Расходы на кибербезопасность: какую долю ИТ-бюджета закладывать в 2026 году

У вопроса «сколько процентов ИТ-бюджета отдавать на защиту» есть неприятное свойство: ответ хочется получить в виде одной цифры. Вписал её в смету, показал руководству, сослался на рынок. Готово. Только такой подход быстро разваливается, когда начинаешь разбирать источники. Под одинаково звучащими «расходами на кибербезопасность» скрываются опросы директоров, оценки мировых продаж и прогнозы аналитиков. Склеить их в одну норму нельзя.

Разберёмся без ритуальных средних значений. Что именно считают IANS Research и Artico Search, почему оценки Gartner, IDC и Forrester расходятся на десятки миллиардов долларов, отчего доля безопасности в ИТ-бюджете снизилась после нескольких лет роста и как российской компании использовать зарубежные цифры, не выдавая их за готовый норматив. Основа материала: открытые публикации IANS Research и Artico Search, прогнозы Gartner, IDC и Forrester, отчёт IBM о стоимости утечек данных и доклад Всемирного экономического форума о глобальных рисках.

Один вопрос, три разных показателя

Путаница начинается ещё до расчётов. В разговорах о бюджетах на кибербезопасность обычно смешивают три показателя, хотя каждый отвечает на свой вопрос.

Первый показатель показывает, какую долю ИТ-бюджета конкретные компании направляют на безопасность. Подобные данные получают через опросы руководителей служб информационной безопасности. Второй описывает мировой рынок в деньгах: сколько заказчики в совокупности заплатили за продукты и услуги защиты. Третий относится к будущему: аналитики строят прогноз, опираясь на собственную модель рынка и допущения.

Разница не академическая. Допустим, прогноз расходов на информационную безопасность даёт около 213 млрд долларов, а прогноз всех мировых ИТ-расходов исчисляется триллионами. Деление одного значения на другое приводит к доле примерно в 3–4%. В то же время опрос директоров по безопасности показывает около 11% ИТ-бюджета. Противоречия нет. В первом случае сравнивают два глобальных рынка, во втором усредняют бюджеты организаций из конкретной выборки. Знаменатели разные, смысл тоже.

Поэтому фраза «компании в среднем должны тратить столько же, сколько безопасность занимает в мировых ИТ-расходах» не выдерживает проверки. Средняя температура по стране не сообщает, насколько тепло в отдельном серверном помещении.

Что показывают опросы IANS: рост, пересчёт и спад в 2025 году

Наиболее известные данные о доле безопасности внутри ИТ-бюджета публикуют IANS Research и Artico Search. Исследование охватывает руководителей служб безопасности из США и Канады. В отчёте о бюджетах за 2025 год участвовали 587 респондентов. Речь идёт об опросе определённой группы компаний, а не о переписи мирового бизнеса.

Динамика сначала выглядела почти линейной. В 2020 году безопасность занимала в среднем 8,6% ИТ-бюджета. К исследованию 2023 года доля поднялась до 11,6%. Затем рост оборвался: за 2025 год IANS сообщил о снижении показателя до 10,9%, первом за пять лет.

Однако строить аккуратный график по публикациям IANS рискованно. В отчёте за 2024 год исследователи называли долю 13,2%. В следующем выпуске тот же 2024 год уже обозначен как 11,9%, и именно с таким значением сравнивается снижение до 10,9% в 2025-м. В открытых материалах подробное объяснение пересчёта отсутствует. Корректная формулировка поэтому звучит сдержаннее: с 2020 года опросы фиксировали рост доли безопасности примерно до уровня около 12% к середине десятилетия, после чего в 2025 году показатель снизился до 10,9%.

Спад доли не равен массовому урезанию защиты. Средний бюджет безопасности в выборке IANS за 2025 год вырос на 4%. Рост слабый: годом ранее показатель составлял 8%, а нынешний темп оказался минимальным за пять лет. Свыше половины опрошенных руководителей при этом сообщили о замороженных либо сокращённых бюджетах.

Причина снижения доли лежит не только в самих расходах на защиту. Общие ИТ-бюджеты быстрее увеличивались из-за вложений в ИИ и облачную инфраструктуру. Когда весь ИТ-бюджет разрастается быстрее, чем его защитная часть, процент безопасности падает даже при росте расходов в деньгах. Под давлением оказался и штат: команды безопасности прибавляли примерно по 7% сотрудников в год, но лишь 11% руководителей считали свои подразделения достаточно укомплектованными.

В обзорах встречается и другая эффектная цифра: около 21% ИТ-бюджета на безопасность в 2021 году. У оценки иная выборка и иная методика, поэтому подставлять её в ряд IANS нельзя. Особенно легко такая подмена вводит в заблуждение при сравнении компаний разного масштаба: высокая доля нередко указывает не на повышенную щедрость, а на небольшой ИТ-бюджет, по которому распределяются обязательные базовые расходы.

Мировой рынок в долларах: почему оценки не сходятся

Опросы CISO описывают внутреннюю структуру расходов отдельных организаций. Gartner, IDC и Forrester измеряют другое: сколько денег мировой рынок отдаёт поставщикам продуктов и услуг безопасности. Суммы там значительно крупнее, но превращать их в норматив для компании бессмысленно.

Согласно прогнозу Gartner, опубликованному летом 2025 года, мировые расходы конечных заказчиков на информационную безопасность составляли около 193 млрд долларов в 2024 году. Для 2025 года агентство ожидало примерно 213 млрд, для 2026-го почти 240 млрд долларов. Прогнозируемый годовой рост на 2026 год составляет около 12,5%. Быстрее остальных сегментов должно расти программное обеспечение для безопасности, прежде всего инструменты защиты облачных сред.

IDC рассчитывает рынок шире и подробнее. Прогноз агентства на 2026 год достигает примерно 308 млрд долларов при росте около 12% за год. К 2029 году расходы, согласно модели IDC, могут приблизиться к 430 млрд. Более половины затрат в 2026 году агентство относит к программному обеспечению, причём программный сегмент должен прибавлять почти 14% ежегодно. Основные направления: управление идентификацией и доступом, защита конечных устройств, аналитика безопасности и средства защиты данных.

У Forrester оценка заметно ниже. Агентство прогнозировало около 175 млрд долларов расходов на кибербезопасность в 2025 году и превышение рубежа в 300 млрд к 2029-му. Между оценками Forrester и Gartner за один и тот же 2025 год лежит почти 40 млрд долларов.

Такой разброс не означает, что одно из агентств просто ошиблось. Каждая компания чертит собственные границы рынка, по-своему группирует технологии, услуги и расходы заказчиков, использует разные базы и модели прогнозирования. Gartner публикует расходы конечных клиентов по крупным категориям. IDC сводит множество технологических сегментов, отраслей и стран. Forrester применяет свою функциональную разбивку. В зависимости от рамки один рынок получает оценку в 175, 240 или 308 млрд долларов. Совпадает другое: все три модели описывают продолжающийся рост расходов на защиту.

Почему готового процента не существует

Норма вида «безопасность должна получать X% ИТ-бюджета» хорошо смотрится на слайде и плохо работает в реальной смете. Компаниям мешают не арифметические расхождения, а различия в рисках, обязательствах и масштабе инфраструктуры.

Отрасль сразу меняет картину. Финансовая организация, страховщик или технологическая компания обслуживают активы, для которых утечка, мошенничество либо длительный простой способны быстро превратиться в крупный убыток и регуляторное разбирательство. У розничной сети, производственного предприятия или гостиничного бизнеса профиль угроз и структура затрат будут иными. По данным IANS, бюджеты быстрее среднего росли в финансовом, страховом и технологическом секторах; слабее всего динамика выглядела в здравоохранении, профессиональных услугах и рознице. Сравнение банка с сетью магазинов по одной доле расходов сообщает мало.

Размер бизнеса способен перевернуть интуитивную картину. По данным IANS, компании с выручкой менее 50 млн долларов направляли на безопасность в среднем 26,1% ИТ-бюджета. У организаций с выручкой от 600 млн до 1 млрд долларов показатель составлял около 11,6%. Для небольшой компании базовый набор защитных средств, услуг и специалистов занимает крупную часть сравнительно малого ИТ-бюджета. В большой организации те же обязательные расходы растворяются в гораздо более массивной смете.

Зрелость защиты добавляет ещё один разлом. Бизнес, который только строит управление доступом, мониторинг, резервирование и процессы реагирования, неизбежно расходует деньги иначе, чем организация с уже работающей базовой инфраструктурой. В одном случае бюджет закрывает разрыв, в другом поддерживает и обновляет построенную систему. Один процент не описывает обе ситуации.

Наконец, компании по-разному считают сами расходы. Один финансовый директор занесёт в бюджет безопасности лицензии и зарплаты профильной команды. Другой включит туда долю облачных сервисов, обучение сотрудников, услуги подрядчиков, киберстрахование и часть инфраструктурных расходов. Реальная защищённость может оказаться сопоставимой, а доля в отчётности разойдётся заметно. Чужой процент без расшифровки состава бюджета остаётся цифрой без основания.

На что компании направляют деньги

Средняя доля плохо отвечает на вопрос о качестве защиты. Структура расходов говорит больше: по ней видно, какие задачи компании считают приоритетными и где пытаются сократить сложность.

В отдельном исследовании IANS о программных средствах и услугах участвовали 628 руководителей безопасности. По данным отчёта, программное обеспечение получает примерно 30% бюджета безопасности и занимает второе место после персонала и оплаты труда. Внутри программных расходов крупнейшая доля приходится на мониторинг и реагирование на инциденты. Следом идут защита конечных устройств, сетевая безопасность, защита облачных сред и управление доступом.

Рынок одновременно уходит от коллекции разрозненных инструментов. Около 70% опрошенных руководителей уже объединили продукты в платформы либо занимаются такой консолидацией. Причина прагматична: десятки отдельных решений требуют интеграции, обслуживания и специалистов, а на практике оставляют разрывы между интерфейсами, журналами и процедурами реагирования.

Ещё один заметный сдвиг связан с внешними поставщиками управляемых услуг безопасности. К ним обращаются примерно две трети программ, особенно в среднем бизнесе. Круглосуточный мониторинг, расследование сигналов и поддержание собственной крупной команды слишком дорого обходятся организациям, которым такие функции нужны постоянно, но не в масштабе большого банка или технологической корпорации.

Что увеличивает расходы, а что мешает им расти

Бюджет безопасности одновременно подталкивают угрозы и сдерживает экономика. В 2025–2026 годах обе силы стали особенно заметны.

• Облако и гибридная инфраструктура. Чем больше систем распределено между локальными площадками, облачными сервисами и удалёнными рабочими местами, тем сложнее контролировать доступ, конфигурации и передачу данных. Подключённые устройства и промышленные системы управления добавляют отдельный слой риска.
• ИИ у защитников и атакующих. Службы безопасности применяют такие инструменты для анализа событий и ускорения расследований. Злоумышленники используют их для фишинга, подделки голоса и видео, подготовки убедительных сообщений. В отчёте IBM о стоимости утечек данных указано, что инструменты ИИ применялись злоумышленниками в 16% изученных утечек 2025 года. Каждая пятая изученная организация столкнулась с утечкой, связанной с «теневым» ИИ, то есть сервисами, которыми сотрудники пользовались без контроля службы безопасности.
• Требования регуляторов и заказчиков. Защита персональных данных, отраслевые правила, раскрытие инцидентов и ответственность руководителей за управление киберрисками превращают часть расходов из добровольных в обязательные.
• Профессиональные атаки. Программы-вымогатели как услуга, компрометация подрядчиков и развитие криминальной инфраструктуры снижают порог входа для атакующих. В докладе Всемирного экономического форума за 2026 год кибернебезопасность заняла шестое место среди глобальных рисков на двухлетнем горизонте.

Расходы, однако, не растут автоматически вслед за угрозами. В 2025 году бизнес столкнулся с геополитической нестабильностью, неопределённостью вокруг тарифов, колебаниями инфляции и ставок. Подразделения безопасности попали под ту же бюджетную дисциплину, что и остальные функции: больше половины опрошенных IANS руководителей сообщили о заморозке или сокращении средств. Одновременно вложения в ИИ и облако расширили общий ИТ-бюджет быстрее, чем росли затраты на защиту. Процент снизился, хотя абсолютные расходы не исчезли.

Российской компании зарубежная доля не даёт норматива

Все проценты IANS получены на выборке компаний из США и Канады. Денежные оценки Gartner, IDC и Forrester описывают глобальный рынок. Для российской организации такие данные показывают направление движения отрасли, но не отвечают на вопрос о необходимой строке в собственном бюджете.

Российская смета формируется в иной среде. Компании заменяют ушедшие зарубежные решения отечественными продуктами, тратятся на миграцию, совместимость, обучение и поддержку. К бюджету добавляются требования закона о персональных данных (152-ФЗ), нормы для значимых объектов критической информационной инфраструктуры (187-ФЗ), документы и предписания ФСТЭК и ФСБ. Расходы, связанные с соблюдением требований, зависят не от среднего процента американского опроса, а от состава систем, категории данных и обязанностей конкретной организации.

Есть и проблема учёта. Российская компания может иначе распределять стоимость лицензий, услуг интегратора, сертифицированных средств защиты, аттестации, эксплуатации и внутреннего персонала. Поэтому формула «возьмём 10,9%, потому что столько показал IANS» не обосновывает бюджет. Она лишь заменяет анализ чужой цифрой.

Полезнее читать зарубежную статистику как сигнал о направлениях затрат: облачная защита, управление идентификацией и доступом, обнаружение инцидентов, восстановление и контроль рисков, связанных с ИИ. Конкретную сумму всё равно придётся выводить из российских требований и собственных сценариев ущерба.

Как защищать бюджет перед руководством

Совету директоров обычно нужен не академический спор о средних значениях, а ответ на более жёсткий вопрос: какие потери предотвращает каждая крупная статья расходов. Здесь процент помогает слабо. Работает связь между риском, активом и мерой защиты.

Проверку бюджета разумно начинать с нескольких прямых вопросов:

1. Критичные активы. Определены ли системы и данные, потеря либо остановка которых нанесёт бизнесу максимальный ущерб? Достаточно ли защищены именно они?
2. Идентификация и доступ. Видит ли компания, кто получает доступ к системам, включая сотрудников, подрядчиков, сервисные учётные записи и автоматизированные процессы?
3. Обнаружение и реагирование. Сможет ли команда заметить инцидент достаточно быстро и действовать по готовому сценарию, а не собирать процедуру во время атаки?
4. Восстановление. Проверялись ли резервные копии и сроки возвращения ключевых систем в работу? Существующий архив без регулярной проверки легко оказывается бесполезным после шифрования или сбоя.
5. Новые риски. Учтены ли сервисы ИИ, которыми пользуются сотрудники, и зависимости от подрядчиков, через которых атака может попасть в инфраструктуру?

Если один из таких контуров не закрыт, средняя рыночная доля проблему не исправит. Тогда бюджет стоит пересобирать: убрать дублирующие инструменты, проверить, нужна ли устаревшая защита периметра в прежнем объёме, автоматизировать рутинную обработку сигналов там, где ручная работа лишь расходует время. Освободившиеся средства направляют не «в безопасность вообще», а в конкретный пробел: управление доступом, защиту облака, расследование инцидентов или восстановление после сбоя.

Руководство вправе требовать измеримого результата. Только измерять его следует не количеством закупленных продуктов и не близостью к чужим 10,9%, а временем обнаружения и локализации инцидента, долей закрытых критичных уязвимостей, фактически проверенными планами восстановления и снижением ущерба в приоритетных сценариях.

В отчёте IBM за 2025 год средняя мировая стоимость утечки данных снизилась до 4,44 млн долларов после 4,88 млн в 2024 году. IBM связывает снижение прежде всего с более быстрым обнаружением и локализацией инцидентов. Для собственной сметы компания должна считать собственные простои, восстановление и потери данных, но предмет вложений здесь назван предельно конкретно: скорость реакции.

Частые вопросы

Сколько процентов ИТ-бюджета тратить на кибербезопасность в 2026 году?

Единого норматива нет. В опросе IANS за 2025 год средняя доля составила 10,9% ИТ-бюджета, но показатель сильно меняется в зависимости от размера организации, отрасли, зрелости защиты и правил учёта. У небольших компаний доля способна превышать 25%, у крупных находиться ближе к 8–11%. Проверять нужно не совпадение со средним значением, а защиту критичных активов, доступа, обнаружения и восстановления.

На что компании расходуют бюджет безопасности?

По данным IANS, крупнейшей статьёй остаются персонал и его оплата. Программное обеспечение получает около 30% бюджета и занимает второе место. В программной части заметнее всего расходы на мониторинг и реагирование, защиту конечных устройств, сетевую безопасность, облачные среды и управление доступом. Около 70% опрошенных руководителей уже консолидируют инструменты в платформы либо завершили такую работу.

Почему у небольших компаний доля расходов выше?

Небольшой организации всё равно нужны базовые средства защиты, управление доступом, резервирование, мониторинг и специалисты либо внешний подрядчик. Такие расходы делятся на сравнительно маленький ИТ-бюджет. По данным IANS, компании с выручкой менее 50 млн долларов направляли на безопасность в среднем 26,1% ИТ-бюджета, а организации с выручкой от 600 млн до 1 млрд долларов около 11,6%.

Почему Gartner, IDC и Forrester называют разные суммы?

Агентства по-разному определяют границы рынка и классифицируют расходы. Gartner прогнозировал около 213 млрд долларов мировых расходов на информационную безопасность в 2025 году и почти 240 млрд в 2026-м. Forrester оценивал 2025 год примерно в 175 млрд долларов. IDC прогнозировал около 308 млрд на 2026 год. Сравнивать такие значения как один и тот же показатель нельзя без проверки методики.

Сколько стоит утечка данных?

По отчёту IBM, средняя мировая стоимость утечки в 2025 году составила 4,44 млн долларов. Годом ранее показатель достигал 4,88 млн, а в 2023 году составлял 4,45 млн. В США средняя стоимость в 2025 году была значительно выше и достигала 10,22 млн долларов. Для конкретной компании размер потерь зависит от отрасли, типа данных, продолжительности простоя и скорости восстановления.

Почему доля безопасности снизилась, хотя рынок растёт?

Потому что доля и сумма расходов описывают разные вещи. В выборке IANS бюджет безопасности в 2025 году вырос в среднем на 4%, но общие ИТ-расходы увеличивались быстрее из-за вложений в ИИ и облачную инфраструктуру. Если весь ИТ-бюджет растёт быстрее защитной части, её доля уменьшается даже при увеличении расходов в деньгах.

Стоит ли сокращать расходы на безопасность при давлении на бюджет?

Равномерное сокращение создаёт риск оставить без ресурсов самый болезненный сценарий: остановку критичной системы, потерю данных или затянувшееся восстановление. Пересмотр бюджета оправдан, когда компания убирает дублирующие инструменты, отказывается от неактуальных затрат и направляет средства в конкретные незакрытые риски. Сокращать защиту без анализа активов и сценариев ущерба опасно.

Можно ли российской компании взять за ориентир 10,9%?

Как готовый норматив, нет. Показатель IANS получен на выборке компаний из США и Канады. Российская организация учитывает переход на отечественные решения, требования 152-ФЗ и 187-ФЗ, документы ФСТЭК и ФСБ, состав собственных информационных систем и принятую модель учёта расходов. Зарубежная доля показывает тенденцию, но не рассчитывает российскую смету.

Как обосновать бюджет безопасности перед руководством?

Нужно связать затраты с конкретными активами и сценариями ущерба: какие системы защищаются, сколько займёт обнаружение атаки, как быстро компания восстановит работу, какие критичные уязвимости уже закрыты и какой разрыв останется без финансирования. Средний процент из внешнего отчёта не заменяет ответа на вопрос, сколько часов бизнес сможет работать после инцидента.