Сколько стоит ошибка в информационной безопасности

22.01.2026

Одна ошибка в области информационной безопасности может привести к утечке данных, потере клиентов и финансовым потерям на сумму в десятки, сотни тыс.$. При этом причина чаще всего кроется не в технических сбоях, а в управленческих просчётах. В материале — реальные примеры, размеры ущерба и практические меры, которые помогут предотвратить подобные инциденты.

Информационная безопасность — это основа устойчивости бизнеса. Потеря данных, срыв обязательств перед партнёрами, остановка ключевых процессов — всё это реальные последствия, с которыми сталкиваются компании, недооценившие риски. На первый взгляд, инцидент может показаться незначительным, но со временем запускается цепная реакция: отток клиентов, штрафы регуляторов, репутационный ущерб и прямые финансовые потери.

Распространённое заблуждение — считать информационную безопасность исключительно зоной ответственности IT-специалистов. На практике большинство серьёзных инцидентов происходят из-за управленческих ошибок и человеческого фактора.

Типичные ошибки в информационной безопасности:

Доступы не отозваны у бывших сотрудников
Пароли хранятся в Excel-файлах или общих чатах
В CRM отсутствует разграничение прав доступа
Нет системы логирования действий пользователей
Удалённая работа без использования VPN и шифрования
Подрядчики работают без официальных договоров и соблюдения политик ИБ

Цифры и реальные кейсы

Риски информационной безопасности легко измерить в рублях — особенно когда инцидент уже произошёл.

Согласно исследованию Positive Technologies за 2024 год:

Средний ущерб от одного инцидента ИБ для компаний составил от 15 до 24 тыс. $
70% случаев связаны с человеческим фактором, треть из них — с действиями бывших сотрудников
В 64% случаев компании не смогли быстро оценить масштаб утечки из-за отсутствия систем логирования и контроля доступа

По данным IDC:

Один день простоя IT-инфраструктуры обходится бизнесу в 6 –20 тыс. $ (в зависимости от отрасли)
Компрометация клиентской базы влечёт не только отток клиентов, но и расходы на уведомления, восстановление данных, юридическую защиту и антикризисный PR. Общая сумма ущерба часто превышает 64–130 тыс.$

Практические кейсы

Кейс 1. Увольнение без отзыва прав доступа
Компания не отозвала доступы у уволенного руководителя отдела продаж. Он скопировал базу клиентов и перешёл к конкуренту. В течение месяца компания потеряла более 30 клиентов. Годовой ущерб составил около 60 тыс.$.
Ошибка: отсутствие автоматической блокировки учётных записей через единый каталог (например, Active Directory) и формализованных политик ИБ.
Решение: внедрение централизованной системы управления доступом и интеграция с CRM.

Кейс 2. Отсутствие журнала событий
Утечка произошла через общий Google-диск. Установить, кто именно скачал и передал архив договоров, не удалось. Это привело к судебному спору с заказчиком из-за невыполнения обязательств.
Убытки: юридические расходы, репутационные потери, судебная компенсация — итого 36 тыс.$.
Решение: проведение аудита безопасности, внедрение логирования, ролевой модели доступа и запрет публичных ссылок.

Кейс 3. Отсутствие актуального резервного копирования
Во время обновления ПО подрядчик случайно удалил базу данных. Последняя резервная копия была сделана две недели назад. Было утеряно свыше 1500 записей.
Прямые затраты: 12тыс.$ на восстановление данных + убытки от простоя.
Решение: регулярное резервное копирование и ведение журнала операций.

Кто несёт ответственность?

Часто вину возлагают на администратора или подрядчика, однако ответственность в большинстве случаев лежит на самой компании:

Отсутствие договора и технического задания лишает возможности требовать компенсацию от подрядчика
Действия сотрудника по устной договорённости практически невозможно доказать
Отсутствие шифрования и разграничения прав доступа к данным является грубым нарушением, за которое компания может быть оштрафована