Ваша система безопасности кажется идеальной на панели управления — и в этом её главный изъян

Каждый пятый корпоративный конечный пункт в любой конкретный день функционирует вне защищённого и контролируемого состояния, согласно телеметрии устройств, собранной с десятков миллионов рабочих компьютеров. Эта цифра, взятая из Индекса риска устойчивости 2026 от Absolute Security, практически не изменилась за год, несмотря на то, что организации продолжают добавлять средства защиты и увеличивать расходы.

Отчёт, основанный на многолетней телеметрии конечных точек и внешних исследованиях, показывает, что разрыв между внедрением средств безопасности и их реальным применением увеличивается. Средства контроля установлены. Информационные панели сообщают о полном охвате. Фактическое состояние базовых устройств часто оказывается иным.

Дрейф контроля постоянен, а не эпизодичен

Доля конечных точек, работающих в защищённом состоянии, среди устройств без активного принудительного обеспечения устойчивости увеличилась с 78% в 2025 году до 79% в 2026 году. Этот прирост в один процент означает, что среднее корпоративное устройство проводит примерно 76 дней в году вне состояния, в котором его средства защиты могут быть надёжно применены.

Данные охватывают три основные категории контроля: Управление уязвимостями конечных точек, Платформы защиты конечных точек (EPP/EDR/XDR) и Security Service Edge. Управление уязвимостями показало наиболее резкое ухудшение: уровень несоответствия вырос с 20% до 24% в годовом исчислении. Контроль EPP и EDR остался на прежнем уровне — 23% несоответствия. Контроль SSE изменился с 13% до 14%.

Анализируемые платформы доминируют в квадрантах аналитиков и составляют основу бюджетов на корпоративную безопасность в категориях управления конечными точками, их защиты и сетевой безопасности. Идентификаторы поставщиков анонимизированы в диаграммах производительности, но набор данных представляет крупнейших игроков отрасли по доле внедрения и объёму расходов.

В категории управления конечными точками производительность на уровне поставщиков варьировалась от целостности защищённого состояния около 99% у лучших до 55% у худших. Один поставщик в этом сегменте увидел, что его показатель защищённого состояния упал с 64% до 55% за год, оставив почти половину устройств вне контролируемого состояния.

Цена простоя

Финансовые последствия этих цифр весьма значительны. Согласно исследованию Splunk, компании в среднем теряют около 49 миллионов долларов годового дохода из-за простоев. В масштабах Global 2000 совокупный ущерб превышает 400 миллиардов долларов в год, что составляет примерно 9% от общей корпоративной прибыли. Критические сбои, затрагивающие основные системы, влекут за собой медианные потери около 2 миллионов долларов в час, а время восстановления часто растягивается на две недели или более.

Эксперты проводят различие между защитой от угроз и обеспечением операционной непрерывности. Организация может иметь активные лицензии, зелёные индикаторы на дашбордах и агентов на каждом устройстве, но при этом быть неспособной удалённо восстановить эти устройства в масштабе при возникновении сбоя. В одном из кейсов крупное глобальное предприятие с обширным покрытием платформы безопасности обнаружило, что менее 40% его устройств подлежат удалённому восстановлению во время инцидента. Среднее время восстановления составляло от пяти до десяти дней. Предполагаемые годовые потери от простоев оценивались в диапазоне от 28 до 40 миллионов долларов. После внедрения механизмов устойчивости на основе постоянства доступность удалённого восстановления превысила 95% конечных точек, среднее время восстановления сократилось до менее 24 часов, а годовые потери от простоев упали ниже 5 миллионов долларов.

Консолидация поставщиков создаёт риск концентрации

Архитектура корпоративной безопасности консолидируется вокруг меньшего числа платформ. Опрос Gartner 2025 года показал, что 62% организаций активно сокращают количество поставщиков, а 36% планируют продолжать консолидацию в течение следующих трёх лет.

Меньшее число поставщиков означает меньше интеграций и снижение операционных издержек на координацию — это логика, движущая консолидацией. Структурным следствием является то, что единая ошибка конфигурации, сбой обновления или перерыв в обслуживании могут одновременно распространиться на весь парк устройств.

Отчёт Verizon Data Breach Investigations Report за 2025 год установил, что 30% нарушений теперь связаны с третьей стороной, что примерно вдвое превышает показатель предыдущего года, и указывает на степень зависимости экосистемы в корпоративных средах.

Глобальный сбой конечных точек в 2024 году, затронувший миллионы систем за несколько часов, приводится в качестве примера того, как архитектурная концентрация может превратить единичный сбой на уровне поставщика в синхронизированный сбой в масштабе всей организации.

Циклы установки обновлений сдвигаются, включая новые системы

Срок установки обновлений для Windows 10 более чем удвоился в годовом исчислении во всех проанализированных секторах. Этот рост в значительной степени объясняется прекращением Microsoft выпуска общих обновлений безопасности для Windows 10 в октябре 2025 года. К началу 2026 года срок обновления для конечных точек Windows 10 в основном отражает количество дней с момента выпуска того финального обновления, что составляет примерно 150 дней.

Более важным сигналом является то, что около 10% корпоративных конечных точек в наборе данных продолжают работать на Windows 10, что навсегда оставляет их вне цикла обновлений безопасности без какого-либо пути к исправлению, кроме миграции на новую ОС.

Срок установки обновлений для Windows 11 также увеличился во всех отраслях в наборе данных. В сфере медиа и телекоммуникаций он достиг 78 дней. В образовании — 81 день. Финансовый сектор показал наименьший рост: срок обновления для Windows 11 составил 32 дня в 2026 году. Эти увеличения указывают на ослабление дисциплины установки обновлений на системах текущего поколения, а не только на устаревающем оборудовании, которое выводят из эксплуатации.

Использование генеративного ИИ на корпоративных устройствах выросло в 2,5 раза

Посещения платформ генеративного ИИ с корпоративных ПК выросли примерно со 150 миллионов до более чем 350 миллионов в годовом исчислении, что составляет рост в 2,5 раза. ChatGPT по-прежнему занимает наибольшую долю трафика: с 97,8% наблюдаемых посещений в 2025 году этот показатель снизился до 78,3% в 2026 году. Gemini от Google перешла с практически нулевого присутствия в 2025 году на 16,1% корпоративных посещений ИИ в 2026 году. Claude, сервисы для разработчиков OpenAI и DeepSeek также были зафиксированы в корпоративной активности в 2026 году.

Более 99% этого использования ИИ происходит через веб-браузеры, а не через локально установленные приложения. Такой метод доступа обходит многие политики контроля приложений, позволяя доступу к ИИ расширяться вне формальных каналов надзора ИТ-отдела. Сотрудники могут передавать конфиденциальные запросы, внутренние данные и интеллектуальную собственность через браузерные инструменты ИИ, не активируя традиционные средства контроля на конечных точках.

Трафик на DeepSeek значительно сократился в годовом исчислении, однако платформа продолжала появляться в корпоративных сетях, несмотря на ограничения со стороны нескольких правительств и органов безопасности.

Корпоративное оборудование становится платформой для выполнения задач ИИ

Конфигурации корпоративных ПК значительно сместились в сторону поддержки ИИ. В 2025 году 57% корпоративных устройств имели как минимум 16 ГБ оперативной памяти, что является базовым уровнем для локальных задач с поддержкой ИИ. К 2026 году этот показатель достиг 75%. Устройства с 32 ГБ ОЗУ и более, достаточными для более интенсивных локальных задач ИИ, выросли с 11% до 21%.

Производители чипов поставляют процессоры со специализированными AI-ускорителями, а операционные системы интегрируют функциональность искусственного интеллекта в среду рабочего стола. По прогнозам Gartner, к 2026 году ПК с поддержкой AI будут составлять более половины мировых поставок.

Практическим следствием является то, что стабильность конечных точек теперь является обязательным условием для автоматизированных рабочих процессов, а не только для индивидуальной продуктивности пользователя. Устройство, которое выходит из управляемого состояния или теряется из поля зрения систем управления, становится потенциальной точкой сбоя для процессов на основе AI, выполняемых на этом устройстве или через него.

Появление так называемых «полномочных цифровых агентов» — систем AI, работающих с правами пользователя, имеющих доступ к корпоративным приложениям и сохраняющихся между рабочими процессами, — добавляет дополнительный уровень управления. Организации теперь должны учитывать автономное программное обеспечение, работающее с теми же правами доступа, что и сотрудники, которые его развернули.

Риски распределены по секторам неравномерно

В финансовом секторе наблюдался резкий рост случаев раскрытия конфиденциальных данных: с 23% до 40% конечных точек в годовом исчислении. Показатели шифрования и «невидимых» устройств в секторе улучшились, что означает, что концентрация риска возникла из-за того, что данные накапливались на отдельных устройствах быстрее, чем ужесточались меры контроля.

Здравоохранение показало схожую картину. Уровень «невидимых» устройств незначительно снизился, а пробелы в шифровании увеличились, даже несмотря на продолжающийся рост объема регулируемых данных на каждом устройстве.

Розничная торговля продемонстрировала улучшение по всем трем метрикам риска: сократилось количество незашифрованных устройств, «невидимых» устройств и случаев раскрытия конфиденциальных данных.

Производственный сектор оставался стабильным по плотности данных и добился постепенного улучшения охвата контроля, при этом распределенный риск «невидимых» устройств сохранялся в операционных средах.

Измерение устойчивости как бизнес-метрики

Исследователи предлагают четыре метрики для количественной оценки устойчивости в финансовых терминах: среднее время восстановления, процент конечных точек, восстанавливаемых удаленно, стоимость простоя за час сбоя, а также затраты на труд и реагирование на инциденты, необходимые для восстановления. Предприятие, генерирующее 500 000 долларов операционного дохода в час, сохранит примерно 4 миллиона долларов стоимости, сократив время простоя всего на восемь часов в год.

Вебинар: Реальное состояние безопасности 2026