Три из четырех российских компаний удерживают бюджет на защиту от DDoS в эпоху усиления атак

Исследование, проведенное оператором ИТ-решений «ОБИТ» совместно с провайдером безопасности DDoS Guard, показывает, что при усиливающемся росте DDoS-атак бюджеты большинства компаний на защиту остаются неизменными, а в некоторых случаях снижаются.

Исследование охватывает анализ динамики инвестиций в средства защиты от DDoS атак год к году, причины изменений в бюджете, модели организации защиты в компаниях и критерии для выбора провайдера защиты.  Аналитики «ОБИТ» изучили около 100 компаний среднего и крупного бизнеса из секторов производство, ритейл, ИТ, телеком и девелопмент. 

Ключевые результаты:

75% компаний заявили, что бюджет на защиту от DDoS в 2025 году по сравнению с 2024 годом «остался примерно на том же уровне». 13% высказались о незначительном снижении финансирования. Только 12% участников исследования отметили рост бюджета (6% — «кратно выросла», 6% — «незначительно выросла»). Ни одна компания не зафиксировала кратного снижения бюджета.

Формат организации самой защиты распределися в следующих пропорциях: 36% компаний реализуют защиту собственными силами, 23% — полностью за счет внешнего провайдера, 18% используют гибридную модель (внутренние ресурсы + сервис провайдера). При этом в 23% компаниях защита от DDoS никак не организована.

Главным драйвером выделения бюджета стали реальные попытки атак на компанию (57%). Среди других значимых факторов участники выделили рекомендации специалистов по информационной безопасности (43%),  требования регуляторов (36%) и риск репутационных потерь (29%).

При выборе поставщика защиты в качестве критерия номер большинство выбрали надежность/SLA (73%), во вторую очередь — уровень поддержки и сопровождения (67%) и стоимость решения (60%). Соответствие требованиям регуляторов учитывали лишь 20% респондентов.

Парадокс зрелости

За первое полугодие 2025 года зафиксирован рост общего количества DDoS-атак по сравнению с аналогичным периодом прошлого года на более чем 60%, при этом атаки становятся более частыми и сложными (за счет роста мощности и пиковых показателей). Российский рынок информационной безопасности тоже растет пропорционально возрастающим рискам: DDoS Guard в своем исследовании отмечает, что в 2024 году совокупный объем закупок государственных и коммерческих компаний по всем направлениям кибербезопасности вырос до рекордных 34,3 млрд рублей, однако расходы конкретно в разрезе на защиту от DDoS-атак снизились почти на треть в 2024 году (с 512,8 млн рублей до 369,1 млн рублей), при этом тенденция на снижение сохранилась и в первом полугодии 2025 году (опубликовано лишь 46 закупок на 102,2 млн рублей).

Главный вывод

Результаты исследования «ОБИТ» подтверждают парадоксальную тенденцию: бюджет превалирующей части компаний на статью защиты от DDoS остается статичным, а в некоторых случаях даже снижается, создавая «окно риска». При этом существует незащищенная доля рынка — четверть компаний (23%) остается без формализованной защиты, что особенно опасно на фоне усиления атак и их прямого влияния на доступность сервисов, репутацию и финансовые показатели бизнеса.

Причины

По мнению экспертов «ОБИТ», одна из главных причин нарастающего сворачивания инвестиций состоит в том, что рынок перегрет информационным шумом: постоянные сообщения об успешных атаках на компании различного масштаба создают эффект «привыкания» к подобным инфоповодам. 

Вместо вливания новых бюджетов топ-менеджере все чаще прибегают к оптимизации ранее принятых мер и инструментов защиты. Доминирует политика реагирования — то есть изменения в стратегию безопасности в компании принимаются не заблаговременно, а чаще всего после ИБ-инцидента или аналогичного события, создающего кратные риски. В большинстве случаев периметр сетевой защиты держится на сервисах, рассчитанных на защиту от уже устаревших методов атак, которые активно применялись злоумышленниками несколько лет назад, например, классические флуды. Однако новые тенденции — многовекторные кампании, использование ботнетов, атаки на уровне L7 — зачастую не учитываются. 

Кроме того, на ситуацию влияют и экономические факторы: стоимость комплексных решений защиты растет, принимаются новые нормативные акты в отношении безопасности, и это часто идет вразрез с запланированным бюджетом компании.

«Объявления о новых регуляторной изменениях: повышение ставки НДС, страховых взносов  для ИТ-компаний, приходят довольно поздно, когда основные бюджетные покупатели — заказчики такого ПО — уже утвердили статьи расходов. Заложенного бюджета может просто не хватить на закупку нужного объема лицензий, которые были запланированы на следующий год. Все поставщики, с кем мы общаемся, анонсировали, что НДС будет переложен на конечного заказчика. Рынок, конечно же, это не убьет, но правила игры во многом изменит», — комментирует заместитель гендиректора по стратегическим проектам «ОБИТ» Михаил Телегин. 
 

Рекомендации 

Эксперты «ОБИТ» отмечают, что изменение подхода от кратного вливания инвестиций в безопасность к избирательному некритично. Это показывает возрастающую осознанность компаний с одной стороны, так как бесконечно запасаться всеми инструментами для защиты без их понимания тоже нецелесообразно, но, с другой стороны — главное, чтобы компании не оказались на другом конце спектра в контексте полного игнорирования риска. И если встает вопрос оптимизации бюджета, действительно понимали, чем они готовы и могут пожертвовать, а чем — нет, и привлекали экспертов с рынка, которые смогут им помочь разобраться в этом и предложить проверенные решения.

«Компаниям стоит проводить оценку рисков, чтобы понимать, сколько стоит один час простоя, какие части их инфраструктуры более или менее критические, готовы ли они чем-либо пожертвовать в случае “падения”. Это помогает расставить приоритеты и в принципе лучше изучить свой проект. А в критической ситуации, например, когда команда обратится к провайдеру во время атаки, получив детали такого технологического бэкграунда, он сможет быстрее вникнуть в контекст и предложить эффективные инструменты» — подчеркивает Дмитрий Никонов, руководитель направления защиты от DDoS на уровне веб-приложений в DDoS-Guard. 

Ключевая рекомендация: вместо реактивных мер после инцидента важно переходить к проактивной стратегии — планировать защиту заранее, с учетом реальных сценариев атак. Как отмечает заместитель генерального директора по ИТ и инновациям  «ОБИТ» Андрей Рыков: «При планировании ИБ-бюджета имеет смысл рассматривать DDoS-защиту в формате сервисной модели, относящейся к операционным расходам (OPEX), а не капитальных вложений (CAPEX). При таком подходе расходы распределяются равномерно, становятся прогнозируемыми и зависят от фактического уровня нагрузки. Это особенно важно при изменяющейся интенсивности атак и позволяет топ-менеджменту эффективно формировать бюджет на информационную безопасность».

При выборе поставщика DDoS-защиты крайне важно ориентироваться на надежность и SLA-гарантии, качество сопровождения и практический опыт, а не только на стоимость решения. Для компаний, обладающих собственной ИТ-инфраструктурой, оптимальным вариантом может стать гибридная модель, сочетающая внутренние ресурсы и услуги внешнего провайдера.

Тем организациям, где защита пока не внедрена, эксперты рекомендуют начать хотя бы с базового уровня средств защиты и обязательного плана реагирования на случай инцидента. Дополнительно стоит учитывать усиливающееся влияние регуляторных требований, особенно для объектов критической инфраструктуры: в условиях роста числа атак эти факторы становятся значимыми драйверами пересмотра бюджетов на информационную безопасность.