91% организаций формируют ИБ-стратегию без учета бизнес-рисков и возможных потерь

Дата: Май 12, 2026

K2 Cloud, K2 Кибербезопасность и Positive Technologies представили результаты масштабного исследования о киберустойчивости российских компаний. В анонимном опросе приняли участие 387 специалистов из средних и крупных организаций разных отраслей — преимущественно ИБ- и ИТ-руководители. Основной итог — российские компании все еще плохо подготовлены к реальным киберугрозам и не понимают, как защищать себя самостоятельно.

Неподготовленность к угрозам. Лишь 20% компаний относятся к вопросу кибербезопасности серьезно и кроме формального прохождения аудита у регуляторов внедрили внутренние ИБ-стандарты с учетом трендов угроз и для реальной защиты. Меньше половины (40%) централизованно и регулярно сканируют системы на уязвимости для их своевременного устранения. Почти треть компаний не проводит проверку защищенности ИТ-инфраструктуры вовсе. Только у 15% есть документированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются.

У 36% компаний функции кибербезопасности до сих пор выполняют сотрудники ИТ-департамента без четкого разграничения ролей и ответственности. При этом у 80% компаний часть штата работает удаленно или в гибридном формате. Размытый периметр доступа в сочетании с нечеткой ответственностью за безопасность — готовая точка входа для злоумышленников.

«Данные показывают типичную картину «бумажной» безопасности. ИБ-функция формально существует, но операционная зрелость: непрерывный мониторинг, тестирование сценариев, риск-ориентированное бюджетирование — остается уделом меньшинства. Разрыв между наличием структуры и реальной способностью реагировать на угрозы в большинстве организаций огромен. При этом 41% компаний до сих пор не используют облака — а значит, берут на себя всю нагрузку по защите инфраструктуры самостоятельно, не всегда имея для этого достаточно ресурсов и экспертизы. Между тем облачные провайдеры за последние годы сильно изменились: сегодня это не просто вычислительные мощности в аренду, а платформы, которые серьезно инвестируют в собственную безопасность и предлагают уровень защиты, который большинству компаний сложно воспроизвести in-house», — отметила Анжелика Захарова, руководитель практики кибербезопасности K2 Cloud.

ИБ-стратегия. Российским компаниям все еще трудно самостоятельно формировать свою ИБ-стратегию — лишь у 9% ИБ-бюджет, задачи и KPI основаны на оценке ущерба и вероятности инцидентов. У большинства объем расходов на кибербезопасность формируется просто исходя из числа сотрудников или общего объема ИТ-бюджета. Поэтому многие продолжают ориентироваться на внешнюю экспертизу ИБ-интеграторов. 30% участвуют в программе bug bounty и/или проводят регулярные пентесты и киберучения, в т.ч. с привлечением внешних экспертов.

«В прошлом году мы увидели положительную динамику — половина ИТ- и ИБ-директоров отметили значительное повышение интереса к кибербезопасности со стороны топ-менеджмента и увеличение бюджетов на ИБ. При этом текущий опрос показал, что лишь у 17% компаний есть выделенная роль CISO в составе совета директоров для формирования стратегии ИБ. Это очень низкий показатель. Целенаправленный характер атак и возможные бизнес-риски должны сделать кибербезопасность обязательной частью бизнес-стратегии любой организации», — прокомментировал Андрей Заикин, Директор по развитию бизнеса К2 Кибербезопасность.

У большинства компаний (76%) в слепой зоне продолжает оставаться обучение персонала, в том числе и политикам кибербезопасности — этот процесс либо отсутствует полностью или проводится очень редко и формально (при приеме на работу или уже после инцидента).

«Необходимость повышать общую киберграмотность сотрудников сегодня осознают не многие компании. И имеют дело с серьезными последствиями — взломом бизнеса через социальную инженерию и фишинг. Важно, что обучение должно быть сквозным: от рядовых сотрудников до CEO. Топ-менеджмент интересен хакерам, поскольку руководители обладают максимальными полномочиями доступа к критической информации и финансовым ресурсам компании. ИБ-специфику важно важно учитывать при формировании комплексного плана развития и сотрудников и руководителей», — отметила Анастасия Федорова, руководитель образовательных программ Positive Education, Positive Technologies.

Средства защиты. 38% компаний для своей кибербезопасности продолжают довольствоваться только корпоративным антивирус и/или базовым файерволом, которые не способны всесторонне защитить от сегодняшних угроз. У 33% есть система обнаружения вторжений или защиты конечных точек (IDS, IPS, EDR), но без централизованной корреляции и проблемами с shadow-it.