91% организаций формируют ИБ-стратегию без учета бизнес-рисков и возможных потерь

K2 Cloud, K2 Кибербезопасность и Positive Technologies представили результаты исследования о киберустойчивости российских компаний. В анонимном опросе приняли участие 387 специалистов из средних и крупных организаций разных отраслей - преимущественно ИБ- и ИТ-руководители. Основной итог - российские компании все еще плохо подготовлены к реальным киберугрозам и не понимают как защищать себя самостоятельно.

Неподготовленность к угрозам

Лишь 20% компаний относятся к вопросу кибербезопасности серьезно и кроме формального прохождения аудита у регуляторов внедрили внутренние ИБ-стандарты с учетом трендов угроз и для реальной защиты. Меньше половины (40%) централизованно и регулярно сканируют системы на уязвимости для их своевременного устранения. Почти треть компаний не проводит проверку защищенности ИТ-инфраструктуры вовсе. Только у 15% есть документированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются.

У 36% компаний функции кибербезопасности до сих пор выполняют сотрудники ИТ-департамента без четкого разграничения ролей и ответственности. При этом у 80% компаний часть штата работает удаленно или в гибридном формате. Размытый периметр доступа в сочетании с нечеткой ответственностью за безопасность - готовая точка входа для злоумышленников.

"Данные показывают типичную картину "бумажной" безопасности. ИБ-функция формально существует, но операционная зрелость: непрерывный мониторинг, тестирование сценариев, риск-ориентированное бюджетирование - остается уделом меньшинства. Разрыв между наличием структуры и реальной способностью реагировать на угрозы в большинстве организаций огромен. При этом 41% компаний до сих пор не используют облака - а значит, берут на себя всю нагрузку по защите инфраструктуры самостоятельно, не всегда имея для этого достаточно ресурсов и экспертизы. Между тем облачные провайдеры за последние годы сильно изменились: сегодня это не просто вычислительные мощности в аренду, а платформы, которые серьезно инвестируют в собственную безопасность и предлагают уровень защиты, который большинству компаний сложно воспроизвести in-house", - отметила Анжелика Захарова, руководитель практики кибербезопасности K2 Cloud.

ИБ-стратегия

Российским компаниям все еще трудно самостоятельно формировать ИБ-стратегию - лишь у 9% ИБ-бюджет, задачи и KPI основаны на оценке ущерба и вероятности инцидентов. У большинства объем расходов на кибербезопасность формируется просто исходя из числа сотрудников или общего объема ИТ-бюджета. Поэтому многие продолжают ориентироваться на внешнюю экспертизу ИБ-интеграторов. 30% участвуют в программе bug bounty и/или проводят регулярные пентесты и киберучения, в т.ч. с привлечением внешних экспертов.

"В 2025 г. мы увидели положительную динамику - половина ИТ- и ИБ-директоров отметили значительное повышение интереса к кибербезопасности со стороны топ-менеджмента и увеличение бюджетов на ИБ. При этом текущий опрос показал, что лишь у 17% компаний есть выделенная роль CISO в составе совета директоров для формирования стратегии ИБ. Это очень низкий показатель. Целенаправленный характер атак и возможные бизнес-риски должны сделать кибербезопасность обязательной частью бизнес-стратегии любой организации", - прокомментировал Андрей Заикин, директор по развитию бизнеса К2 Кибербезопасность.

У большинства компаний (76%) в слепой зоне продолжает оставаться обучение персонала, в том числе и политикам кибербезопасности - этот процесс либо отсутствует полностью или проводится очень редко и формально (при приеме на работу или уже после инцидента).

"Необходимость повышать общую киберграмотность сотрудников сегодня осознают не многие компании. И имеют дело с серьезными последствиями - взломом бизнеса через социальную инженерию и фишинг. Важно, что обучение должно быть сквозным: от рядовых сотрудников до CEO. Топ-менеджмент интересен хакерам, поскольку руководители обладают максимальными полномочиями доступа к критической информации и финансовым ресурсам компании. ИБ-специфику важно важно учитывать при формировании комплексного плана развития и сотрудников и руководителей", - отметила Анастасия Федорова, руководитель образовательных программ Positive Education, Positive Technologies.

Средства защиты

38% компаний для кибербезопасности продолжают довольствоваться только корпоративным антивирус и/или базовым файерволом, которые не способны всесторонне защитить от сегодняшних угроз. У 33% есть система обнаружения вторжений или защиты конечных точек (IDS, IPS, EDR), но без централизованной корреляции и проблемами с shadow-it.