На фоне усложнения экономической ситуации компании пересматривают ИТ-бюджеты в сторону оптимизации. Расходы на ИБ остаются более устойчивыми, однако риск их сокращения также возрастает. Подходы CISO к управлению этими рисками стали предметом обсуждения на конференции R-EVOlution 2026.
Введение
Российская экономика во второй половине 2025 года вступила в фазу «охлаждения». Это стало прямым следствием жёсткой финансовой политики, направленной на борьбу с инфляцией.
В качестве главного инструмента Банк России выбрал резкое повышение ключевой ставки. Это практически сразу привело к целому ряду последствий, в том числе и для ИТ-рынка: свёртыванию капиталоёмких проектов, выпадению доходов как госбюджета, так и компаний, повышению налогов.
В итоге бизнес начал сворачивать инвестиции в ИТ. Как отмечают представители многих компаний, если и инициируются новые проекты, то точечные, направленные на быстрый эффект. Также продолжается работа над теми, которые были начаты ранее.
В итоге уже в сентябре 2025 года, по данным опроса «К2Тех», 29 % респондентов сообщили о снижении ИТ-бюджетов (рис. 1). У более чем трети компаний он не изменился, что в условиях инфляции, особенно опережающего роста цен на ИТ-оборудование, также означает фактическое снижение.
Наиболее интенсивно снижали ИТ-бюджеты компании нефтегазового сектора и промышленности. Как отмечал генеральный директор ГК Softline Владимир Лавров на регулярной пресс-конференции Ассоциации «Руссофт», предприятиям добывающего сектора и промышленности в условиях высокой ключевой ставки выгоднее инвестировать в основные фонды, чем в проекты, связанные с цифровизацией, особенно масштабные.
Рисунок 1. Результаты опроса российских компаний о динамике ИТ-бюджета
Согласно данным исследования «К2Тех», в сентябре 2025 года компании не сокращали ИБ-бюджеты. Обеспечение кибербезопасности и поддержание непрерывности бизнес-процессов являются одними из важнейших задач, от которых зависит бизнес. Кроме того, поддержание ИБ на определённом уровне входит в требования регуляторов, и без их соблюдения деятельность организации невозможна.
Однако в исследовании участвовали только крупные компании. Приоритеты малого и среднего бизнеса, особенно не подпадающего под требования регуляторов, могут существенно отличаться. С учётом того, что во многих организациях ИБ-бюджет в той или иной форме привязан к ИТ-бюджету, перспектива его снижения, пусть и с отложенным эффектом, остаётся актуальной для многих руководителей ИБ-служб (CISO).
Как отметил в ходе панельной дискуссии «Оптимизация неизбежна: от чего в ИБ можно отказаться, а где экономия начинает стоить слишком дорого» на конференции R-EVOlution 2026, прошедшей 9 апреля в Москве, директор технического директората авиакомпании S7 Дмитрий Найдёнов, ситуацию осложняет восприятие ИБ бизнесом как исключительно затратной статьи, не приносящей дохода даже косвенно. Поэтому вопрос о том, на чём можно сэкономить без критических последствий, остаётся крайне актуальным.
На чём и как можно сэкономить
По мнению участников дискуссии, у CISO есть возможности при необходимости снизить затраты. Основными статьями для возможной экономии могут стать:
- Отказ от новых проектов.
- Сокращение лицензионных платежей.
- Передача части сервисов вовне компании (аутсорсинг, аутстаффинг, облачные сервисы).
Однако всё равно необходима определённая осторожность. Особенно это касается зарегулированных областей, где несоблюдение норм может привести к серьёзным санкциям вплоть до невозможности вести бизнес.
Также неплохой результат даёт совместная работа с ИТ по оптимизации инфраструктуры. В процессе такой работы, как отметил Дмитрий Найдёнов, всегда можно найти бесхозные серверы или дублирующие друг друга системы. Это напрямую влияет и на работу ИБ. Также возможно сокращение сроков хранения журналов системных событий (логов) и прочей служебной информации.
Кроме того, как напомнил директор Центра информационной безопасности интегратора «Инфосистемы Джет» Андрей Янкин, ИТ и ИБ почти всегда имеют дублирующие друг друга системы. От такого дублирования также можно и нужно уходить. Однако, по его наблюдениям, как правило, и та и другая системы являются неполными, что затрудняет такие проекты и создаёт почву для конфликтов.
Свёртывание новых проектов
Такой метод является наиболее очевидным. По отношению к ИТ-проектам такой подход бизнес уже применяет со второй половины 2025 года. Если новые проекты и начинаются, то речь идёт о таких, которые имеют небольшой бюджет, занимают мало времени и дают быстрый эффект.
Дмитрий Найдёнов даже заявил, что при наиболее жёстком прессинге со стороны бизнеса можно пойти на то, чтобы полностью заморозить развитие. Тем более что, по его оценке, многие ИБ-проекты являются «игрой вдолгую». В таких условиях лучше сосредоточиться на сокращении потенциальной площади атаки (харденинге).
Однако директор центра информационных технологий R-Vision Александр Аксютик всё же предостерёг от полного отказа от развития, пусть даже и временного. Это, по его оценке, означает идти против интересов компании.
Естественно, данное утверждение не относится к проектам, которые необходимы для обеспечения выполнения регуляторных требований. Причём речь может идти не только о государственных регуляторах. Так, например, Национальная система платёжных карт — основной процессинговый центр платёжных карт «Мир» — анонсировала уже в текущем году резкое ужесточение нормативов по мошенническим операциям. Для того чтобы им соответствовать, банкам придётся серьёзно обновлять системы антифрода. Придётся выполнять множество работ и тем, кто подпадает под регулирование в сфере критической информационной инфраструктуры (КИИ).
Сокращение лицензионных платежей
Этот резерв многие недооценивают, но он оказывается довольно значимым. Причём, как обратил внимание Андрей Янкин, наибольшей экономии можно добиться, отказавшись от невостребованных модулей «тяжёлых» и, соответственно, дорогих систем вроде EDR, SIEM или DLP. Он также привёл пример из практики с одной из систем двухфакторной аутентификации, где 20 % лицензий относились к технологическим учётным записям, для которых её применение было абсолютно нецелесообразным. Отказ от них сразу же привёл к снижению лицензионных платежей.
Александр Аксютик поддержал данный способ экономии. На снижение в 20 %, однако, рассчитывать не стоит, но в целом можно добиться весомого снижения затрат на лицензирование. Причём вендоры, как правило, относятся к таким пожеланиям заказчиков с полным пониманием и обычно идут навстречу.
А вот использование самописных систем, как предупредил представитель R-Vision, является плохой идеей. Хотя примеры кэптивных ИБ-систем есть, и их становится больше. Однако главным мотивом таких проектов является не желание сэкономить, а создание продукта под нужды компании, когда вендорские решения по тем или иным причинам не устраивают.
Также не секрет, что часто основой для внутренних разработок являются проекты с открытым кодом. Однако не стоит забывать о том, что атаки на цепочки поставок с использованием такого ПО растут быстрыми темпами.
К тому же ПО с открытым кодом, по крайней мере если речь идёт о сложных системах, в частности мониторинга ИТ-инфраструктуры, оказывается как минимум не дешевле, чем вендорское. Стоимость лицензирования коммерческих продуктов компенсируется за счёт меньших затрат при внедрении и обслуживании.
Плюс ко всему на полноценную доработку продукта с открытым кодом требуется довольно большая команда квалифицированных разработчиков (минимум 10 человек), собрать которую не так просто. Также Андрей Янкин обратил внимание на то, что если команда разработки уходит, то компания оказывается в очень сложном положении, поскольку сопровождать самописную систему становится некому и остро встаёт перспектива замены.
Передача ряда сервисов внешним исполнителям
Речь идёт прежде всего об аутсорсинге во всех его формах, включая инсорсинг и аутстаффинг, а также об облачных сервисах — как публичных, так и гибридных. По общему мнению участников дискуссии, вовне компании можно отдавать практически всё, кроме тех функций, которые требуют уникальных компетенций, обеспечивающих конкурентные преимущества компании.
Также исключением являются функции CISO. Это связано с вопросами регуляторики. Кроме того, в нормативных актах по защите КИИ и в банковской сфере имеются требования, которые как минимум ограничивают перенос систем вовне корпоративного периметра. Эти моменты также необходимо учитывать.
Заместитель директора департамента — директор по развитию сервисов кибербезопасности Банка ПСБ Сафрон Дадаев отметил, что если компания является частью крупного холдинга, где есть внутренний интегратор, который может выполнять функции инсорсера, то ему можно передать практически любые функции по обслуживанию различных систем.
Однако, по его оценке, среди ИБ-сервисов есть и такие, которые просто нецелесообразно сохранять внутри компании. Это, например, всё, что так или иначе касается анализа защищённости, будь то тестирование на проникновение (пентест) или поиск уязвимостей за вознаграждение (bug bounty). По его оценке, у внутренних сотрудников просто «замыливается» взгляд, что не лучшим образом сказывается на качестве работы. То же самое относится к таким задачам, как аудит ИБ и оценка соответствия регуляторным требованиям.
Дмитрий Найдёнов добавил к этому перечню также разработку нормативной документации и в целом всё, что относится к сфере «бумажной» безопасности. Также вовне компании, по его мнению, можно вывести задачи по обеспечению как минимум части функций безопасной разработки. Плюс ко всему использование облачных или гибридных инфраструктур позволит упростить задачу избавления от лишнего оборудования.
Как подчеркнул Андрей Янкин, реальные серьёзные инциденты существенно повышают готовность передать функции вовне компании. Он рассказал об опыте более чем полутора десятков проектов, связанных с ликвидацией последствий атаки шифровальщика. Во всех них пострадавшие компании были вынуждены передать на обслуживание практически всё, вплоть до систем DLP и других решений, где хранились конфиденциальные данные.
На чём экономить нельзя
Среди тех направлений, на которых нельзя экономить, участники дискуссии выделили следующие:
- Программы повышения осведомлённости.
- ИБ-персонал.
- Средства резервного копирования.
Прежде всего эксперты сошлись на том, что нельзя экономить на людях. Это касается как ИБ-персонала, так и программ обучения и повышения осведомлённости всех сотрудников компании.
Программы повышения осведомлённости
Как подчеркнул Дмитрий Найдёнов, программы повышения осведомлённости об угрозах (Security Awareness) нужно не только не сокращать, но и наращивать. По его оценкам, на фишинг и атаки с использованием социальной инженерии приходится около 70 % успешных атак. Технические средства против таких атак обычно малоэффективны, и единственным способом снизить риск является повышение осведомлённости сотрудников.
По данным исследования BI.Zone, посвящённого активности 100 кибергруппировок в отношении компаний из России и стран СНГ, на фишинг приходится 64 % эпизодов, связанных с первичным проникновением в ИТ-инфраструктуру. Для сравнения, занявшие 2 место средства удалённого управления заняли долю лишь в 18 %.
ИБ-персонал
Александр Аксютик назвал персонал той статьёй, на которой если и экономить, то в самую последнюю очередь. Единственной допустимой формой такой экономии, по его оценке, является сокращение или прекращение найма новых сотрудников. Сафрон Дадаев и вовсе призвал не экономить на ИБ-кадрах. Это касается как попыток снижать заработную плату, так и неразумных сокращений персонала.
Как подчеркнул Сафрон Дадаев, если оплата труда сотрудника ниже среднерыночной, то уже совсем скоро он перейдёт на другое место. А в случае увольнения поиск замены потом, когда трудные времена закончатся, обойдётся приблизительно втрое дороже, чем экономия на оплате труда такого сотрудника. Если речь идёт о редких специалистах, то проигрыш будет ещё больше.
Он предостерёг и от увольнения начинающих сотрудников с малым опытом («джунов»). Тем самым, по его мнению, подрывается кадровый резерв компании, что существенно осложнит ей жизнь потом.
Дмитрий Найдёнов также напомнил, что ИТ- и ИБ-персонал хорошо знают те системы, которые обслуживают и защищают. Причём их слабо контролируют, что им также хорошо известно. Это может стать соблазном, что надо учитывать, в частности, в ходе различных профилактических мероприятий. На них, по его оценке, также не стоит экономить.
Что касается использования искусственного интеллекта, то это не панацея. Как отметил Александр Аксютик, ИИ действительно позволяет экономить, «но не в лоб». Людей он напрямую не заменяет, хотя часто является хорошим подспорьем. По мнению Сафрона Дадаева, хорошим примером здесь является разгрузка первой линии поддержки SOC.
Однако на дискуссии «О дивный новый 2026: эффективность без усложнения», которая открывала конференцию, руководитель ИИ-лаборатории Россельхозбанка Даниил Потапов обратил внимание на то, что в том случае, когда инфраструктура для ИИ разворачивается внутри контура организации, соответствующие инструменты в нынешних условиях высоких цен на комплектующие становятся дорогими. А именно так приходится поступать многим организациям вследствие регуляторных требований.
Андрей Янкин на конференции IT Elements также назвал использование ИИ для решения практических задач аналитика SOC экономически нерентабельным. Причём такая оценка была дана в сентябре 2025 года, до лавинообразного роста цен на электронные компоненты. Так что экономика использования ИИ стала ещё более проблемной.
Резервное копирование
По мнению Андрея Янкина, на резервном копировании также экономить очень опасно. Именно резервное копирование и восстановление являются наиболее надёжным инструментом устранения последствий атак шифровальщиков.
Руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании «Эфшесть/F6» Антон Величко в ходе эфира AM Live «Атаки шифровальщиков: как защитить бизнес и восстановиться после инцидента» подчеркнул, что каждая 7 атака с использованием шифровальщика является диверсией: её целью является не получение выкупа, а уничтожение инфраструктуры. Такая практика довольно широко распространена у проукраинских кибергруппировок. В случае атаки со стороны таких злоумышленников никакой расшифровки данных не предполагается.
Не стоит забывать и о том, что ИТ-оборудование имеет склонность изнашиваться. Тем более что стоимость тех же дисков стремится в стратосферу и, соответственно, те, что есть, пытаются эксплуатировать до тех пор, пока они продолжают работать. Положение осложняет и то, что популярные SSD-диски, как локальные, так и на серверах и системах хранения, имеют склонность выходить из строя внезапно, без каких-либо явных симптомов.
В таких условиях экономия на резервном копировании действительно чревата весьма серьёзными неприятностями для бизнеса. Это показывает опыт в том числе устранения последствий громких инцидентов 2025 года. А по данным «Лаборатории Касперского», все они были связаны как раз с действием шифровальщиков или вайперов.
Выводы
У CISO есть возможность снизить расходы за счёт сокращения количества новых проектов, уменьшения лицензионных платежей и объёма услуг внешней технической поддержки. Также часть сервисов можно передать вовне компании. Среди них особо выделяется тестирование на проникновение, которое не только не приведёт к падению качества, но даже наоборот позволит посмотреть на безопасность со стороны незамыленным взглядом.
Категорически нельзя экономить на людях. Это касается как сотрудников ИБ-службы, на поиск замены которым придётся потом потратить существенно больше, так и мероприятий, направленных на повышение осведомлённости персонала об угрозах. Более того, в текущих условиях, когда основная масса атак происходит с помощью средств социальной инженерии и фишинга, обучение пользователей необходимо вести более интенсивно.
