Кібербезпека для фінансових директорів: як рахувати ризик і не платити двічі

Український CFO у 2026-му стоїть перед нетривіальним вибором. Інвестиція в кібербезпеку — це OPEX, який видно у бюджеті відразу. Попереджена атака — це CAPEX, якого ніхто ніколи не побачить, навіть постфактум. Як ухвалити рішення про витрати на захист, яке має бізнес-сенс, а не виглядає як «ще одна стаття IT-бюджету, яку відрізаємо першою при оптимізації»? У цій колонці — я спробую показати фінансову логіку.

Структура реальних витрат від кібератаки

Перша помилка CFO — рахувати тільки видиму частину збитку. «Заплатимо викуп і повернемося до роботи». «Заплатимо за відновлення з бекапу і забудемо». Реальна структура витрат після серйозного інциденту виглядає інакше і складається з шести категорій.

1. Прямі технічні витрати

Викуп (якщо платять, а це окреме рішення з юридичними наслідками), послуги зовнішньої команди реагування, відновлення інфраструктури, заміна скомпрометованого обладнання, додаткові ліцензії. Це частина, яку всі бачать. У типовій українській компанії на 100–200 співробітників — від кількасот тисяч до кількох мільйонів гривень. А нещодавній український кейс — 1 млн у.о. в біткоїнах.

2. Простій бізнесу

Часто найбільша стаття і найчастіше не врахована заздалегідь. Якщо у вашої компанії середньоденна виручка 2 млн грн, а атака зупинила операції на 5 робочих днів - це 10 млн грн прямих недоотриманих доходів. Плюс зарплата співробітників, які не можуть працювати, але отримують зарплату. Плюс контрактні штрафи за зрив зобов'язань перед клієнтами.

Простий розрахунок для CFO: візьміть свою середньоденну виручку, помножте на 5–7 робочих днів. Це орієнтовний обсяг втрат, з яких починається будь-який ransomware (шифрування даних з вимогою викупу). Тепер порівняйте цю цифру з річним бюджетом на кібербезпеку.

3. Регуляторні штрафи

Закон України «Про захист персональних даних», галузеві вимоги (для фінансів, медицини, телекому), для бізнесу з ЄС-партнерами — GDPR. У 2026-му регуляторний фокус посилюється, особливо в частині повідомлення про інциденти. Прострочення з нотифікацією і в дію вступає окрема стаття штрафу, яка часто перевищує саму атаку.

4. Втрата клієнтів

Найдовший за тривалістю та найважче вимірюваний компонент. Українські компанії після гучних інцидентів 2023–2025 втрачали від 3% до 15% клієнтської бази протягом 6–12 місяців. У B2B це особливо боляче: після інциденту великий клієнт проводить власну перевірку і часто переходить до конкурента, просто, щоб не ризикувати.

5. Юридичні витрати

Позови від клієнтів, які постраждали від витоку даних. Юридичний супровід комунікації з регуляторами. Спори з підрядниками і страховою. Розслідування для встановлення відповідальних. Все це  окрема стаття витрат, що тягнеться 6–18 місяців після інциденту.

6. Зростання вартості страховки і капіталу

Після інциденту кіберстрахування або різко дорожчає, або стає недоступним щонайменше на 1-2 роки. Банки і кредитори можуть переглянути умови. У публічних компаній - реакція ринку капіталу.

Підписуйтеся на наші соцмережі

Орієнтовний розрахунок: компанія на 100 співробітників

Це симуляція з ринковими діапазонами для типової української компанії з оборотом близько 500 млн грн на рік. Цифри — орієнтири, не прогнози: реальні втрати залежать від галузі, тривалості простою, обсягу витоку.

Тепер інша сторона рівняння: бюджет на кібербезпеку для такої ж компанії. Базовий рівень (аудит, MFA, патч-менеджмент, навчання, бекапи з тестуванням) — 0,5-1 млн грн на рік, переважно на оплату підрядника. Середній рівень (плюс постійний моніторинг 24/7 і IRP) — 1,5-3 млн грн на рік. Зрілий рівень (повноцінний SOC або MSSP, регулярні пентести, симуляції, відповідність стандартам) — 3-6 млн грн на рік.

Порівняння очевидне. Навіть базовий рівень захисту коштує менше, ніж 5% від ризик-зони, яку він закриває. Але це лише половина рівняння — друга половина у ймовірності.

Як фінансовий директор оцінює ризик кібератаки — проста модель оцінки ризиків (FAIR)

FAIR (Factor Analysis of Information Risk) — стандарт фінансової оцінки кіберризиків, який використовують більшість зрілих компаній світу. Спрощено формула виглядає так: ALE (Annual Loss Expectancy) = ймовірність інциденту × очікуваний вплив.

Для української компанії середнього розміру у 2026-му ймовірність зіткнутися з серйозним кіберінцидентом протягом року — за глобальними оцінками від 20% до 35%, залежно від галузі. Це базовий ризик ведення бізнесу, як інфляція чи курсові коливання.

Якщо взяти середину діапазону (28%) і середину ризик-зони (35 млн грн), очікувані втрати на рік — близько 9,8 млн грн. Бюджет на середній рівень захисту (2 млн грн) знижує ймовірність до орієнтовно 5–8%, тобто очікувані втрати падають до 1,75–2,8 млн грн. Чистий ROI: 5–6 млн грн на рік.

Це спрощений розрахунок. Реальний FAIR враховує більше факторів: частоту контактів зі загрозою, силу контролів, вторинні втрати. Але навіть цей базовий формат вже корисний у бюджетній дискусії з CEO.

Регуляторний контекст 2026: чому платять навіть ті, хто думав, що не зобов'язаний

Закон України «Про основні засади забезпечення кібербезпеки» вже діє, але багато компаній SMB-сегменту не вважають себе його суб'єктами. Це справедливо, але неповно. Реальний регуляторний тиск 2026-го йде з трьох інших напрямів.

•        Європейський NIS2. Українські компанії, які поставляють у ЄС, працюють з європейськими підрядниками або мають європейські філії і фактично потрапляють під вимоги через ланцюжок постачань. Партнери все частіше включають у договори вимоги щодо перевірки кібербезпеки.

•        GDPR. Будь-яка компанія, що обробляє дані резидентів ЄС, а це включає українських співробітників, що тимчасово виїхали, — потенційний суб'єкт. Штрафи за GDPR до 4% річного обороту.

•        Вимоги великих клієнтів. Банки, телеком, ритейл, виробники з міжнародним розповсюдженням все частіше вимагають доказів кібергігієни від постачальників і підрядників. Ваша конкурентна перевага у тендері 2026 року — це сертифікат відповідності або хоча б продемонстрована політика безпеки.

Поетапний бюджетний підхід для українського середнього та малого бізнесу

Не намагайтеся побудувати все відразу. Реалістична дорожня карта на 12 місяців виглядає так.

•        Аудит - зріз поточного стану і пріоритезація. Орієнтовний бюджет: 150–400 тис. грн залежно від обсягу.

•        Закриття топ-5 критичних знахідок аудиту — це майже завжди двофакторна автентифікація, оновлення зовнішнього периметра, базові політики доступу.

•        Резервне копіювання з обов'язковим тестуванням відновлення раз на квартал.

•        Письмовий план реагування на інцидент + перше командне тренування реагування на інцидент.

•        Перший AI-симульований фішинговий тест.

•       Цілодобовий зовнішній моніторинг кіберзагроз — найдорожча, але й найефективніша інвестиція. Орієнтовний бюджет: 80–200 тис. грн на місяць.

•        Перший зовнішній пентест (симуляція атаки) для перевірки реальної готовності.

•        Зовнішній CISO-консультант для регулярного перегляду кіберстратегії — якщо в компанії немає власного фахівця з кібербезпеки.

Що сказати CEO на бюджетному комітеті

CFO має одну унікальну роль у питанні кібербезпеки: вміти показати, що це не «технічна стаття витрат», а інструмент управління підприємницьким ризиком, як страхування майна або хеджування курсових ризиків. Жоден CEO не сперечається з тим, що компанії потрібна страховка від пожежі. Але багато сперечаються з кібербюджетом тому що його ризик-логіка не завжди подається на мові фінансів.

У 2026-му український бізнес, який системно ставиться до кіберризику, отримує дві переваги: нижчу ймовірність простою (це очевидне) і вищу ймовірність виграти тендер у європейського або великого українського партнера (це менш очевидне, але часто фінансово важливіше). І перше, і друге — вимірювані. Кібербюджет — це не страх, а здатність показати клієнту, інвестору, аудитору, регулятору: ми не просто «думаємо про безпеку» — ми її вимірюємо.

Безкоштовний 30-хвилинний дзвінок з командою SHERIFF КІБЕРБЕЗПЕКА: розрахуємо орієнтовну вартість захисту під ваш бізнес-розмір і галузь

Джерела: FAIR Institute, Quantitative Information Risk Management Standard; NIST Cybersecurity Framework 2.0; ENISA Technical Implementation Guidance, 2025; Cybersecurity Ventures, Annual Cybercrime Report 2025; галузеві дані про середні витрати на кіберінциденти в Україні 2024–2025.