Сколько стоит DDoS-атака: реальные потери бизнеса

Когда сайт ложится от DDoS-атаки, большинство владельцев бизнеса думают об одном: «Когда заработает?». И это правильная реакция. Но мало кто садится и считает, во сколько на самом деле обходится каждый час простоя. А цифры отрезвляют.

Мы проанализировали десятки случаев DDoS-атак на российские компании разного масштаба — от интернет-магазинов с оборотом 2 млн рублей до крупных сервисов с аудиторией в миллионы пользователей. В этой статье — реальная арифметика потерь. Без округлений «в меньшую сторону». Хотите защититься? Читайте как выбрать защиту от DDoS.

Самое очевидное: пока сайт не работает — продажи не идут. Давайте посчитаем конкретно.

Пример 1: интернет-магазин одежды
Месячный оборот: 3 000 000 рублей
Средняя дневная выручка: ~100 000 рублей
Средняя часовая выручка (в рабочее время, 12 часов): ~8 300 рублей
Атака длилась 14 часов (из них 10 — в рабочее время).
Прямые потери: ~83 000 рублей.

Но это в идеальном мире, где клиенты терпеливо ждут и возвращаются. В реальности всё хуже.

Пример 2: SaaS-сервис для бизнеса
MRR (ежемесячная повторяющаяся выручка): 8 000 000 рублей
Количество клиентов: 400 компаний
Атака: 2 волны по 6 часов в течение 3 дней.
Прямые потери за простой: ~520 000 рублей
Но 12 клиентов (3%) расторгли договор в следующем месяце, ссылаясь на ненадёжность → потеря: 240 000 рублей ежемесячно. За год — 2 880 000 рублей.

Пример 3: сервис доставки еды (городской)
Средний чек: 1 200 рублей, 800 заказов в день.
Атака в пятницу вечером (пик заказов), длилась 4 часа.
Упущено: ~300 заказов → 360 000 рублей выручки за один вечер.

Индустриальная статистика подтверждает: по данным Kaspersky, средняя стоимость DDoS-атаки для компании среднего бизнеса составляет от $120 000 (около 11 млн рублей) с учётом всех последствий. Gartner оценивает среднюю стоимость минуты простоя IT-инфраструктуры в $5 600 (около 500 000 рублей) — хотя эта цифра больше актуальна для enterprise-сегмента.

Прямые потери — это только верхушка айсберга. Реальный ущерб от DDoS-атаки проявляется в течение недель и месяцев после.

SEO-последствия

Google и Яндекс не любят недоступные сайты. Если поисковой робот приходит к вам во время атаки и получает ошибку 502/504 — он запоминает. Один раз — ничего страшного. Два раза — тревожный сигнал. Системно — и ваши позиции в поисковой выдаче начинают проседать.

Мы наблюдали случай, когда интернет-магазин электроники после трёхдневной атаки потерял 30% органического трафика на следующие 6 недель. В денежном выражении (при стоимости привлечения посетителя в 35 рублей через рекламу) это дополнительные потери в 450 000–600 000 рублей на восстановление позиций.

Потеря лояльных клиентов

Клиент зашёл на ваш сайт — а он не работает. Клиент ушёл к конкуренту. И если у конкурента всё хорошо — он может не вернуться. Исследования показывают, что 88% пользователей не возвращаются на сайт после негативного опыта. Даже если негативный опыт — не ваша вина.

Особенно болезненно это для e-commerce: если покупатель уже набрал корзину, а при оформлении заказа сайт упал — вероятность, что он вернётся и заново найдёт все товары, близка к нулю. Этот клиент уже на сайте конкурента оформляет заказ.

Рекламные бюджеты, сгоревшие впустую

Если во время атаки у вас работает контекстная реклама (Яндекс.Директ, Google Ads), вы продолжаете платить за клики. Пользователь кликает на рекламу, попадает на неработающий сайт, уходит. Вы заплатили за клик — но конверсии нет. Средний бизнес тратит на контекстную рекламу 100 000–500 000 рублей в месяц. За 12 часов атаки можно «сжечь» 5 000–20 000 рублей рекламного бюджета, не получив ни одного заказа.

Решение: при обнаружении атаки немедленно ставьте рекламные кампании на паузу. Это одно из первых действий при атаке.

Штрафы и SLA

Если вы работаете по договорам с SLA (соглашение об уровне сервиса) — простой может привести к штрафам. Государственные контракты, работа с крупными клиентами, маркетплейсы — везде есть требования к доступности. Нарушение SLA на 99.9% (допустимый простой — 8.7 часа в год) из-за одной атаки может стоить скидок, компенсаций и потери контракта.

А теперь самое неприятное. Давайте посмотрим, сколько стоит организовать атаку.

DDoS-as-a-Service — это реальный рынок. На закрытых форумах и в даркнете можно заказать атаку с такими ценниками:

— Атака на 30 минут, 10 Гбит/с: от $10–15
— Атака на 1 час, 50 Гбит/с: от $25–50
— Атака на 24 часа: от $200–400
— Атака на неделю: от $1 000–2 000

То есть конкурент может «положить» ваш незащищённый сайт на целый рабочий день за стоимость ужина в ресторане. А ваши потери исчисляются сотнями тысяч рублей.

Эта асимметрия — главная проблема DDoS. Атаковать дёшево. Защищаться — дороже. Но не защищаться — дороже всего.

Для понимания масштаба: в 2024 году Россия вошла в топ-3 стран по количеству DDoS-атак. По данным Qrator Labs, количество атак на российские ресурсы выросло на 74% по сравнению с предыдущим годом. Это не вопрос «если атакуют», а вопрос «когда».

Давайте сравним стоимость защиты и потери от атаки на конкретном примере.

Интернет-магазин, оборот 5 млн рублей/месяц:

Стоимость защиты Cloudflare Pro: $25/мес (~2 300 рублей)
Стоимость защиты Cloudflare Business: $200/мес (~18 000 рублей)
Стоимость российского решения (DDoS-Guard, Qrator): от 7 000 до 50 000 рублей/мес

Потери от одной средней атаки (6 часов в рабочее время): 100 000–200 000 рублей прямых потерь + 50 000–100 000 рублей косвенных (SEO, реклама, репутация).

То есть годовая стоимость защиты (даже дорогой) — это стоимость одной-двух атак. А атаки в среднем происходят 3–4 раза в год для компаний, которые уже были атакованы хотя бы раз.

Формула простая: если ваш сайт приносит деньги — защита окупается после первой же предотвращённой атаки. Подробнее о критериях выбора защиты — в нашем гайде для руководителей.

После атаки расходы не заканчиваются. Вот что обычно приходится делать (и оплачивать):

Аудит безопасности — от 50 000 до 300 000 рублей. После серьёзной атаки стоит проверить, не использовался ли DDoS как прикрытие для взлома. Это особенно актуально, если во время атаки были необычные ошибки в логах или странное поведение системы.

Настройка защиты — от 20 000 до 150 000 рублей. Подключение и настройка CDN, файрвола, WAF-правил, системы мониторинга.

Юридические расходы — если подаёте заявление в полицию, нанимаете адвоката для взыскания убытков: от 30 000 рублей.

Переработки команды — ваши сотрудники (админ, разработчики, менеджеры) работали в авральном режиме. Это переработки, стресс, иногда — больничные после.

Потеря сотрудников — звучит неожиданно, но после серьёзных инцидентов технические специалисты иногда уходят. Особенно если чувствуют, что руководство не инвестирует в инфраструктуру. Замена сисадмина — это 1–3 месяца поиска и 200 000–400 000 рублей расходов на рекрутинг и адаптацию.

Подробный план действий после атаки — в нашей статье «После атаки: восстановление бизнеса и план защиты».

Кейс 1: Медицинская клиника, Москва

Клиника с онлайн-записью, 1 200 записей в месяц, средний чек — 4 500 рублей. Атака длилась 8 часов в понедельник (день максимальной нагрузки). Результат:

— Потеряно ~120 записей (не все пациенты перезвонили) → 540 000 рублей
— Колл-центр работал в режиме перегрузки 2 дня → дополнительные 40 000 рублей за переработки
— 3 негативных отзыва на «ПроДокторов» и Google («сайт не работает, невозможно записаться»)
— Экстренное подключение защиты: 35 000 рублей
— Общий ущерб: ~615 000 рублей

Кейс 2: Онлайн-школа, регионы

Запуск онлайн-курса, рекламная кампания на 800 000 рублей, лендинг принимал заявки. Атака началась в день запуска и продолжалась 16 часов. Результат:

— Из 800 000 рублей рекламного бюджета ~350 000 рублей были потрачены на трафик, который попал на неработающий лендинг
— Конверсия в заявки упала с ожидаемых 4% до 0.8%
— Недополученные заявки: ~960 штук (при среднем чеке курса 12 000 рублей → потенциальные 11 520 000 рублей)
— Реальная оценка потерь с учётом конверсии в оплату: ~3 500 000 рублей

Кейс 3: Букмекерская контора

Атака перед крупным спортивным событием (классический паттерн). Длилась 36 часов, волнами. Прямые потери за время простоя — более 12 000 000 рублей. Плюс отток пользователей на конкурирующие площадки, от которого компания восстанавливалась 2 месяца.

Эти примеры объединяет одно: ни одна из компаний не имела защиты до атаки. После — все подключили. О том, кто и зачем организует такие атаки, читайте в нашем разборе «Кто и зачем атакует сайты».

Вот формула, которую мы используем для быстрой оценки рисков:

Стоимость часа простоя = (Месячная выручка через сайт ÷ 720) × Коэффициент

Коэффициент зависит от типа бизнеса:
— Интернет-магазин: 1.3–1.5 (часть клиентов позвонит, но не все)
— SaaS/подписка: 0.5–0.8 (клиенты не уходят сразу, но считают время простоя)
— Медиа/контент: 0.3–0.5 (потери в рекламных доходах)
— Лидогенерация: 1.5–2.0 (лид ушёл — лид потерян)
— Букинг/бронирование: 1.8–2.5 (клиент бронирует прямо сейчас и не вернётся)

Пример расчёта: интернет-магазин, оборот 6 000 000 рублей/месяц. Стоимость часа = (6 000 000 ÷ 720) × 1.4 = 11 667 рублей. За 8 часов атаки: ~93 000 рублей прямых потерь. Плюс 30–50% косвенных → итого: 120 000–140 000 рублей.

Теперь сравните это с ежемесячной стоимостью защиты: 5 000–50 000 рублей. Вывод очевиден.

После атаки часто возникает неприятный разговор: «Ну и что? Подумай, сайт был недоступен пару часов». Если говорить эмоциями, вы проиграете. Если говорить цифрами — получите бюджет на защиту.

Хороший отчёт о потерях от DDoS для руководства — это не страница истерики. Это короткий документ на 1–2 листа, где есть три блока:

1) Что произошло (факты)
— дата и время атаки
— длительность простоя (в минутах и часах)
— какие сервисы были недоступны (сайт, оплата, личный кабинет)
— сколько обращений пришло в поддержку

2) Сколько мы потеряли (деньги)
— упущенная выручка за время простоя (по вашей аналитике: заказы/лиды/оплаты)
— «сгоревший» рекламный бюджет (клики в неработающий сайт)
— дополнительные расходы: подрядчики, экстренное подключение защиты, переработки команды

3) Что делаем дальше (план)
— какие меры уже внедрены (CDN/Cloudflare, мониторинг, план реагирования)
— что нужно сделать в течение 30 дней — какой бюджет требуется и почему он окупается

Важный нюанс: если у вас e-commerce или лидогенерация, покажите не только деньги, но и «воронку». Например: было 10 000 визитов в день → конверсия 2.5% → средний чек 3 000 ₽ → каждый час простоя стоил X ₽. Эта логика понятна любому финансовому директору.

И ещё: фиксируйте «пиковость». Час простоя в понедельник в 11:00 и час простоя ночью — это разные деньги. DDoS почти всегда бьёт в пик, поэтому усреднять «по месяцу» — ошибка в вашу сторону.

Если вам нужен пошаговый план, что именно внедрять после атаки, — смотрите статью «После атаки: восстановление бизнеса и план защиты».