Три четверти российских компаний не способны поднять ИТ-инфраструктуру из резервных копий быстрее, чем за четыре часа. Это не теоретический провал - это разрыв между тем, что записано в политике непрерывности, и тем, что происходит в реальном инциденте.
Цифры, которые неудобно читать
По данным исследования «Информзащиты», актуальным на июль 2026 года, лишь 17% организаций укладываются в четырёхчасовой норматив при полном восстановлении среды. Остальные либо тратят больше, либо вовсе не знают, сколько уйдёт времени: 4,2% не могут оценить этот срок вообще. До восьми часов рассчитывают 19,6% компаний, до суток - 20,6%, а каждая пятая организация закладывает от двух дней до недели и больше.
Парадокс в другом. Целевой показатель RTO менее четырёх часов установили 48,2% участников опроса. Реально выдержать его при полном восстановлении смогли только 17%. Разрыв - 31 процентный пункт. Это не статистическая погрешность. Это системная иллюзия готовности.
Бэкапы есть. Проблема не в них
Резервные копии у большинства имеются: логический или физический air gap применяют 75,6% компаний, неизменяемые копии - у 62,8%. Но быстро развернуть бэкап и быстро вернуть бизнес в работу - принципиально разные задачи. После крупной атаки нужно восстанавливать не одну машину, а весь контур: виртуализацию, домен, сеть, системы аутентификации, средства защиты, базы данных, интеграции с контрагентами, ключи шифрования. Сбой на любом уровне тормозит всё, что от него зависит, - даже если данные уже доступны.
Добавляет остроты рост числа атак с вымогательством: доля пострадавших компаний выросла с 22% в 2025 году до 25% в 2026-м. После шифровальщика восстановление начинается не с разворачивания копии, а с установления масштаба проникновения, смены паролей и ключей, проверки самих резервных копий на чистоту.
Тестируют не тот сценарий
Проверку восстановления из резервных копий за последние 12 месяцев проводили 50,8% организаций. Сценарий именно кибератаки отрабатывали лишь 34,6%. Развернуть бэкап после сгоревшего диска и развернуть бэкап, в котором, возможно, притаился шифровальщик, - задачи разного класса сложности. Первую репетируют, вторую - почти никогда. Среди компаний, которые высоко оценивают свою ransomware-устойчивость, 57% ни разу не тестировали восстановление после кибератаки.
Главный вывод исследования не в том, что нужно чаще делать бэкапы. Вопрос жёстче: если завтра зашифруют домен-контроллер - кто, в каком порядке и за сколько часов поднимает инфраструктуру? И проверялось ли это хотя бы раз за год?