Сколько стоит DDoS-атака: расчет ущерба для бизнеса

DDoS-атаки часто воспринимаются как техническая проблема. На практике же это прямая финансовая угроза, которая может стоить компании миллионов — даже за несколько часов.

Для банка DDoS-атака означает остановку работы онлайн-банкинга, мобильного приложения, интернет-эквайринга, переводов по Системе быстрых платежей (СБП). Клиенты не могут перевести деньги, оплатить кредит или пополнить карту приложении.
Что входит в прямые финансовые потери:

• Потери выручки — комиссии от транзакций, которые не прошли во время простоя.
• Стоимость восстановления — работа ИБ-команды, внешних экспертов, аренда временных мощностей.
• Штрафы регулятора или возмещение убытков клиенту. Клиент может взыскать с банка убытки даже из-за сбоя ПО, см. Определение судебной коллегии по гражданским делам Верховного Суда РФ от 25.11.2014 N 5-КГ14-124 и апелляционное определение Новосибирского областного суда от 30.07.2020 по делу N 33-3866/2020

Формула расчёта прямых потерь

Прямые потери=(D×T/24)+R+F,
где:

• D — среднедневной доход банка от онлайн-услуг (комиссии + проценты по кредитам/депозитам через цифровые каналы), руб.
• T — длительность простоя, часы.
• R — стоимость восстановления и расследования, руб.
• F — сумма штрафов или возмещения убытков, руб.

Представим средний банк региональный банк:

• 20 тыс активных клиентов в мобильном приложении и интернет-банке.
• Среднедневной объём онлайн-транзакций — 100 млн руб.
• Средняя комиссия/доходность — 0,45 % → D = 450 тыс руб. в день.

Атака произошла в будний день:

• Длительность простоя — 6 часов (реальные атаки на банки в 2025-м длились от 4 до 12 часов).
• Восстановление и расследование: 2-3 дня работы ИБ-специалиста, 2-3 два круглосуточной работы пары ИТ-специалистов, 1-2 дня работы юриста, 1 день работы ТОП-менеджера = 200-400 тыс. руб. (R).
• Штрафы и возмещения: пусть в этот раз обошлось без штрафа ЦБ, но клиент по суду возместил у банка убытки на сумму 200 тыс. руб.

Расчёт:

1. Упущенная выручка: 450000*6/24=112,5 тыс. руб.
2. Восстановление возьмем по минимуму: 200 тыс. руб.
3. Штрафы и возмещения: 200 тыс. руб.

Итого прямые потери = 112,5 + 200 + 200 = 512,5 тыс. руб.

• За одну атаку длительностью 6 часов банк потеряет более 500 тыс. руб.
• Если атака повторится 2–3 раза в год (что происходило с несколькими российскими банками в 2025 году), прямые потери превысят 1 млн руб. только по этой статье.

1. Потеря клиентов
Пользователь, который не смог оплатить заказ или перевести деньги уходит к конкуренту и может не вернуться.
Даже 5–10% потерянных клиентов дадут долгосрочный эффект.
2. Репутационные риски
Если сервис недоступен, падает доверие клиентов и партнеров, а также растёт негатив.
Это особенно критично для банков, SaaS, маркетплейсов, гейминга.
3. Длительность и цикличность
Обычно DDoS — это не одна атака. Часто атаки идут волнами, начиная с разведки. Если защита справляется, вектор атаки изменяется. Атаки могут идти короткими импульсами, меньшими по времени, которое требуется на включение защиты.

DDoS — это не «возможный риск», а финансово измеримая угроза.
Если вы не считали стоимость простоя — скорее всего, вы сильно недооцениваете риск.
Посчитайте размер ущерба для вашего бизнеса хотя бы из-за одной DDoS-атаки в течение 6 часов один раз в год