Защита, которая возвращает 848%. Вложения крупного бизнеса в киберзащиту окупаются с лихвой

«Лаборатория Касперского» вместе с «Технологиями Доверия» показали на ЦИПР-2026 расчёты, по которым вложения в защиту крупного бизнеса окупаются с возвратом от 272% до 848% за два-три года. Лидером по отдаче стала киберразведка — её ROI оценили в 848%. Авторы посчитали, что за три года эффект от внедрённых продуктов может доходить до 146 млн рублей.

Раньше защиту объясняли страхом перед атаками и требованиями регуляторов. Сейчас её пробуют переводить на язык денег — снижение будущих потерь, меньший ущерб от инцидентов, быстрое восстановление после взлома. Для крупной компании одна серьёзная атака легко перекроет всю экономию от урезанного бюджета на безопасность.

В расчёт суммы в 146 млн заложили не только предотвращённые инциденты. Туда вошли:

• снижение потенциального ущерба от взломов;
• расходы на восстановление инфраструктуры;
• траты на расследование происшествий;
• простой бизнеса и сорванные клиентские сервисы;
• репутационные потери и операционные сбои.

В «Лаборатории Касперского» говорят, что российский рынок защиты стал зрелым. Заказчики разбираются в актуальных для себя угрозах, умеют закрывать инциденты и просят более внятного обоснования трат. Владельцы, инвесторы и советы директоров спрашивают конкретно — что проект даёт бизнесу в рублях.

Интересно, что бюджеты на ИБ режут не так часто, как общие IT-расходы, но вопрос обоснованности затрат при этом стал намного острее.

Отсюда и спрос на расчёт окупаемости. Финдиректору мало услышать, что компании нужен новый класс защиты. Ему нужны цифры — какой ущерб удастся отвести, как меняется вероятность взлома, сколько стоит час простоя, во сколько обойдётся восстановление, за какой срок вложения вернутся. Чем сильнее давит экономия, тем дороже стоят такие выкладки.

Представитель «Лаборатории Касперского» в интервью сказал, что экономика тормозит, IT-рынок растёт медленнее обычного, а бизнес сокращает расходы на технологии. Когда денег меньше, любая строка бюджета должна доказывать пользу не только техническому руководителю, но и финансистам.

Методика строилась на риск-ориентированном подходе. Авторы смоделировали типовую крупную российскую фирму, выделили самые вероятные варианты атак, проанализировали внедрение разных продуктов и посчитали отдачу. Диапазон вышел широким. Показатель выше 200% уже считают сильной окупаемостью, а 848% выводит Threat Intelligence в отдельную лигу.

Смысл киберразведки в том, что компания заранее получает данные о релевантных угрозах. Это сведения об инфраструктуре злоумышленников, тактиках, утёкших учётных записях, фишинговых доменах, новом инструментарии и признаках готовящихся кампаний. Организация видит, какие группировки интересуются её отраслью, какие домены подделывают её бренд, какие данные могли утечь, какие дыры атакующие сейчас активно используют. И расставляет приоритеты до того, как начнётся реальный инцидент.

Отдачу показала не только разведка. Заметный эффект дают и обычные средства защиты:

• системы анализа сетевого трафика;
• песочницы для проверки подозрительных файлов;
• решения детектирования и реагирования;
• инструменты обнаружения вредоносной активности.

Они снижают среднегодовые потери от инцидентов, ускоряют поиск угроз и сокращают масштаб последствий. Для крупного предприятия это критично. Атаку, замеченную на ранней стадии, можно остановить до шифрования инфраструктуры, массовой утечки или остановки производства. Экономия возникает не оттого, что система «заработала деньги», а оттого, что она не дала потерять гораздо больше.

ИБ-проекты теперь сравнивают с другими вложениями. Бизнес тратится на ERP, CRM, автоматизацию, ИИ, дата-центры, оборудование, облака. У каждого направления есть ожидаемый результат, и защита вынуждена говорить на том же языке — риск, вероятность, ущерб, срок окупаемости.

Тонкий момент тоже есть. Окупаемость в защите всегда стоит на модели вероятного ущерба. Точно сказать, какая атака случилась бы без защиты, невозможно. Поэтому зрелость методики решает всё. Чем реалистичнее модели и чем точнее данные о стоимости простоя, тем убедительнее расчёт для бизнеса.

Любопытно, что «Лаборатория Касперского» собирается запустить публичный ROI-калькулятор, через который компании смогут сами прикидывать эффект под собственные параметры.

Такой инструмент пригодится не только гигантам, но и среднему бизнесу, где покупка защиты часто упирается в цену и понятный результат. Калькулятор позволит сравнить классы решений:

• что даст EDR на конечных точках;
• сколько сэкономит песочница;
• где оправдана киберразведка;
• когда нужен NDR;
• когда выгоднее вложиться в обучение людей или резервное копирование.

Для CISO это способ заранее подготовить разговор с финансовым блоком.

Тема смыкается с ростом ИИ-инфраструктуры. На ЦИПР обсуждали, что к 2030 году России может понадобиться дополнительно 2–2,5 ГВт мощности под дата-центры — это сравнимо с постройкой новой АЭС. Чем больше ИИ-мощностей, тем больше центров обработки чувствительных данных, новых контуров доступа и новых моделей угроз. Компании, разворачивающие ИИ в закрытом контуре, нуждаются не только в энергоёмких GPU, но и в контроле доступа, сегментации, защите моделей, аудите запросов, DLP и журналировании. Рост вычислений тянет за собой и новые траты на защиту.

Ранее сообщалось, что спрос на мощности под ИИ со стороны бизнеса пока остаётся единичным. Генеральный директор «ОБИТ» Андрей Гук отмечал, что сейчас основной спрос на такие мощности формируют владельцы крупнейших российских языковых моделей — «Яндекс» и «Сбер». Они строят отдельные дата-центры под задачи искусственного интеллекта. Со стороны реальной экономики интерес появляется пока в отдельных случаях и в основном у крупных организаций, например у банков.

Ранее также сообщалось, что «Байкал Электроникс» готовит первые российские ИИ-чипы с поддержкой CUDA к 2029–2030 годам. Компания разрабатывает 2 решения — периферийный Baikal-AI-E1000 и серверный Baikal-AI-D1000. Если проект будет успешным, российские разработчики смогут запускать значительную часть кода под ускорители Nvidia без полной переработки под новую платформу.

По мнению редакции CISOCLUB, данное иследование на ЦИПР-2026 фиксирует разворот, который назревал давно. Рынок защиты окончательно переходит на язык финансовой эффективности, и возврат в сотни процентов за два-три года превращает её из обязательной траты в нормальный инвестиционный проект. Высокая отдача Threat Intelligence логична — раннее понимание угроз даёт время закрыть опасные маршруты атаки до пожара, а не после. Настораживает другое. Любая такая цифра держится на модели вероятного ущерба, и слишком красивый ROI рискует превратиться в маркетинговый аргумент, если методика непрозрачна. Следующая задача для CISO — научиться регулярно доказывать совету директоров не только техническую, но и денежную пользу защиты, и делать это на собственных данных, а не на усреднённой модели вендора.