«Белых хакеров» зачисляют в штат
Какие специалисты нужны бизнесу
Российские компании стали чаще набирать «белых хакеров» в штат, пишут «Известия» со ссылкой на данные hh. Вакансий для таких специалистов по сравнению с 2024-м стало на 20% больше. Собеседники “Ъ FM” также указывают, что спрос на пентестеров значительно вырос за последний год. В то же время высококвалифицированных сотрудников в России не хватает, их ищут точечно, и гонорары могут быть значительны выше, чем предлагают порталы для рекрутинга. Там зарплатная медиана в 2025-м достигла 225 тыс. руб.
Фото: Марина Молдавская, Коммерсантъ
Фото: Марина Молдавская, Коммерсантъ
Компании готовы растить для себя «белых хакеров» сами, рассказал гендиректор SolidLab Андрей Петухов: «У предприятий стало больше информационных систем на балансе, и оказалось, что их надо защищать. Специалистов по информационной безопасности перестало хватать. Сейчас любой молодой соискатель, пройдя двухнедельные курсы и глядя на то, какие зарплаты есть у высококлассных профессионалов в этой сфере, хочет получать 200 тыс. руб. Действительно на рынке мало готовых специалистов, потому что их уже разобрали, и компании открывают программы стажировки.
Если раньше работодатели охотились за выпускниками вузов, то сейчас очередь стоит уже за первокурсниками и второкурсниками.
Что касается системы вознаграждений, то представим, что есть высокооплачиваемый специалист, который получает зарплату в 800 тыс. руб., и она плюс-минус у него стабильная. За это же время он сможет найти в программах столько же уязвимостей, чтобы заработать больше? И сможет ли он рассчитывать на такой же заработок в дальнейшем? А если взять не одного человека, а спросить у всего сообщества, готовы ли они переключиться с гарантированной на негарантированную оплату? Все это регулируется именно рынком. Ведь, если, например, будет некоторое количество программ по вознаграждению за уязвимость и туда придут, допустим, 10 тыс. человек, то всем багов не хватит. Соответственно, если никто не приходит в компанию с этой целью, значит, она поднимает ценник. Я бы не сказал, что атаки теперь другие, просто усложняются инструменты. Злоумышленники становятся, что называется, более осторожными, потому что знают, что за ними следят. Они просто должны проявить скрытность, чтобы дойти до цели».
Платформа Standoff Bug Bounty отчиталась, что в течение трех лет выплатила «белым хакерам» за поиск уязвимостей рекордную по российским меркам сумму — более 240 млн руб. Среднее вознаграждение в 2024 году достигло почти 60 тыс. руб. Тем временем сам характер атак сменился, и компании ждут от специалистов более широкого набора компетенций, заметил консультант по интернет-безопасности в Positive Technologies Алексей Лукацкий: «По мере ужесточения требований по безопасности и ответственности за нарушения нормативных актов (например, оборотные штрафы за утечку персональных данных или новые требования по критической инфраструктуре) востребованность "белых хакеров", которые проверят и убедятся, что компания защищена, только возрастает. Раньше такие специалисты в основном занимались проверкой уязвимостей веб-сайтов. По мере развития электронной коммерции они стали активно привлекаться для поиска слабых мест в мобильных приложениях, особенно различных маркетплейсов.
Сейчас они начинают проверять и точки входа в корпоративные либо ведомственные сети. Есть и иные векторы, в том числе социальный инжиниринг, фишинговые атаки, которые раньше оставались за пределами контроля "белых хакеров"».
Осенью прошлого года Госдума приняла в первом чтении закон о легализации «белых хакеров». Предусматривается, что те смогут «без согласия правообладателя и без вознаграждения» изучать программы и базы данных. Кроме того, обсуждались поправки, которые позволили бы компаниям нанимать их на работу.
С нами все ясно — Telegram-канал "Ъ FM".