Лишь 20% компаний в России серьезно относятся к ИБ

На конференции K2 Cloud Conf 2026 компании K2 Cloud, «K2 Кибербезопасность» и Positive Technologies представили итоги масштабного исследования киберустойчивости российских компаний.

В анонимном опросе участвовали 387 специалистов из средних и крупных организаций разных отраслей, преимущественно руководителей в сфере информационной безопасности и ИТ. Главный вывод заключается в том, что отечественные компании по прежнему слабо готовы к реальным киберугрозам и не понимают, как выстраивать защиту самостоятельно.

Серьезно относятся к кибербезопасности лишь 20% респондентов. Они внедрили внутренние стандарты информационной безопасности с учетом актуальных угроз, а не только формально проходят аудит у регуляторов. Меньше половины (40%) централизованно и регулярно сканируют системы на уязвимости. Почти треть компаний вообще не проверяет защищенность ИТ инфраструктуры.

Документированные сценарии реагирования на инциденты, которые регулярно тестируются, есть только у 15%. У 36% компаний функции кибербезопасности до сих пор выполняют сотрудники ИТ отдела без четкого разграничения ролей, а 80% организаций практикуют удаленную или гибридную работу. Размытый периметр вместе с неясной ответственностью за безопасность создают готовую точку входа для атакующих.

Руководитель практики кибербезопасности K2 Cloud Анжелика Захарова отметила, что данные отражают типичную картину бумажной безопасности. Формально функция информационной безопасности существует, но операционная зрелость, включающая непрерывный мониторинг, тестирование сценариев и риск ориентированное бюджетирование, остается уделом меньшинства. Разрыв между наличием структуры и реальной способностью реагировать на угрозы огромен. При этом 41% компаний до сих пор не используют облака, беря на себя всю нагрузку по защите инфраструктуры, хотя современные облачные провайдеры серьезно инвестируют в безопасность и предлагают уровень защиты, который большинству компаний сложно воспроизвести самостоятельно.

Лишь у 9% компаний бюджет, задачи и ключевые показатели эффективности в сфере информационной безопасности основаны на оценке ущерба и вероятности инцидентов. У большинства объем расходов на кибербезопасность формируется исходя из численности сотрудников или общего ИТ бюджета. 30% организаций участвуют в программах bug bounty, проводят регулярные пентесты или киберучения с привлечением внешних экспертов.

Директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин прокомментировал ситуацию. В прошлом году специалисты увидели положительную динамику: половина ИТ и ИБ директоров отметили значительное повышение интереса к кибербезопасности со стороны топ менеджмента и увеличение бюджетов на информационную безопасность.

При этом текущий опрос показал, что лишь у 17% компаний есть выделенная роль руководителя службы информационной безопасности в составе совета директоров для формирования стратегии. Это очень низкий показатель. Целенаправленный характер атак и возможные бизнес риски должны сделать кибербезопасность обязательной частью бизнес стратегии любой организации.

У 76% компаний в слепой зоне остается обучение персонала. Этот процесс либо отсутствует, либо проводится редко и формально при найме или уже после инцидента.

Руководитель образовательных программ Positive Education в Positive Technologies Анастасия Федорова отметила, что необходимость повышать киберграмотность сотрудников осознают немногие. Последствия очевидны: взлом через социальную инженерию и фишинг.

Обучение должно быть сквозным от рядовых сотрудников до генерального директора, поскольку топ менеджмент интересен хакерам из за максимальных полномочий доступа к критической информации и финансам. Специфику информационной безопасности важно учитывать при формировании комплексного плана развития персонала.