Каждый день простоя крупного ритейлера стоит 236 млн руб. выручки и 105 млн руб. прибыли. Именно столько потеряла сеть «ВинЛаб» после кибератаки в июле 2025 года, когда акции Novabev Group упали на 5,5%. При этом эксперты оценивают необходимый бюджет ИБ для компании такого масштаба всего в 100–150 млн руб. в год — сумму, которая окупилась бы за полтора рабочих дня. В новом материале «Компьютерра» разбирается, где грань между разумной экономией и катастрофическими рисками в ИТ-бюджете.
Базовый минимум
Любая компания, независимо от размера и отрасли, нуждается в базовом наборе инструментов информационной безопасности. Эти меры не дают полной гарантии защиты, но позволяют минимизировать основные риски и избежать типичных уязвимостей.
Минимальный набор средств защиты для любой компании эксперты оценивают от 2 млн рублей в год. «Можно оценить минимальные затраты примерно в 2 млн рублей в год, но это минимальный набор для обеспечения ИБ, и он не гарантирует 100% защиту», — отмечает руководитель группы продаж ИТ-решений и аутсорсинга информационной безопасности ГК XCOM Екатерина Киселева.
В обязательный минимум входят антивирусная защита, межсетевой экран, резервное копирование, своевременное обновление ПО и ОС, защита почтовых сервисов и корпоративная парольная политика.
Ведущий системный администратор ИТ- и ИБ компании Simplity Евгений Цецорин также подчеркивает важность периодического аудита ИТ-инфраструктуры и проведения пентестов как инструментов для выявления пробелов в защите.
Для определения разумного уровня финансирования ментор онлайн-магистратуры «Кибербезопасность» НИУ ВШЭ и Нетологии Денис Бубнов предлагает ориентироваться на новые оборотные штрафы.
«В некоторых случаях при повторных фактах утечек оборотный штраф может достигать 1-3% выручки компании. Эти цифры — разумный минимум расходов на информационную безопасность компании».
Денис Бубнов, ментор онлайн-магистратуры «Кибербезопасность» НИУ ВШЭ и Нетологии
Получается, базовые вложения в ИБ — это не дополнительная статья расходов, а обязательный минимум, без которого бизнес фактически остается беззащитным. Даже самые простые меры существенно снижают вероятность серьезных инцидентов.
На чем экономить категорически нельзя
Попытки сократить расходы на критически важные элементы безопасности приводят к тому, что система защиты перестает функционировать должным образом. Эксперты рассказали, что экономия на людях, технологиях или процессах создает пробелы, которыми непременно воспользуются злоумышленники.
«Экономить нельзя на людях. Люди — это всегда слабое звено любой системы безопасности».
Дмитрий Михеев, технический директор «АйТи Бастион»
Эксперт считает, что инвестиции в обучение персонала и формирование культуры безопасности часто обходятся дешевле покупки сложных технологий, но приносят долгосрочный эффект. «Фишинговые письма, «поделиться паролем с коллегой», флешка в ноутбуке из дома — именно такие мелочи чаще всего приводят к крупным инцидентам. И никакая самая дорогая система защиты не поможет, если персонал систематически нарушает правила. Поэтому вложения в обучение, осознанность, регулярные тренировки и культуру безопасности — это базовая необходимость», — отмечает Михеев.
Бубнов выделяет критически важную триаду безопасности: технологии, персонал и процессы. «Если исключить любой из этих элементов — система защиты перестанет работать полноценно», — считает эксперт. Он тоже обращает внимание, что даже наличие лучших технологий и квалифицированных специалистов не поможет, если сотрудники продолжают хранить данные клиентов на общедоступных облаках и используют незащищенные мессенджеры.
Отказ от базовых компонентов защиты чреват катастрофическими последствиями. Так, Цецорин предупреждает, что отказ от антивируса грозит заражением сети от любой флешки, включая шифровальщиков, отказ от межсетевого экрана открывает компанию полностью в интернет, а игнорирование обновлений ПО оставляет возможность эксплуатировать известные уязвимости типа WannaCry или NotPetya.
Поэтому экономить можно только на второстепенных статьях, но не на фундаментальных элементах защиты. Технологии, персонал и процессы должны работать в комплексе, иначе риски для бизнеса становятся слишком высокими.
Подробнее о том, на чем можно сэкономить в ИТ, мы писали ранее.
Реальная стоимость экономии
Экономия на информационной безопасности почти всегда оказывается иллюзорной. Прямые убытки — лишь часть проблемы, куда опаснее становятся репутационные потери и падение доверия со стороны клиентов и инвесторов. Киселева приводит средние цифры общего ущерба:
- малый и средний бизнес — от 2,7 до 18 млн руб.;
- крупные компании — сотни миллионов руб.
Эксперт детализирует эти суммы по конкретным статьям расходов. По ее оценкам, каждая категория восстановительных работ требует значительных вложений, которые суммируются в итоговый ущерб.
Детализация прямых расходов на восстановление составляет:
- расследование инцидента — от 425 тысяч до 4,25 млн руб.;
- восстановление систем — от 425 тысяч до 4,25 млн руб.;
- юридические услуги — от 425 тысяч до 4,25 млн руб.;
- восстановление данных — от 850 тысяч до 8,5 млн руб.
Но самые болезненные потери связаны с остановкой бизнес-процессов. Киселева объясняет, что стоимость простоя напрямую коррелирует с размером компании и сложностью ее ИТ-инфраструктуры.
Стоимость простоя по размеру бизнеса (за час) составит:
- малый бизнес (10-50 сотрудников) — от 850 тысяч до 2,55 млн руб.;
- средний бизнес (50-500 сотрудников) — от 2,55 до 8,5 млн руб.;
- крупный бизнес (500+ сотрудников) — от 8,5 до 42,5 млн руб. и выше.
К прямым расходам добавляются законодательные санкции и требования злоумышленников. Бубнов подчеркивает, что в России происходит постепенное ужесточение ответственности за утечки данных. Так, при подтвержденной утечке данных и повторном инциденте компания заплатит 1–3% от оборота. «Например, если годовой оборот 500 млн руб., то величина штрафа составит 5 млн», — поясняет эксперт. К этому добавляется потенциальный выкуп информации у злоумышленников — до 150 тысяч долл. или 12 млн руб.
Однако репутационные потери особенно болезненны, считает Киселева: отток клиентов и партнеров составляет от 10% до 40%, снижение стоимости акций может достигать 5–10%. «Пример из совсем недавнего прошлого – закрытие биржи Lykke после хакерской атаки, компании пришлось приостановить деятельность из-за множества исков клиентов, а в марте этого года она и вовсе была ликвидирована», — рассказала эксперт.
Хорошо видно это на примере сети «ВинЛаб»: летом 2025 года из-за кибератаки продажи компании остановились. Цецорин рассказал, что один день простоя обошелся бизнесу примерно в 236 млн руб. выручки и 105 млн руб. прибыли. Акции материнской компании Novabev Group просели на 5,5%, а весь бизнес оказался под ударом. При этом годовой бюджет на информационную безопасность для ритейлера такого масштаба эксперты оценивают всего в 100–150 млн руб. — сумма, которая окупилась бы менее чем за два дня работы.
Этот пример показывает, что цена «экономии» зачастую многократно превышает любые инвестиции в безопасность. Рациональный подход — не пытаться минимизировать затраты любой ценой, а соотносить их с потенциальными рисками для бизнеса.
С чего начать оптимизацию
Оптимизация ИТ-бюджета не означает сокращение защиты. Задача бизнеса — грамотно использовать доступные ресурсы, начиная с встроенных возможностей и правильных настроек уже существующих систем.
Михеев указывает на важный момент: многие современные ОС и сетевое оборудование уже содержат базовые средства защиты.
«Технически минимальный набор таких функций уже есть в составе современных ОС и сетевого оборудования. Вопрос скорее в том, чтобы эти возможности были правильно включены и настроены».
Дмитрий Михеев, технический директор «АйТи Бастион»
Эксперт полагает, что многие компании терпят инциденты именно из-за того, что базовые средства отключены или настроены неправильно.
Это означает, что первый резерв для экономии — максимальное использование встроенных возможностей защиты вместо покупки дополнительного ПО. Правильная настройка имеющихся инструментов может обеспечить достаточный уровень безопасности без значительных затрат.
Второй резерв — инвестиции в обучение персонала вместо покупки дорогостоящих технологических решений. Как отмечает Михеев, фишинговые письма, передача паролей коллегам и использование личных флешек чаще всего приводят к крупным инцидентам, и никакая дорогая система не поможет при систематическом нарушении правил безопасности.
Компании, которые умеют рационально использовать имеющиеся инструменты и уделяют внимание подготовке сотрудников, получают более высокий уровень безопасности без значительного увеличения расходов. Экономия здесь достигается за счет эффективности, а не за счет риска.
Стратегия разумной экономии
Главная цель любой стратегии экономии в ИТ — найти баланс между затратами и рисками. Эксперты считают, что бизнесу важно понимать: информационная безопасность — это не разовое вложение, а постоянный процесс, требующий внимания и системного подхода.
Евгений Цецорин формулирует ключевой принцип: «ИТ — это кислород современного бизнеса, а ИБ — это кислородная маска». Недостаточные инвестиции в безопасность могут привести к потере всей инфраструктуры, что равно потере бизнеса.
Оптимальная стратегия включает несколько направлений:
- Во-первых, обязательные инвестиции в базовую триаду: технологии, персонал и процессы — без возможности экономии.
- Во-вторых, максимальное использование встроенных средств защиты современного ПО и оборудования.
- В-третьих, приоритет обучения персонала над покупкой дорогостоящих технологий.
- В-четвертых, регулярный аудит и пентесты для выявления слабых мест.
Бубнов подчеркивает проактивный подход: «Важно, чтобы специалисты могли стратегически мыслить, предвидеть угрозы, а не просто реагировать на них». Это означает, что экономия на квалификации ИБ-специалистов недопустима — лучше иметь одного высококвалифицированного сотрудника, чем нескольких слабых.
Михеев резюмирует философию правильного подхода к рискам: случиться может разное, но важно, как быстро компания сможет оправиться после удара.
«Инцидент случится рано или поздно. Вопрос в том, насколько тяжелыми будут последствия и сколько займет восстановление».
Дмитрий Михеев, технический директор «АйТи Бастион»
По словам эксперта, грамотная стратегия ИБ превращает катастрофу в управляемую задачу, где затраты на восстановление измеряются тысячами, а не миллионами рублей.
Итоговая формула разумной экономии в ИТ-безопасности: 1-3% от оборота на базовую защиту, максимальное использование встроенных возможностей, приоритет обучения персонала и регулярный аудит. Эксперты уверены: экономия ниже этого уровня неизбежно обернется многократно большими потерями при первом же серьезном инциденте.