Расходы на кибербезопасность: какую долю ИТ-бюджета закладывать в 2026 году

Вопрос «сколько процентов ИТ-бюджета отдавать на защиту» звучит обманчиво просто. Кажется, что где-то существует готовая цифра: назови её, впиши в смету — и совесть чиста, и аудитор доволен. На практике всё устроено иначе. За красивыми процентами скрываются опросы с разной выборкой, прогнозы рынка в долларах и оценки, которые в принципе нельзя складывать в один ряд. И если перепутать эти величины, легко прийти к выводу, который выглядит солидно, а на деле вводит в заблуждение.

Эта статья — не очередная подборка «средних значений по больнице». Мы разберём, что именно измеряют разные источники, какие цифры актуальны на 2026 год, почему доля расходов на безопасность недавно впервые за пять лет снизилась и, главное, как пользоваться чужими ориентирами, не копируя их вслепую. Материал опирается на открытые публикации IANS Research и Artico Search, прогнозы Gartner, IDC и Forrester, отчёт IBM о стоимости утечек данных и доклад Всемирного экономического форума о глобальных рисках.

Главная ловушка: три разных «процента», которые легко перепутать

Начнём с того, обо что спотыкается большинство обзоров на эту тему. Когда говорят «расходы на кибербезопасность», подразумевают как минимум три совершенно разные вещи, и смешивать их нельзя.

Первое — это доля бюджета на безопасность внутри ИТ-бюджета отдельной компании. Её измеряют опросами: берут несколько сотен директоров по информационной безопасности и спрашивают, какую часть ИТ-расходов съедает защита. Получается среднее по выборке. Второе — это объём мирового рынка решений и услуг безопасности, выраженный в деньгах. Его оценивают аналитические агентства, складывая продажи тысяч поставщиков. Третье — это прогнозы, то есть ожидания на будущий год, которые по природе своей менее надёжны, чем уже собранные факты.

Казалось бы, мелочь. Но именно на ней строится самая распространённая ошибка. Возьмём прогноз мирового рынка безопасности — скажем, около 213 миллиардов долларов — и поделим его на прогноз всех мировых ИТ-расходов в несколько триллионов. Выйдет скромные 3–4%. А рядом опрос директоров даёт 11%. Цифры расходятся втрое, и неподготовленный читатель решает, что кто-то ошибся. На самом деле не ошибся никто: отношение двух мировых рынков и среднее по компаниям — это разные показатели, у них разный знаменатель и разный смысл. Сравнивать их в лоб — всё равно что сопоставлять среднюю температуру по стране с температурой в конкретной квартире. Запомним это: дальше будет понятно, почему.

Что показывают опросы директоров по безопасности: динамика 2020–2025

Самый цитируемый источник по доле безопасности в ИТ-бюджете — ежегодное исследование IANS Research и кадрового агентства Artico Search. Каждую весну они опрашивают руководителей служб безопасности из США и Канады; в отчёте о бюджетах за 2025 год участвовали 587 человек. Важно держать в голове, что это именно опрос ограниченной выборки, а не замер всего мирового рынка.

Если выстроить значения по годам, картина получается такая. В 2020 году доля расходов на безопасность составляла в среднем 8,6% от ИТ-бюджета. Дальше показатель несколько лет рос: в исследовании 2023 года он достиг 11,6%. А вот в 2025 году произошёл разворот — доля впервые за пять лет снизилась, опустившись до 10,9%. Тенденция «безопасность год за годом отъедает всё большую часть ИТ-расходов» прервалась.

И вот здесь начинается самое неприятное для любителей ровных графиков. В отчёте IANS за 2024 год доля безопасности называлась на уровне 13,2%. А в следующем отчёте, за 2025 год, тот же 2024 год уже фигурирует со значением 11,9% — именно от него отсчитывается падение до 10,9%. Один и тот же исследователь в двух публикациях даёт за один и тот же год разные числа. Подробного объяснения пересчёта в открытом доступе нет. Вывод простой: строить по этим данным гладкую непрерывную линию некорректно. Честнее сказать так — опросы фиксировали рост доли с 8,6% в 2020 году примерно до 12% к середине десятилетия, после чего в 2025 году показатель снизился до 10,9%.

Любопытно, почему доля упала. Соблазнительно решить, что компании урезали безопасность, но картина тоньше. Снижение доли не означает, что расходы на защиту упали по всей выборке: средний бюджет на безопасность в 2025 году всё-таки вырос — правда, всего на 4%, и это самый скромный темп за пять лет против 8% годом ранее. При этом более половины опрошенных директоров сообщили о замороженных или сократившихся бюджетах. Главная же причина снижения доли в другом: общие ИТ-расходы рванули вверх за счёт вложений в искусственный интеллект и облачную инфраструктуру. Знаменатель вырос быстрее числителя — вот доля и просела. Параллельно затормозил и набор людей: команды прибавляли в численности около 7% в год, и лишь 11% руководителей называли свои отделы достаточно укомплектованными. Иными словами, дело не в отказе от защиты, а в общей осторожности бизнеса на фоне нестабильной экономики.

Кстати, об осторожности с источниками. В некоторых обзорах для 2021 года мелькает эффектная цифра — будто средняя компания направляла на безопасность более пятой части ИТ-бюджета, то есть около 21%. Звучит сенсационно, но эта оценка пришла из другого опроса с иной методикой и выборкой. Подставлять её в ряд IANS нельзя — это та самая ловушка с несовместимыми «процентами». И, как мы увидим чуть дальше, очень высокая доля чаще всего говорит не о щедрости компании, а о её небольшом размере.

Мировой рынок безопасности в деньгах: Gartner, IDC и Forrester

Теперь о втором «проценте» — точнее, о деньгах. Если опросы директоров отвечают на вопрос «какую долю своего ИТ-бюджета тратит отдельная компания», то аналитические агентства считают другое: сколько весь мир в совокупности тратит на продукты и услуги безопасности. Это абсолютные суммы, и они впечатляют.

По прогнозу Gartner, опубликованному летом 2025 года, мировые расходы конечных заказчиков на информационную безопасность составляли около 193 миллиардов долларов в 2024 году, должны были достичь примерно 213 миллиардов в 2025-м и вырасти до почти 240 миллиардов в 2026 году — то есть прибавить порядка 12,5% за год. Подчеркнём: для 2025 и 2026 годов это именно прогноз, а не подведённый итог. Самый быстрорастущий сегмент — программное обеспечение для безопасности, и тянет его вверх прежде всего защита облачных сред.

IDC оценивает рынок по собственной, более дробной методике. Её прогноз на 2026 год — около 308 миллиардов долларов с ростом примерно на 12% за год, а к 2029-му расходы, по этой оценке, могут приблизиться к 430 миллиардам. IDC отдельно подчёркивает: больше половины расходов в 2026 году придётся на программное обеспечение, и именно оно растёт быстрее всего — почти на 14% в год. Деньги уходят в управление доступом и идентификацией, защиту конечных устройств, аналитику безопасности и инструменты защиты данных.

А вот Forrester традиционно даёт куда более скромную оценку: по её прогнозу, мировые расходы на кибербезопасность в 2025 году составят около 175 миллиардов долларов, а к 2029-му превысят 300 миллиардов. Разница с Gartner за один и тот же 2025 год — почти 40 миллиардов. И это, пожалуй, лучшее доказательство нашего тезиса: цифра целиком зависит от методики.

Откуда такой разброс? Дело вовсе не в том, что одно агентство считает услуги и оборудование, а другое нет — услуги и сетевую безопасность учитывают все. Просто у каждого своя модель рынка и своя классификация расходов: Gartner публикует расходы конечных заказчиков по нескольким крупным сегментам, IDC оценивает десятки технологических рынков в десятках стран и отраслей, а Forrester раскладывает рынок на свои функциональные направления. Одно и то же явление при разной разметке выглядит как 175, как 240 или как 308 миллиардов. Что объединяет все три прогноза — рынок растёт двузначными темпами и тормозить пока не собирается.

Почему универсального «правильного процента» не существует

А теперь — пожалуй, главный тезис всего материала. Никакого единого норматива «тратьте Х% ИТ-бюджета на безопасность» не существует, и любой обзор, который такой норматив обещает, лукавит. И вот почему.

Во-первых, разброс по отраслям огромен. Финансовые организации, страховщики и технологические компании традиционно вкладываются в защиту заметно активнее, чем, скажем, розница, производство или гостиничный бизнес. По данным IANS, как раз в финансах, страховании и технологическом секторе рост бюджетов в последние годы был выше среднего, а в здравоохранении, профессиональных услугах и рознице — ниже всего. Сравнивать долю расходов банка и сети магазинов бессмысленно: у них разная ценность данных, разная регуляторная нагрузка и разная цена простоя.

Во-вторых, колоссально влияет размер бизнеса — причём неожиданным образом: чем компания меньше, тем выше у неё доля. По данным IANS, организации с выручкой менее 50 миллионов долларов тратили на безопасность в среднем 26,1% ИТ-бюджета, тогда как компании с выручкой от 600 миллионов до миллиарда — около 11,6%. Парадокса здесь нет: базовый набор средств защиты стоит примерно одинаково и для фирмы на двадцать человек, и для корпорации, а вот ИТ-бюджет, на который этот набор делится, у них несопоставим. Так что «скромный процент» у крупной компании и «огромный процент» у небольшой могут скрывать один и тот же реальный уровень защищённости.

В-третьих, многое решает зрелость защиты. Компания, которая только выстраивает базовые процессы, и компания, у которой всё основное уже внедрено, будут показывать разную долю расходов — и обе при этом могут быть правы. Ещё в середине 2010-х аналитики Gartner советовали ориентироваться на диапазон, а не на точку, причём диапазон зависел именно от зрелости и уровня риска. Сам факт, что эксперты дают «вилку», а не одно число, говорит о многом.

В-четвёртых, на цифру влияет банальная бухгалтерия. Что считать расходом на безопасность? Только лицензии и зарплаты профильного отдела? Или ещё долю облачных сервисов, обучение персонала, страхование киберрисков, услуги внешних подрядчиков? Две компании с одинаковым реальным уровнем защиты легко покажут разную долю просто потому, что по-разному ведут учёт. Поэтому чужой процент — это не цель, а в лучшем случае повод задать себе правильные вопросы.

Куда уходят деньги: структура расходов на безопасность

Если средняя доля — ориентир ненадёжный, то структура расходов гораздо полезнее: она показывает, на что именно компании делают ставку. И здесь за последние годы произошёл заметный сдвиг.

По данным отдельного исследования IANS о расходах на программные средства и услуги (а это уже другая выборка — 628 руководителей безопасности) программное обеспечение занимает примерно 30% бюджета на безопасность: это вторая по величине статья после расходов на персонал и его оплату. Внутри программной части крупнейший кусок приходится на средства мониторинга и реагирования на инциденты, дальше идут защита конечных устройств, сетевая безопасность, защита облака и управление доступом. Логика понятна: компании вкладываются в то, что даёт широкий эффект сразу по всей инфраструктуре, а не в точечные нишевые инструменты.

Второй заметный тренд — консолидация. Эпоха, когда отдел безопасности коллекционировал десятки разрозненных продуктов от разных поставщиков, постепенно уходит. Около 70% опрошенных руководителей либо уже свели свои инструменты в единые платформы, либо делают это прямо сейчас. Причина прозаична: разрозненный набор инструментов дорого обслуживать, его сложно интегрировать, а пользы от него меньше, чем кажется. Третий тренд — рост опоры на внешних поставщиков управляемых услуг безопасности: к их помощи прибегают примерно две трети программ, особенно в среднем бизнесе, которому невыгодно держать большой штат круглосуточного мониторинга.

Что разгоняет бюджеты — и что их тормозит

Расходы на безопасность движутся под действием двух разнонаправленных сил. С одной стороны — факторы, которые толкают траты вверх. С другой — то, что прижимает их к земле. И в 2025–2026 годах вторая сила неожиданно дала о себе знать.

Сначала о том, что разгоняет. Здесь полезно разложить причины по группам:

• Технологические сдвиги. Переезд в облако и распространение гибридных сред расширяют пространство для атак. Подключённые устройства и промышленные системы управления, попадая в общие сети, добавляют новые уязвимые точки.
• Искусственный интеллект — с обеих сторон баррикад. Защитники применяют его для ускоренного обнаружения угроз, а нападающие — для убедительного фишинга и поддельных голосов и видео. По данным отчёта IBM о стоимости утечек данных, в 16% изученных утечек 2025 года злоумышленники применяли инструменты ИИ. А каждая пятая изученная организация столкнулась с утечкой, связанной с «теневым» ИИ — сервисами, которыми сотрудники пользуются в обход службы безопасности.
• Регуляторное давление. Требования к защите персональных данных, отраслевые стандарты, обязанность раскрывать инциденты, личная ответственность руководства за управление киберрисками — всё это превращает безопасность из доброй воли в обязанность.
• Эволюция угроз. Профессионализация киберпреступности, распространение программ-вымогателей по модели подписки, атаки через подрядчиков и партнёров — нападать стало проще и дешевле, чем защищаться. Не случайно в докладе Всемирного экономического форума за 2026 год кибернебезопасность входит в число заметных глобальных рисков, занимая шестое место в двухлетнем горизонте.

А что тормозит? Как ни странно, в 2025 году тормозом оказалась сама экономика. Геополитическая нестабильность, неопределённость с тарифами, колебания инфляции и ставок сделали бизнес осторожным. Безопасность перестала быть «священной коровой», которой увеличивают бюджет при любом раскладе: теперь это бизнес-подразделение, которое подчиняется общей логике экономии. Больше половины опрошенных директоров сообщили о замороженных или сокращённых бюджетах. Добавим к этому уже упомянутый эффект знаменателя — расходы на ИИ и облако растут так быстро, что доля безопасности в общем ИТ-бюджете снижается, даже когда сами траты на защиту растут.

Российский рынок: почему зарубежные цифры — не норматив

Отдельная оговорка для тех, кто планирует бюджет в России. Все приведённые выше проценты получены из опросов компаний США и Канады и из оценок мирового рынка. К отечественным реалиям они применимы лишь как фон, не как ориентир.

Структура российских расходов на безопасность складывается под влиянием своих факторов. Это и переход на отечественные решения вместо ушедших зарубежных поставщиков — со всеми сопутствующими затратами на миграцию, обучение и сопровождение. Это и регуляторная рамка со своими опорными точками: закон о персональных данных (152-ФЗ), требования к безопасности значимых объектов критической информационной инфраструктуры (187-ФЗ), предписания профильных регуляторов — ФСТЭК и ФСБ. Соответствие этим требованиям — не факультатив, и расходы на него закладываются отдельной, причём весомой статьёй. Наконец, это собственная модель учёта затрат, которая может заметно отличаться от той, что используют западные исследователи.

Поэтому копировать в смету «11% — потому что так у них» — затея сомнительная. Гораздо разумнее опираться на отраслевые данные по российскому рынку, на собственную оценку рисков и на конкретные регуляторные обязательства. Зарубежная статистика здесь полезна не как мерило, а как зеркало тенденций: она показывает, куда в принципе движется мир — в сторону облачной защиты, управления доступом и противодействия рискам, связанным с ИИ.

Как пользоваться ориентирами на практике

Допустим, единого «правильного процента» нет. Что тогда делать руководителю, которому всё-таки нужно защитить бюджет перед советом директоров? Ответ: перестать искать волшебное число и проверить бюджет по существу.

Полезнее всего задать не вопрос «сколько процентов», а вопрос «что именно закрывают эти деньги». Проверьте по пунктам:

1. Критичные активы. Понятно ли, какие системы и данные нельзя терять ни при каком сценарии, и хватает ли на их защиту ресурсов?
2. Идентификация и доступ. Контролируется ли, кто и к чему имеет доступ — включая не только людей, но и автоматизированные процессы и сервисные учётные записи?
3. Обнаружение и реагирование. Есть ли мониторинг, который вовремя заметит инцидент, и готовый план действий, а не импровизация в момент атаки?
4. Восстановление. Проверены ли резервные копии и сценарии возвращения к работе? Стоимость простоя нередко превышает стоимость самой атаки.
5. Новые риски. Учтены ли угрозы, связанные с внедрением ИИ, и риски в цепочке подрядчиков?

Если хотя бы один пункт провисает, проблема не в проценте, а в приоритетах. И тогда полезно посмотреть, от каких устаревших статей расходов можно отказаться, чтобы профинансировать важное. Кандидаты на пересмотр — старое оборудование защиты периметра, которое дублируется облачными сервисами; перекрывающие друг друга точечные инструменты, которые просятся в единую платформу; рутинные операции мониторинга, которые давно пора автоматизировать. Высвобожденные средства логично направить туда, куда движется весь рынок: защита облака, управление идентификацией, реагирование и восстановление, контроль рисков ИИ.

И ещё одно — об окупаемости. Совет директоров всё чаще требует от службы безопасности измеримых результатов, и это справедливо. Но измерять стоит не «сколько потратили», а «насколько снизили риск»: время обнаружения и устранения инцидента, доля закрытых критичных уязвимостей, готовность планов восстановления. Кстати, отчёт IBM даёт здесь любопытную зацепку. В 2025 году средняя стоимость утечки данных в мире снизилась до 4,44 миллиона долларов — впервые за пять лет; для сравнения, в 2023 году показатель составлял 4,45 миллиона, а в 2024-м поднимался до 4,88 миллиона. IBM связывает это снижение в первую очередь с более быстрым обнаружением и локализацией инцидентов. Делать из одного отраслевого отчёта вывод об универсальной окупаемости не стоит — для конкретной компании эффект придётся считать по собственным сценариям простоя и восстановления. Но направление мысли он подсказывает верное: вкладываться в скорость реакции осмысленно.

Коротко о главном

Если свести всё сказанное к нескольким выводам, получится следующее. Опросы директоров по безопасности показывали рост доли расходов на защиту с 8,6% ИТ-бюджета в 2020 году примерно до 12% к середине десятилетия — а в 2025 году этот показатель впервые за пять лет снизился до 10,9%. Снижение вызвано не отказом от безопасности, а опережающим ростом расходов на ИИ и облако. При этом мировой рынок решений безопасности в деньгах продолжает расти двузначными темпами: прогнозы на 2026 год — от 240 миллиардов долларов у Gartner до 308 миллиардов у IDC, в зависимости от методики агентства.

Главное же — не цифры, а способ ими пользоваться. Доля бюджета отдельной компании, объём мирового рынка и прогнозы будущего года — это три разные величины, и складывать их в один вывод нельзя. Универсального норматива расходов на кибербезопасность не существует: всё решают отрасль, размер бизнеса, зрелость защиты и модель учёта. Поэтому чужой процент — плохая цель и неплохая отправная точка для размышлений. Проверять стоит не соответствие средней цифре, а то, закрывает ли бюджет критичные активы, доступ, обнаружение, восстановление и новые риски. Безопасность сегодня — не статья «на всякий случай», а условие нормальной работы в цифровой экономике. И относиться к ней разумнее как к управлению риском, а не как к гонке за красивым процентом.

Частые вопросы