за счет внедрения технологических решений в области киберзащиты исходя из введенных параметров на основе средних показателей по отраслям. Разработчики планируют представить его на ПМЭФ-2026, а затем доработать с учетом откликов и выпустить на рынок.
Почему защита от киберугроз принципиально важна, как работает калькулятор и как на рынке оценивают риски – в обзоре «Ведомости. Инноваций и технологий».
Угрозы растут
Совокупный ущерб от киберпреступности в России по итогам 2025 г. достиг 1,5 трлн руб., сообщал в конце прошлого года депутат Госдумы Антон Немкин на Международной конференции по информационной безопасности Kuban CSC 2025. Сбербанк, в свою очередь, зафиксировал трехкратный рост атак на отечественный корпоративный сектор в 2025 г., сообщал зампред правления банка Станислав Кузнецов. По его словам, каждые три минуты одна из российских компаний испытывает на себе кибератаку.
Наибольшим угрозам подвергаются несколько отраслей. Как свидетельствуют данные «Лаборатории Касперского», в государственном секторе 19% от всех зафиксированных киберпроисшествий имеют высокий уровень риска. В большинстве это сложные целевые атаки и инциденты, связанные с использованием социальной инженерии (психологического манипулирования людьми с целью получения конфиденциальной информации). В промышленном секторе доля таких происшествий составляет 17%, в IT-отрасли – 15%.
При этом инвестиции в защиту от этих угроз могут иметь стратегическое значение. Так, по оценкам Ernst & Young, финансовый эффект от участия служб безопасности в корпоративных проектах варьируется от медианных $11 млн у компаний с выручкой $1–4,9 млрд до $154 млн у гигантов с доходом от $20 млрд в год.
«Вложения в информационную безопасность не могут иметь моментальный эффект – это долгосрочная инвестиция», – говорит вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ Анна Кулашова. Но в то же время, по ее словам, компаниям важно представлять, какой результат могут принести такие вложения и как они влияют на снижение рисков. «Бизнесу необходимы понятные ориентиры для оценки эффективности таких вложений. Поэтому для руководителей служб безопасности критически важно понимать возможный ущерб от киберинцидентов, включая потери, связанные с недоступностью ключевых сервисов», – объясняет Кулашова.
Инвестиции: перезагрузка
Чтобы снять проблему неопределенности, связанную со сложностью оценки возврата инвестиций в киберзащиту, «Лаборатория Касперского» совместно с аудиторско-консалтинговой компанией «Технологии доверия» разработала специальный калькулятор. Он позволяет оценить объем возврата инвестиций (ROI) в информационную безопасность.
Как отметила Анна Кулашова, этот аналитический сервис, по сути, является инструментом для заказчиков компании. По ее словам, руководители по информационной безопасности (CISO) получают возможность обосновать собственникам и руководству свои затраты на ИБ. В свою очередь руководители бизнеса могут использовать тот же инструмент, чтобы понять логику запросов своего CISO и оценить потенциальный возврат от вложений.
Перед созданием калькулятора «Лаборатория Касперского и «Технологии доверия» провели исследование, в котором оценили потери от угроз для типовой компании. Под ней понималось предприятие, в котором работают 10 000 сотрудников, есть шесть офисов в разных регионах страны, 13 000 рабочих станций, более 100 серверов, а годовая выручка составляет около 100 млрд руб. Для такой типовой организации средний текущий уровень зрелости информационной безопасности (оцененный по 18 направлениям) равен 57%, показало исследование. При этом потенциальный ущерб может достигать 6,9 млрд руб. Калькулятор позволяет варьировать исходные данные и получать оценку, приближенную к профилю конкретной организации, в зависимости от введенных параметров.
«Бизнесу необходимы понятные ориентиры для оценки эффективности вложений в защиту данных. Поэтому для руководителей служб безопасности критически важно понимать возможный ущерб от киберинцидентов, включая потери, связанные с недоступностью ключевых сервисов»
Для этого необходимо ввести данные об отрасли компании, количестве сотрудников, годовой выручке и статистике инцидентов. Сервис наглядно покажет, насколько снизится потенциальный средний ущерб при инвестициях в инструменты кибербезопасности, а также рассчитать ROI – как разницу между размером возможного ущерба и расходами на внедрение решений.
Например, отметили создатели калькулятора, компания из отрасли розничной торговли имеет годовую выручку до 80 млрд руб. со штатом в 10 000–11 000 сотрудников. При существующем уровне зрелости ИБ около 50% потенциальный ущерб от критичных инцидентов – простоя IT-систем, утечки данных или недоступности сервисов – может достигать 1,5 млрд руб. за период инцидента. В таких условиях внедрение решений ИБ дает высокий экономический эффект: ROI SIEM-системы может достигать 502%, решения класса Threat Intelligence – 536%, решения для противодействия целевым атакам – 244%.
В финансовом секторе требования регуляторов выше, и зрелость ИБ превышает 70%. Поэтому ROI отдельных решений обычно ниже – не потому, что они менее эффективны, а потому, что базовые процессы защиты уже выстроены. В таком случае эффект достигается за счет повышения скорости выявления и реагирования на инциденты, оптимизации процессов и снижения остаточных рисков. Например, ROI SIEM-системы может составлять до 320%, решения класса Threat Intelligence – до 453%, EDR-системы – около 115%.
Как пояснила Анна Кулашова, калькулятор может быть полезен как среднему и крупному бизнесу, так и для малого бизнеса. Последнему инструмент позволяет провести первичную оценку рисков и потенциального эффекта от внедрения базовых мер защиты. Тем не менее максимальную ценность сервис представляет для организаций, в которых стоимость простоев, инцидентов и утечек данных может оборачиваться существенными финансовыми потерями.
Сомнения пройдены
Подход в калькуляторе основан на анализе факторов, влияющих на вероятность возникновения инцидентов в сфере информационной безопасности, рассказал партнер и руководитель практики кибербезопасности «Технологий доверия» Максим Иванов. По его словам, модель позволяет выстраивать прозрачную связь между вложениями в ИБ и фактическим снижением уровня риска, что особенно важно при защите бюджета на уровне обсуждения потенциальных инвестиций.
Заблаговременная оценка потенциальных финансовых последствий от инцидентов в сфере кибербезопасности становится заметным трендом. Как указывал генеральный директор «Альфастрахования» Владимир Скворцов, кибератака на промышленное предприятие – это не только IT-проблема, но и прямая угроза непрерывности всего производственного процесса. По его данным, инцидент может обойтись компании как в 10 млн руб., так и в 100 млн руб. Но главный риск – остановка производства на несколько недель, способная привести к миллиардному ущербу. При этом разница в сумме ущерба определяется не случайностью, а степенью готовности бизнеса к киберугрозам, добавил Скворцов.
Эксперт по информационной безопасности «Контур.Эгиды» и Staffcop Юрий Драченин утверждает, что сейчас во многих отраслях ИБ стала частью базовой операционной устойчивости: например, резервное копирование, отказоустойчивость или контроль доступа. По его словам, стратегическим активом такие инвестиции становятся только в отдельных случаях, когда защита напрямую влияет на непрерывность бизнеса, доверие клиентов или выполнение регуляторных требований.
«Обычно клиенты отталкиваются от собственной модели угроз и оценки рисков. Они смотрят, какие сценарии для них критичны, какой ущерб может принести инцидент и насколько затраты на защиту соотносятся с потенциальными последствиями. Важна не сама покупка ИБ‑решения, а адекватность затрат тому риску, который компания закрывает», – объяснил Драченин.
«Бизнес уже начал осознавать критическую важность защиты информации», – подчеркнула Кулашова. По ее мнению, стадия сомнений пройдена и кибербезопасность все чаще воспринимается как стратегический актив. Главную цель созданного сервиса она объяснила так: предоставить инструмент, позволяющий понять, почему меры защиты стоят определенных денег и что эти вложения – необходимая инвестиция.