Ілюзія готовності

Щороку компанії витрачають на кібербезпеку все більше, а менеджмент звітує про готовність до інцидентів. Проте зловмисники все одно зламують системи, які вважалися захищеними. Нове глобальне дослідження Kroll State of Cyber Resilience 2026, проведене серед 1000 директорів з кібербезпеки у десяти країнах, пояснює це розривом між уявною та реальною стійкістю.

Дослідники зафіксували критичну розбіжність між тим, як організації оцінюють власну готовність до кіберзагроз, і тим, наскільки вони насправді здатні захищатися від складних атак і відновлюватися після них. Вона породжена насамперед невідповідністю між топменеджментом і командами з кібербезпеки.

Одна цифра добре ілюструє проблему – лише 19% компаній вважають, що можуть відреагувати на інцидент упродовж кількох хвилин – тоді як середній час «прориву» зловмисника (breakout time) у 2025 році становив 29 хвилин. Вікно між вторгненням і завдаванням збитків є значно меншим, ніж час реагування більшості компаній. Тобто поки команда безпеки збирається на дзвінок та оцінює ситуацію, зловмисник уже пересувається мережею і закріплює позиції. 72% організацій впевнені, що відреагують на інцидент протягом доби – проте на той момент нападник давно вже виконав свою місію.

Фінансовий вимір цього розриву не менш відчутний – організації в середньому зазнають 2,2 млн дол. щорічних витрат на відновлення і простій унаслідок кіберінцидентів. При цьому 80% компаній збільшили кібербюджети на 2026 рік. Однак основна частина інвестицій не спрямована на захист від найпоширеніших векторів атак, що спрямовані на людей, облікові дані та внутрішні процеси. Компанії купують дорогі інструменти й нарощують витрати на хмарну безпеку та розвідку загроз, водночас недоінвестуючи у те, що насправді зупиняє зловмисників. 59% організацій нарощують витрати на хмарну та безпеку ланцюга постачання, але найпоширенішими тактиками атак залишаються фішинг (39% випадків) і компрометація корпоративної пошти (28%).

Ще більш наочна картина з проактивними заходами. 55% компаній скорочують або не збільшують інвестиції в red та purple teaming, а 52% знижують увагу до управління ідентифікацією й доступом та архітектури zero-trust – саме тих практик, які дозволяють виявити реальні прогалини до того, як їх знайде нападник. Замість того щоб перевіряти власну стійкість на практиці, організації вкладають у видимість захищеності.

Причини цього стану криються не в технологіях, а в управлінні. Різний рівень толерантності до ризику між виконавчим керівництвом і командами безпеки (51%) та недостатня кіберграмотність топменеджменту (43%) є головними рушіями розриву між стратегією і виконанням. Рада директорів розуміє кіберризик абстрактно – до першого серйозного інциденту. Після нього розуміння стає операційним, але ціна вже сплачена.

Окремим і дедалі актуальнішим виміром є штучний інтелект. За останні два роки 76% організацій зіткнулися з інцидентами безпеки, пов'язаними з AI-застосунками або моделями, а майже третина (27%) витратила понад 1 млн дол. на ліквідацію наслідків таких інцидентів. Штучний інтелект інтегрують з ентузіазмом, але без належного фундаменту безпеки він стає новим вектором атаки, а не інструментом захисту. Натомість компанії з дуже високою кіберзрілістю у 46% випадків не мали жодного AI-інциденту за той самий період: 69% з них мають централізовану платформну стратегію AI з вбудованими засобами контролю, порівняно з лише 39% серед компаній із низькою зрілістю.

Майже всі опитані організації (99%) мають план реагування на інциденти, проте більшість не вдосконалює його на основі реального досвіду, навіть коли атаки стають дедалі витонченішими.

Тому нарощування бюджету не замінює вирівнювання пріоритетів. Закрити розрив між уявною та реальною стійкістю – це передусім управлінське завдання. Починати варто з трьох кроків: чесно виміряти реальний час реагування (не очікуваний, а задокументований); переглянути, куди йдуть гроші на безпеку відносно актуальних векторів атак; і зробити кіберграмотність топменеджменту системною практикою, а не разовим тренінгом.

Стратегія охолодження ЦОД для епохи AI