Расходы на кибербезопасность: какую долю ИТ-бюджета закладывать в 2026 году

28955
Расходы на кибербезопасность: какую долю ИТ-бюджета закладывать в 2026 году

Компании тратят в 1,5 раза больше на IT-безопасность, чем 5 лет назад.

image

У вопроса «сколько процентов ИТ-бюджета отдавать на защиту» есть неприятное свойство: ответ хочется получить в виде одной цифры. Вписал её в смету, показал руководству, сослался на рынок. Готово. Только такой подход быстро разваливается, когда начинаешь разбирать источники. Под одинаково звучащими «расходами на кибербезопасность» скрываются опросы директоров, оценки мировых продаж и прогнозы аналитиков. Склеить их в одну норму нельзя.

Разберёмся без ритуальных средних значений. Что именно считают IANS Research и Artico Search, почему оценки Gartner, IDC и Forrester расходятся на десятки миллиардов долларов, отчего доля безопасности в ИТ-бюджете снизилась после нескольких лет роста и как российской компании использовать зарубежные цифры, не выдавая их за готовый норматив. Основа материала: открытые публикации IANS Research и Artico Search, прогнозы Gartner, IDC и Forrester, отчёт IBM о стоимости утечек данных и доклад Всемирного экономического форума о глобальных рисках.

Один вопрос, три разных показателя

Путаница начинается ещё до расчётов. В разговорах о бюджетах на кибербезопасность обычно смешивают три показателя, хотя каждый отвечает на свой вопрос.

Первый показатель показывает, какую долю ИТ-бюджета конкретные компании направляют на безопасность. Подобные данные получают через опросы руководителей служб информационной безопасности. Второй описывает мировой рынок в деньгах: сколько заказчики в совокупности заплатили за продукты и услуги защиты. Третий относится к будущему: аналитики строят прогноз, опираясь на собственную модель рынка и допущения.

Разница не академическая. Допустим, прогноз расходов на информационную безопасность даёт около 213 млрд долларов, а прогноз всех мировых ИТ-расходов исчисляется триллионами. Деление одного значения на другое приводит к доле примерно в 3–4%. В то же время опрос директоров по безопасности показывает около 11% ИТ-бюджета. Противоречия нет. В первом случае сравнивают два глобальных рынка, во втором усредняют бюджеты организаций из конкретной выборки. Знаменатели разные, смысл тоже.

Поэтому фраза «компании в среднем должны тратить столько же, сколько безопасность занимает в мировых ИТ-расходах» не выдерживает проверки. Средняя температура по стране не сообщает, насколько тепло в отдельном серверном помещении.

Что показывают опросы IANS: рост, пересчёт и спад в 2025 году

Наиболее известные данные о доле безопасности внутри ИТ-бюджета публикуют IANS Research и Artico Search. Исследование охватывает руководителей служб безопасности из США и Канады. В отчёте о бюджетах за 2025 год участвовали 587 респондентов. Речь идёт об опросе определённой группы компаний, а не о переписи мирового бизнеса.

Динамика сначала выглядела почти линейной. В 2020 году безопасность занимала в среднем 8,6% ИТ-бюджета. К исследованию 2023 года доля поднялась до 11,6%. Затем рост оборвался: за 2025 год IANS сообщил о снижении показателя до 10,9%, первом за пять лет.

Однако строить аккуратный график по публикациям IANS рискованно. В отчёте за 2024 год исследователи называли долю 13,2%. В следующем выпуске тот же 2024 год уже обозначен как 11,9%, и именно с таким значением сравнивается снижение до 10,9% в 2025-м. В открытых материалах подробное объяснение пересчёта отсутствует. Корректная формулировка поэтому звучит сдержаннее: с 2020 года опросы фиксировали рост доли безопасности примерно до уровня около 12% к середине десятилетия, после чего в 2025 году показатель снизился до 10,9%.

Мировой рынок безопасности в деньгах

Спад доли не равен массовому урезанию защиты. Средний бюджет безопасности в выборке IANS за 2025 год вырос на 4%. Рост слабый: годом ранее показатель составлял 8%, а нынешний темп оказался минимальным за пять лет. Свыше половины опрошенных руководителей при этом сообщили о замороженных либо сокращённых бюджетах.

Причина снижения доли лежит не только в самих расходах на защиту. Общие ИТ-бюджеты быстрее увеличивались из-за вложений в ИИ и облачную инфраструктуру. Когда весь ИТ-бюджет разрастается быстрее, чем его защитная часть, процент безопасности падает даже при росте расходов в деньгах. Под давлением оказался и штат: команды безопасности прибавляли примерно по 7% сотрудников в год, но лишь 11% руководителей считали свои подразделения достаточно укомплектованными.

В обзорах встречается и другая эффектная цифра: около 21% ИТ-бюджета на безопасность в 2021 году. У оценки иная выборка и иная методика, поэтому подставлять её в ряд IANS нельзя. Особенно легко такая подмена вводит в заблуждение при сравнении компаний разного масштаба: высокая доля нередко указывает не на повышенную щедрость, а на небольшой ИТ-бюджет, по которому распределяются обязательные базовые расходы.

Мировой рынок в долларах: почему оценки не сходятся

Опросы CISO описывают внутреннюю структуру расходов отдельных организаций. Gartner, IDC и Forrester измеряют другое: сколько денег мировой рынок отдаёт поставщикам продуктов и услуг безопасности. Суммы там значительно крупнее, но превращать их в норматив для компании бессмысленно.

Согласно прогнозу Gartner, опубликованному летом 2025 года, мировые расходы конечных заказчиков на информационную безопасность составляли около 193 млрд долларов в 2024 году. Для 2025 года агентство ожидало примерно 213 млрд, для 2026-го почти 240 млрд долларов. Прогнозируемый годовой рост на 2026 год составляет около 12,5%. Быстрее остальных сегментов должно расти программное обеспечение для безопасности, прежде всего инструменты защиты облачных сред.

мировые расходы на ИБ

IDC рассчитывает рынок шире и подробнее. Прогноз агентства на 2026 год достигает примерно 308 млрд долларов при росте около 12% за год. К 2029 году расходы, согласно модели IDC, могут приблизиться к 430 млрд. Более половины затрат в 2026 году агентство относит к программному обеспечению, причём программный сегмент должен прибавлять почти 14% ежегодно. Основные направления: управление идентификацией и доступом, защита конечных устройств, аналитика безопасности и средства защиты данных.

У Forrester оценка заметно ниже. Агентство прогнозировало около 175 млрд долларов расходов на кибербезопасность в 2025 году и превышение рубежа в 300 млрд к 2029-му. Между оценками Forrester и Gartner за один и тот же 2025 год лежит почти 40 млрд долларов.

Такой разброс не означает, что одно из агентств просто ошиблось. Каждая компания чертит собственные границы рынка, по-своему группирует технологии, услуги и расходы заказчиков, использует разные базы и модели прогнозирования. Gartner публикует расходы конечных клиентов по крупным категориям. IDC сводит множество технологических сегментов, отраслей и стран. Forrester применяет свою функциональную разбивку. В зависимости от рамки один рынок получает оценку в 175, 240 или 308 млрд долларов. Совпадает другое: все три модели описывают продолжающийся рост расходов на защиту.

Почему готового процента не существует

Норма вида «безопасность должна получать X% ИТ-бюджета» хорошо смотрится на слайде и плохо работает в реальной смете. Компаниям мешают не арифметические расхождения, а различия в рисках, обязательствах и масштабе инфраструктуры.

Отрасль сразу меняет картину. Финансовая организация, страховщик или технологическая компания обслуживают активы, для которых утечка, мошенничество либо длительный простой способны быстро превратиться в крупный убыток и регуляторное разбирательство. У розничной сети, производственного предприятия или гостиничного бизнеса профиль угроз и структура затрат будут иными. По данным IANS, бюджеты быстрее среднего росли в финансовом, страховом и технологическом секторах; слабее всего динамика выглядела в здравоохранении, профессиональных услугах и рознице. Сравнение банка с сетью магазинов по одной доле расходов сообщает мало.

Размер бизнеса способен перевернуть интуитивную картину. По данным IANS, компании с выручкой менее 50 млн долларов направляли на безопасность в среднем 26,1% ИТ-бюджета. У организаций с выручкой от 600 млн до 1 млрд долларов показатель составлял около 11,6%. Для небольшой компании базовый набор защитных средств, услуг и специалистов занимает крупную часть сравнительно малого ИТ-бюджета. В большой организации те же обязательные расходы растворяются в гораздо более массивной смете.

Зрелость защиты добавляет ещё один разлом. Бизнес, который только строит управление доступом, мониторинг, резервирование и процессы реагирования, неизбежно расходует деньги иначе, чем организация с уже работающей базовой инфраструктурой. В одном случае бюджет закрывает разрыв, в другом поддерживает и обновляет построенную систему. Один процент не описывает обе ситуации.

Наконец, компании по-разному считают сами расходы. Один финансовый директор занесёт в бюджет безопасности лицензии и зарплаты профильной команды. Другой включит туда долю облачных сервисов, обучение сотрудников, услуги подрядчиков, киберстрахование и часть инфраструктурных расходов. Реальная защищённость может оказаться сопоставимой, а доля в отчётности разойдётся заметно. Чужой процент без расшифровки состава бюджета остаётся цифрой без основания.

На что компании направляют деньги

Средняя доля плохо отвечает на вопрос о качестве защиты. Структура расходов говорит больше: по ней видно, какие задачи компании считают приоритетными и где пытаются сократить сложность.

В отдельном исследовании IANS о программных средствах и услугах участвовали 628 руководителей безопасности. По данным отчёта, программное обеспечение получает примерно 30% бюджета безопасности и занимает второе место после персонала и оплаты труда. Внутри программных расходов крупнейшая доля приходится на мониторинг и реагирование на инциденты. Следом идут защита конечных устройств, сетевая безопасность, защита облачных сред и управление доступом.

Рынок одновременно уходит от коллекции разрозненных инструментов. Около 70% опрошенных руководителей уже объединили продукты в платформы либо занимаются такой консолидацией. Причина прагматична: десятки отдельных решений требуют интеграции, обслуживания и специалистов, а на практике оставляют разрывы между интерфейсами, журналами и процедурами реагирования.

Ещё один заметный сдвиг связан с внешними поставщиками управляемых услуг безопасности. К ним обращаются примерно две трети программ, особенно в среднем бизнесе. Круглосуточный мониторинг, расследование сигналов и поддержание собственной крупной команды слишком дорого обходятся организациям, которым такие функции нужны постоянно, но не в масштабе большого банка или технологической корпорации.

Что увеличивает расходы, а что мешает им расти

Бюджет безопасности одновременно подталкивают угрозы и сдерживает экономика. В 2025–2026 годах обе силы стали особенно заметны.

  • Облако и гибридная инфраструктура. Чем больше систем распределено между локальными площадками, облачными сервисами и удалёнными рабочими местами, тем сложнее контролировать доступ, конфигурации и передачу данных. Подключённые устройства и промышленные системы управления добавляют отдельный слой риска.
  • ИИ у защитников и атакующих. Службы безопасности применяют такие инструменты для анализа событий и ускорения расследований. Злоумышленники используют их для фишинга, подделки голоса и видео, подготовки убедительных сообщений. В отчёте IBM о стоимости утечек данных указано, что инструменты ИИ применялись злоумышленниками в 16% изученных утечек 2025 года. Каждая пятая изученная организация столкнулась с утечкой, связанной с «теневым» ИИ, то есть сервисами, которыми сотрудники пользовались без контроля службы безопасности.
  • Требования регуляторов и заказчиков. Защита персональных данных, отраслевые правила, раскрытие инцидентов и ответственность руководителей за управление киберрисками превращают часть расходов из добровольных в обязательные.
  • Профессиональные атаки. Программы-вымогатели как услуга, компрометация подрядчиков и развитие криминальной инфраструктуры снижают порог входа для атакующих. В докладе Всемирного экономического форума за 2026 год кибернебезопасность заняла шестое место среди глобальных рисков на двухлетнем горизонте.

Расходы, однако, не растут автоматически вслед за угрозами. В 2025 году бизнес столкнулся с геополитической нестабильностью, неопределённостью вокруг тарифов, колебаниями инфляции и ставок. Подразделения безопасности попали под ту же бюджетную дисциплину, что и остальные функции: больше половины опрошенных IANS руководителей сообщили о заморозке или сокращении средств. Одновременно вложения в ИИ и облако расширили общий ИТ-бюджет быстрее, чем росли затраты на защиту. Процент снизился, хотя абсолютные расходы не исчезли.

Российской компании зарубежная доля не даёт норматива

Все проценты IANS получены на выборке компаний из США и Канады. Денежные оценки Gartner, IDC и Forrester описывают глобальный рынок. Для российской организации такие данные показывают направление движения отрасли, но не отвечают на вопрос о необходимой строке в собственном бюджете.

Российская смета формируется в иной среде. Компании заменяют ушедшие зарубежные решения отечественными продуктами, тратятся на миграцию, совместимость, обучение и поддержку. К бюджету добавляются требования закона о персональных данных (152-ФЗ), нормы для значимых объектов критической информационной инфраструктуры (187-ФЗ), документы и предписания ФСТЭК и ФСБ. Расходы, связанные с соблюдением требований, зависят не от среднего процента американского опроса, а от состава систем, категории данных и обязанностей конкретной организации.

Есть и проблема учёта. Российская компания может иначе распределять стоимость лицензий, услуг интегратора, сертифицированных средств защиты, аттестации, эксплуатации и внутреннего персонала. Поэтому формула «возьмём 10,9%, потому что столько показал IANS» не обосновывает бюджет. Она лишь заменяет анализ чужой цифрой.

Полезнее читать зарубежную статистику как сигнал о направлениях затрат: облачная защита, управление идентификацией и доступом, обнаружение инцидентов, восстановление и контроль рисков, связанных с ИИ. Конкретную сумму всё равно придётся выводить из российских требований и собственных сценариев ущерба.

Как защищать бюджет перед руководством

Совету директоров обычно нужен не академический спор о средних значениях, а ответ на более жёсткий вопрос: какие потери предотвращает каждая крупная статья расходов. Здесь процент помогает слабо. Работает связь между риском, активом и мерой защиты.

Проверку бюджета разумно начинать с нескольких прямых вопросов:

  1. Критичные активы. Определены ли системы и данные, потеря либо остановка которых нанесёт бизнесу максимальный ущерб? Достаточно ли защищены именно они?
  2. Идентификация и доступ. Видит ли компания, кто получает доступ к системам, включая сотрудников, подрядчиков, сервисные учётные записи и автоматизированные процессы?
  3. Обнаружение и реагирование. Сможет ли команда заметить инцидент достаточно быстро и действовать по готовому сценарию, а не собирать процедуру во время атаки?
  4. Восстановление. Проверялись ли резервные копии и сроки возвращения ключевых систем в работу? Существующий архив без регулярной проверки легко оказывается бесполезным после шифрования или сбоя.
  5. Новые риски. Учтены ли сервисы ИИ, которыми пользуются сотрудники, и зависимости от подрядчиков, через которых атака может попасть в инфраструктуру?

Если один из таких контуров не закрыт, средняя рыночная доля проблему не исправит. Тогда бюджет стоит пересобирать: убрать дублирующие инструменты, проверить, нужна ли устаревшая защита периметра в прежнем объёме, автоматизировать рутинную обработку сигналов там, где ручная работа лишь расходует время. Освободившиеся средства направляют не «в безопасность вообще», а в конкретный пробел: управление доступом, защиту облака, расследование инцидентов или восстановление после сбоя.

Руководство вправе требовать измеримого результата. Только измерять его следует не количеством закупленных продуктов и не близостью к чужим 10,9%, а временем обнаружения и локализации инцидента, долей закрытых критичных уязвимостей, фактически проверенными планами восстановления и снижением ущерба в приоритетных сценариях.

В отчёте IBM за 2025 год средняя мировая стоимость утечки данных снизилась до 4,44 млн долларов после 4,88 млн в 2024 году. IBM связывает снижение прежде всего с более быстрым обнаружением и локализацией инцидентов. Для собственной сметы компания должна считать собственные простои, восстановление и потери данных, но предмет вложений здесь назван предельно конкретно: скорость реакции.

Частые вопросы

Сколько процентов ИТ-бюджета тратить на кибербезопасность в 2026 году?

Единого норматива нет. В опросе IANS за 2025 год средняя доля составила 10,9% ИТ-бюджета, но показатель сильно меняется в зависимости от размера организации, отрасли, зрелости защиты и правил учёта. У небольших компаний доля способна превышать 25%, у крупных находиться ближе к 8–11%. Проверять нужно не совпадение со средним значением, а защиту критичных активов, доступа, обнаружения и восстановления.

На что компании расходуют бюджет безопасности?

По данным IANS, крупнейшей статьёй остаются персонал и его оплата. Программное обеспечение получает около 30% бюджета и занимает второе место. В программной части заметнее всего расходы на мониторинг и реагирование, защиту конечных устройств, сетевую безопасность, облачные среды и управление доступом. Около 70% опрошенных руководителей уже консолидируют инструменты в платформы либо завершили такую работу.

Почему у небольших компаний доля расходов выше?

Небольшой организации всё равно нужны базовые средства защиты, управление доступом, резервирование, мониторинг и специалисты либо внешний подрядчик. Такие расходы делятся на сравнительно маленький ИТ-бюджет. По данным IANS, компании с выручкой менее 50 млн долларов направляли на безопасность в среднем 26,1% ИТ-бюджета, а организации с выручкой от 600 млн до 1 млрд долларов около 11,6%.

Почему Gartner, IDC и Forrester называют разные суммы?

Агентства по-разному определяют границы рынка и классифицируют расходы. Gartner прогнозировал около 213 млрд долларов мировых расходов на информационную безопасность в 2025 году и почти 240 млрд в 2026-м. Forrester оценивал 2025 год примерно в 175 млрд долларов. IDC прогнозировал около 308 млрд на 2026 год. Сравнивать такие значения как один и тот же показатель нельзя без проверки методики.

Сколько стоит утечка данных?

По отчёту IBM, средняя мировая стоимость утечки в 2025 году составила 4,44 млн долларов. Годом ранее показатель достигал 4,88 млн, а в 2023 году составлял 4,45 млн. В США средняя стоимость в 2025 году была значительно выше и достигала 10,22 млн долларов. Для конкретной компании размер потерь зависит от отрасли, типа данных, продолжительности простоя и скорости восстановления.

Почему доля безопасности снизилась, хотя рынок растёт?

Потому что доля и сумма расходов описывают разные вещи. В выборке IANS бюджет безопасности в 2025 году вырос в среднем на 4%, но общие ИТ-расходы увеличивались быстрее из-за вложений в ИИ и облачную инфраструктуру. Если весь ИТ-бюджет растёт быстрее защитной части, её доля уменьшается даже при увеличении расходов в деньгах.

Стоит ли сокращать расходы на безопасность при давлении на бюджет?

Равномерное сокращение создаёт риск оставить без ресурсов самый болезненный сценарий: остановку критичной системы, потерю данных или затянувшееся восстановление. Пересмотр бюджета оправдан, когда компания убирает дублирующие инструменты, отказывается от неактуальных затрат и направляет средства в конкретные незакрытые риски. Сокращать защиту без анализа активов и сценариев ущерба опасно.

Можно ли российской компании взять за ориентир 10,9%?

Как готовый норматив, нет. Показатель IANS получен на выборке компаний из США и Канады. Российская организация учитывает переход на отечественные решения, требования 152-ФЗ и 187-ФЗ, документы ФСТЭК и ФСБ, состав собственных информационных систем и принятую модель учёта расходов. Зарубежная доля показывает тенденцию, но не рассчитывает российскую смету.

Как обосновать бюджет безопасности перед руководством?

Нужно связать затраты с конкретными активами и сценариями ущерба: какие системы защищаются, сколько займёт обнаружение атаки, как быстро компания восстановит работу, какие критичные уязвимости уже закрыты и какой разрыв останется без финансирования. Средний процент из внешнего отчёта не заменяет ответа на вопрос, сколько часов бизнес сможет работать после инцидента.

цель обнаружена
«Мы слишком маленькие, чтобы нас атаковать»
самая дорогая фраза в истории бизнеса.
Видят ли вас? →