Исследование: компании выделяют рекордные 13,2% IT-бюджетов на кибербезопасность

Введение: Эволюция кибербезопасности в корпоративных ИТ-стратегиях

В эпоху цифровой трансформации информационная безопасность стала не просто технической необходимостью, но и стратегическим бизнес-императивом для организаций всех размеров и отраслей. Три фундаментальных фактора определяют критичность инвестиций в кибербезопасность сегодня: экспоненциальный рост киберугроз, расширение цифровой поверхности атак и ужесточение регуляторных требований. По данным Всемирного экономического форума, кибератаки входят в пятерку главных глобальных рисков наравне с климатическими изменениями и экономической нестабильностью.

Обеспечение адекватного финансирования мер по защите информационных активов стало ключевым фактором поддержания непрерывности бизнеса и репутации компаний. Согласно исследованиям, средняя стоимость утечки данных в 2023 году превысила 4,5 миллиона долларов США, при этом негативные последствия для бизнеса могут ощущаться на протяжении нескольких лет после инцидента. В этих условиях руководители бизнеса и ИТ-департаментов стоят перед сложной задачей определения оптимального уровня инвестиций в информационную безопасность.

Настоящий отчет представляет комплексный анализ тенденций в области глобальных расходов на информационную безопасность как доли от общего ИТ-бюджета за период с 2020 по 2025 год. Исследование опирается на данные ведущих международных аналитических агентств, включая Gartner, Forrester, IDC, и отраслевые опросы руководителей информационной безопасности (CISO). Особое внимание уделяется изменениям в приоритетах финансирования, отраслевой специфике расходов и ключевым драйверам инвестиций в цифровую защиту.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2020 год

Согласно данным опроса руководителей информационной безопасности (CISO), проведенного IANS Research и Artico Search, в 2020 году расходы на безопасность составляли в среднем 8,6% от общего ИТ-бюджета [1]. Этот показатель отражает бюджетные приоритеты организаций в начале периода пандемии COVID-19, которая оказала значительное влияние на ИТ-расходы. Несмотря на потенциальную переориентацию бюджетов, необходимость защиты данных в условиях массового перехода на удаленную работу сохраняла свою актуальность, что нашло отражение в относительно высокой доле расходов на безопасность.

Другие источники указывают, что в 2020 году компании в среднем планировали потратить около 6% своего ИТ-бюджета на безопасность [3]. При этом наблюдалась значительная дифференциация в зависимости от отрасли. Так, компании, занимающиеся разработкой программного обеспечения и интернет-сервисами, прогнозировали расходы на уровне 8,7%, банки и финансовые учреждения — 7,3%, а государственные службы — 6,7%. Такой разброс свидетельствует о том, что уровень инвестиций в кибербезопасность напрямую зависел от специфики деятельности, степени цифровизации и регуляторных требований, предъявляемых к каждой отрасли.

Анализ структуры среднего бюджета на кибербезопасность в 2020 году показывает, что наибольшая часть средств приходилась на обеспечение безопасности операционной инфраструктуры (50%). Значительные доли также занимали управление уязвимостями и мониторинг безопасности (20%), управление, риски и соответствие требованиям (GR&C) (16%), а также безопасность приложений (14%).

Примечательно, что еще в 2016 году аналитики Gartner рекомендовали предприятиям тратить на ИТ-безопасность от 4 до 7 процентов своих ИТ-бюджетов, в зависимости от зрелости их систем и уровня подверженности рискам [4]. Сравнение этих рекомендаций с фактическими показателями 2020 года свидетельствует о растущем признании критической важности кибербезопасности и увеличении соответствующих инвестиций.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2021 год

В 2021 году наблюдался дальнейший рост доли расходов на безопасность в ИТ-бюджетах по сравнению с предыдущими годами. Одно из исследований показало, что средняя организация стала выделять более пятой части (21%) своего ИТ-бюджета на кибербезопасность, что представляет собой скачок на 63% [5]. Такой существенный рост мог быть обусловлен продолжающимся влиянием пандемии, увеличением числа кибератак, нацеленных на удаленных сотрудников, и усилением внимания к вопросам устойчивости к киберугрозам.

Анализ Forrester за 2021 год, посвященный распределению бюджетных средств на безопасность, сравнивал организации, тратящие на безопасность от 0% до 20% ИТ-бюджета, с теми, чей уровень расходов превышал 20% [6]. Исследование выявило, что значительная часть средств по-прежнему направлялась на локальные технологии безопасности, что могло свидетельствовать о неоптимальном распределении бюджета в условиях активной миграции в облако.

Согласно отчету IANS Research и Artico Search, в 2021 году рост бюджетов на безопасность составил 16% [1]. Этот двузначный рост подтверждает тенденцию увеличения инвестиций в кибербезопасность как доли от ИТ-расходов.

Примечательно, что 2021 год стал критической точкой в понимании необходимости комплексного подхода к кибербезопасности. Серия резонансных кибератак, включая инциденты с SolarWinds, Colonial Pipeline и JBS Foods, продемонстрировала, что уязвимости в цифровой безопасности могут иметь каскадный эффект, затрагивающий целые отрасли и цепочки поставок. Это привело к пересмотру традиционных подходов к формированию бюджетов на ИТ-безопасность с акцентом на превентивные меры и комплексные решения.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2022 год

В 2022 году тенденция к увеличению расходов на кибербезопасность продолжилась. По данным IANS Research и Artico Search, бюджеты на безопасность выросли на 17% [1]. Однако, несмотря на рост доли расходов на безопасность в ИТ-бюджетах, средний прирост бюджетов на безопасность за цикл 2022-2023 годов составил всего 6%, что значительно ниже 17% роста предыдущего года. Это замедление могло быть связано с экономической неопределенностью и инфляционным давлением, оказавшими влияние на общие ИТ-расходы. Тем не менее, доля расходов на безопасность относительно ИТ-бюджетов увеличилась с 8,6% в 2020 году до 11,6% в 2022 году [1]. Это говорит о том, что, несмотря на экономические ограничения, организации продолжали уделять приоритетное внимание кибербезопасности, выделяя на нее большую часть своих ИТ-средств.

Аналитики Forrester оценили среднюю долю расходов на кибербезопасность в 5,7% от годового ИТ-бюджета [10]. При этом прогнозировалось, что в 2024 году доминирующую позицию в бюджетах на кибербезопасность займет программное обеспечение, на которое будет приходиться 35,9% глобальных расходов и до 39,4% в крупных предприятиях. Разница в средних значениях, представленных разными агентствами, может быть обусловлена различиями в методологиях исследований и выборках респондентов.

Важно отметить, что в 2022 году существенно изменилась структура расходов на кибербезопасность. В ответ на геополитическую нестабильность и растущую угрозу целенаправленных кибератак, организации начали перераспределять бюджеты в пользу защиты от продвинутых постоянных угроз (APT), укрепления защиты критической инфраструктуры и повышения устойчивости к атакам программ-вымогателей. Многие предприятия внедрили или расширили программы киберстрахования, что также отразилось на общей структуре расходов на безопасность.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2023 год

В 2023 году, по данным IANS Research и Artico Search, средний прирост бюджетов на безопасность составил 6%, что соответствует показателю предыдущего цикла 2022-2023 годов [1]. Доля расходов на безопасность в ИТ-бюджетах в среднем составила 11,6%, продолжив тенденцию роста с 2020 года [1]. Это подтверждает, что кибербезопасность становится неотъемлемой частью ИТ-расходов, несмотря на возможное замедление темпов роста общих бюджетов на безопасность.

Опрос Moody's, проведенный в 2023 году, показал, что организации, имеющие кредитный рейтинг, выделяли на кибербезопасность 8% своих технологических бюджетов, что выше показателя 2019 года в 5% [11]. Эти данные также свидетельствуют о постепенном увеличении доли ИТ-бюджета, направляемой на нужды кибербезопасности.

2023 год стал переломным моментом в подходах к инвестициям в кибербезопасность в контексте внедрения технологий искусственного интеллекта (ИИ). С одной стороны, организации начали активно использовать ИИ для усиления своих возможностей по обнаружению и предотвращению угроз, что потребовало дополнительных инвестиций. С другой стороны, рост применения вредоносного ИИ киберпреступниками создал новые категории угроз, требующие соответствующих мер защиты [21]. Это способствовало перераспределению бюджетов в пользу интеллектуальных систем безопасности и платформ автоматизированного анализа угроз.

Глобальные расходы на информационную безопасность как процент от ИТ-бюджета: 2024 год

Согласно данным IANS Research и Artico Search, в 2024 году расходы на безопасность составляют 13,2% от общего ИТ-бюджета, что значительно выше показателя 2020 года в 8,6% [9]. За последние пять лет наблюдался устойчивый рост этого показателя с 8,6% в 2020 году до 13,2% в 2024 году. Средний рост бюджетов на безопасность в 2024 году составил 8%, увеличившись с 6% в 2023 году, однако он все еще ниже двузначных показателей 2021 и 2022 годов [9]. Эти данные демонстрируют значительное увеличение доли ИТ-бюджетов, направляемой на кибербезопасность, хотя темпы роста, возможно, несколько замедлились, что может указывать на определенную стабилизацию.

2024 год характеризуется повышенным вниманием к проблеме "возврата инвестиций" (ROI) в кибербезопасность [16]. В условиях экономической неопределенности руководители компаний требуют более четкого обоснования затрат на безопасность и измеримых показателей эффективности. Это привело к растущему интересу к метрикам кибербезопасности, риск-ориентированному подходу к инвестициям и более тесной интеграции показателей безопасности с ключевыми показателями эффективности бизнеса. Одновременно с этим, возросла значимость киберустойчивости как ключевого компонента общей устойчивости бизнеса, что также повлияло на приоритеты в бюджетировании [24].

Прогноз глобальных расходов на информационную безопасность как процент от ИТ-бюджета: 2025 год

По прогнозам Elisity, крупные предприятия, планирующие свои бюджеты на кибербезопасность в 2025 году, ожидают, что расходы на безопасность составят в среднем 13,2% от ИТ-бюджетов, что выше 8,6% в 2020 году [13]. Этот прогноз указывает на то, что тенденция выделения значительной части ИТ-бюджетов на кибербезопасность сохранится и в 2025 году, на уровне 2024 года.

Другие исследования показывают, что в 2025 году предприятия, как ожидается, будут выделять на расходы по безопасности в среднем около 11% своих ИТ-бюджетов, при этом наблюдаются значительные различия в зависимости от отрасли [14]. Например, для технологической отрасли и здравоохранения прогнозируется выделение 13,3% ИТ-бюджета на кибербезопасность, для сферы бизнес-услуг — 13,2%, для потребительских товаров и услуг — 9,7%, для финансовых услуг — 9,6%, для производства — 6,1%, а для розничной торговли — 6,0%.

Gartner прогнозирует 15-процентный рост расходов на кибербезопасность в 2025 году, при этом глобальные расходы, как ожидается, достигнут 212 миллиардов долларов США [18][20]. Учитывая прогноз Gartner по общемировым ИТ-расходам в размере 5,74 триллиона долларов США в 2025 году [17][31], доля расходов на кибербезопасность может составить приблизительно 3,7%. Важно отметить, что методология Gartner может включать более широкий спектр расходов в определение "ИТ-расходы", что может объяснять расхождение с данными о доле выделяемой части ИТ-бюджета.

IDC прогнозирует рост мировых расходов на безопасность на 12,2% в годовом исчислении в 2025 году [26][27]. Этот прогноз также указывает на сохраняющуюся тенденцию к увеличению инвестиций в кибербезопасность.

Прогнозы на 2025 год отражают ожидаемый переход к более интегрированному подходу в обеспечении кибербезопасности [15][30]. Вместо фрагментированных решений компании будут стремиться к унификации своей стратегии безопасности с акцентом на платформенные решения, предлагающие комплексную защиту и упрощенное управление. Ожидается, что значительная часть инвестиций будет направлена на решения, обеспечивающие безопасность многооблачных и гибридных сред, защиту конфиденциальных данных и управление идентификацией с учетом новых форматов работы. Особое внимание будет уделено технологиям, способным адаптироваться к постоянно меняющемуся ландшафту угроз с минимальным вмешательством человека [19][25].

Ключевые факторы, влияющие на распределение ИТ-бюджета в сфере кибербезопасности

Наблюдаемые изменения в распределении ИТ-бюджетов в пользу кибербезопасности обусловлены рядом ключевых факторов. Продолжающаяся популярность удаленной работы, переход от VPN к модели нулевого доверия и активное использование облачных технологий продолжают стимулировать увеличение расходов на кибербезопасность [22]. Беспрецедентный рост числа кибератак и расширение поверхности атак также требуют выделения больших объемов финансирования [23].

Регуляторные требования и возросшие киберриски являются еще одним важным фактором, способствующим увеличению инвестиций в кибербезопасность. Развитие искусственного интеллекта (ИИ) и генеративного ИИ (GenAI) также приводит к росту инвестиций в программное обеспечение для безопасности, включая безопасность приложений, защиту данных и конфиденциальности, а также защиту инфраструктуры [21]. Кроме того, глобальный дефицит квалифицированных специалистов по кибербезопасности стимулирует инвестиции в сервисы безопасности [19]. Нередко значительное увеличение бюджетов на кибербезопасность является реакцией на внешние факторы, такие как инциденты, утечки данных или растущие риски, связанные с внедрением ИИ [21].

Можно выделить четыре основные категории факторов, влияющих на распределение бюджетов на кибербезопасность:

1. Технологические факторы:
   • Цифровая трансформация и расширение цифровой поверхности
   • Внедрение облачных и периферийных вычислений
   • Интеграция промышленных систем управления (ICS) в корпоративные сети
   • Развитие технологий искусственного интеллекта и машинного обучения [21]
   • Распространение интернета вещей (IoT) и подключенных устройств
2. Операционные факторы:
   • Переход на гибридные и удаленные модели работы
   • Использование персональных устройств в рабочих целях (BYOD)
   • Дефицит квалифицированных кадров в области кибербезопасности [19]
   • Потребность в автоматизации процессов безопасности
   • Необходимость обеспечения непрерывности бизнеса
3. Регуляторные факторы:
   • Ужесточение требований к защите персональных данных (GDPR, CCPA и др.)
   • Отраслевые стандарты соответствия (PCI DSS, HIPAA и др.)
   • Обязательное раскрытие информации об инцидентах
   • Требования к национальной безопасности и критической инфраструктуре
   • Ответственность руководства за управление киберрисками
4. Факторы угроз:
   • Рост количества и сложности кибератак [23]
   • Профессионализация киберпреступности (модель Ransomware-as-a-Service)
   • Целенаправленные атаки со стороны государственных субъектов
   • Использование искусственного интеллекта в атаках [21]
   • Атаки на цепочки поставок и экосистемы партнеров

Заключение: Тенденции и перспективы расходов на кибербезопасность

Анализ данных ведущих международных аналитических агентств показывает устойчивую тенденцию к увеличению доли ИТ-бюджетов, выделяемой на информационную безопасность, в период с 2020 по 2024 год. Прогнозы на 2025 год указывают на возможную стабилизацию или продолжение роста этих расходов [13][14]. Различные агентства приводят несколько отличающиеся цифры, что может быть связано с различиями в методологиях и охвате исследований, однако общая траектория указывает на возрастающее значение кибербезопасности в структуре ИТ-расходов.

Ключевые факторы, такие как эволюция угроз, технологический прогресс (включая облачные технологии и ИИ) и усиление регуляторного давления, будут и впредь определять уровень инвестиций в кибербезопасность [15][24]. Организациям следует придерживаться стратегического подхода к формированию бюджетов на кибербезопасность, учитывая специфические риски и отраслевой контекст [22].

Результаты исследования позволяют сформулировать ряд практических рекомендаций для руководителей бизнеса и ИТ-департаментов:

1. Стратегический подход к бюджетированию: Переход от реактивного к проактивному планированию инвестиций в кибербезопасность с учетом специфики отрасли, размера организации и уровня зрелости существующих систем безопасности [22].
2. Риск-ориентированное распределение ресурсов: Приоритизация инвестиций на основе комплексной оценки рисков для критически важных бизнес-процессов и активов [16].
3. Измерение эффективности инвестиций: Внедрение методологий для количественной оценки эффективности расходов на кибербезопасность, включая показатели снижения рисков и экономической отдачи [16].
4. Интеграция безопасности в цифровую трансформацию: Включение требований безопасности на ранних этапах реализации проектов цифровой трансформации, что позволяет избежать дорогостоящих исправлений на поздних стадиях.
5. Оптимизация инвестиций через консолидацию: Пересмотр существующего портфеля решений безопасности в пользу интегрированных платформ, способных снизить операционные расходы и повысить эффективность защиты [15].
6. Диверсификация стратегии защиты: Сбалансированное распределение инвестиций между предотвращением угроз, их обнаружением, реагированием на инциденты и восстановлением после них [24].

В долгосрочной перспективе можно ожидать дальнейшей эволюции подходов к финансированию кибербезопасности, характеризующейся следующими тенденциями [30]:

• Переход от восприятия кибербезопасности как "центра затрат" к пониманию ее как "центра создания ценности" и конкурентного преимущества
• Развитие моделей совместного финансирования безопасности бизнес-подразделениями и ИТ-департаментами
• Усиление интеграции между бюджетами на кибербезопасность и страхованием киберрисков
• Формирование новых метрик для оценки окупаемости инвестиций в безопасность [16]
• Увеличение доли операционных расходов (OpEx) в структуре затрат на безопасность благодаря модели "безопасность как услуга" (SECaaS) [19][25]

Таким образом, несмотря на возможное замедление темпов роста бюджетов на кибербезопасность в ближайшие годы, их стратегическая важность для обеспечения устойчивости и конкурентоспособности бизнеса будет только возрастать [15][24]. Организациям следует рассматривать инвестиции в кибербезопасность не как вынужденные затраты, а как необходимое условие успешного функционирования в цифровой экономике.

Методология исследования

Настоящий анализ основан на данных ведущих международных аналитических агентств, включая Gartner, Forrester, IDC, а также на результатах отраслевых опросов и исследований, проведенных IANS Research, Artico Search, Moody's и другими организациями. Источники информации включают публично доступные отчеты, аналитические материалы, пресс-релизы и презентации, опубликованные в период с 2020 по 2024 год.

Для обеспечения объективности и полноты представленных данных были использованы различные методологические подходы к оценке доли расходов на кибербезопасность в ИТ-бюджетах. В некоторых случаях наблюдаются расхождения в показателях, представленных разными источниками, что может быть обусловлено различиями в методологиях исследований, определениях ключевых понятий и выборках респондентов.

При анализе тенденций и формулировании прогнозов учитывались как количественные показатели, так и качественные оценки экспертов в области кибербезопасности и управления ИТ-бюджетами. Прогнозы на 2025 год основаны на экстраполяции существующих трендов с учетом ожидаемых изменений в технологической, регуляторной и экономической среде.

Источники

• [1] IANS Research and Artico Search: Security Budget Benchmark Report 2023 (данные за 2020-2024)
• [2] Help Net Security: Cybersecurity Budget Insights 2024
• [3] Integrity360: Cybersecurity Spending Benchmarks 2020
• [4] Bitdefender: IT security budget may be misleading indicator of security, Gartner says
• [5] 6DG: Cybersecurity budget trends: how much should you be spending?
• [6] Forrester: Planning Guide 2023: Security & Risk
• [9] Cybersecurity Dive: Security budgets have grown about 8% in 2024
• [10] Software Strategies Blog: Top Ten Insights From Forrester's 2024 Cybersecurity Budget Benchmarks
• [11] Cybersecurity Dive: Cyber investments on pace to reach $215B in 2024: Gartner
• [12] IANS Research: New Research Reveals Security Budgets Only Increased 2 Points in 2024
• [13] Elisity: Cybersecurity Budget Benchmarks for 2025
• [14] TechMagic: Cybersecurity Budget: Industry Benchmarks and Trends for 2024-2025
• [15] Gartner: 2025 Top Trends in Cybersecurity
• [16] IBM: Making smart cybersecurity spending decisions in 2025
• [17] Splunk: Worldwide IT/tech investments in 2025: An overview
• [18] SecurityWorldMarket: Gartner predicts a spike in cyber security spending in 2025
• [19] CRN: Gartner: Cybersecurity Service Spending Will Continue To Surge In 2025
• [20] Cybersecurity Dive: Infosec spending to hit 3-year growth peak, reach $212B next year: Gartner
• [21] IT Pro: Cybersecurity spending is going to surge in 2025 – and AI threats are a key factor
• [22] NordLayer: Cybersecurity budget allocation: How to plan for 2025
• [23] Techloy: The Rise and Rise of Cybersecurity Spending Globally
• [24] Gartner: Information security forecast: What to expect through 2028
• [25] CRN: Gartner: Cybersecurity Service Spending Will Continue To Surge In 2025
• [26] Help Net Security: Cybersecurity spending set to jump 12.2% in 2025
• [27] IDC: Worldwide Security Spending to Increase by 12.2% in 2025 as Global Cyberthreats Rise, Says IDC
• [28] TechRepublic: Cybersecurity spending to hit $150 billion this year
• [29] ExtraHop: IDC Sees Growth in IT and Security Spending in 2024
• [30] Forrester: Predictions 2025: Security And Risk Pros Will Brace For More Scrutiny
• [31] Splunk: Worldwide IT/tech investments in 2025: An overview