Кибербезопасность без стратегии

При росте хакерских атак роль директоров по информационной безопасности (CISO) изменилась быстрее, чем был готов бизнес, показало исследование The Edgers, Positive Education и SuperJob. Тогда как киберзащищенность стала вопросом устойчивости бизнеса, участие большинства CISO в стратегическом планировании на уровне компании остается крайне ограниченным. Ключевая проблема технических специалистов –– неспособность «перевести» киберриски на язык бизнеса. На рынке сформировался дефицит эффективных CISO, а существующая система образования не готовит необходимых управленцев.

Выйти из полноэкранного режима

Развернуть на весь экран

В России сформировался системный разрыв между ожиданиями бизнеса от директоров по информационной безопасности и реальной ролью этой функции. Более 40% CISO оценивают свой уровень зрелости на 8–9 баллов из 10, тогда как высокую оценку со стороны CEO дают лишь 25% респондентов. Такие результаты показало исследование рынка труда в сфере кибербезопасности, проведенное The Edgers, Positive Education и SuperJob.

На фоне роста кибератак и ужесточения регулирования кибербезопасность вышла за пределы ИТ-функции и стала фактором финансовой устойчивости и непрерывности бизнеса. По данным Positive Technologies, с середины 2024 года по сентябрь 2025 года на Россию приходилось 14–16% всех успешных кибератак в мире. В 2025 году их число выросло на 20–45%, а по итогам 2026-м прогнозируется рост на 30–35%.

В результате спрос на специалистов по информационной безопасности растет даже на фоне общего охлаждения в IT. По данным SuperJob, за год число вакансий в сфере информационной безопасности увеличилось на 24% на фоне снижения числа вакансий в ИТ в целом на 18%. Медианная зарплата директоров по информационной безопасности в IT-компаниях составляет 520 тыс. рублей в Москве и 500 тыс. в Санкт-Петербурге, при максимальных предложениях до 1,3 млн и 1,2 млн рублей соответственно. При этом рост доходов остается сдержанным: +4% в Москве и +6% в Санкт-Петербурге за год, а за четыре года зарплаты выросли на 37% и 39% соответственно.

Бизнесу нужен не просто технический эксперт, а управленец, который способен встроить безопасность в экономику компании и обеспечить устойчивость ее цифровых процессов. «Без этого говорить о полноценном технологическом суверенитете на уровне компаний невозможно», –– объясняет гендиректор SuperJob Анастасия Чучалова.

Рынку нужен новый тип CISO –– руководитель, который умеет переводить киберриски на язык бизнеса и связывать безопасность с финансовой устойчивостью компании. «Сегодня во многих организациях именно этого звена не хватает, из-за чего возникает системный разрыв между ожиданиями CEO и реальной ролью функции», –– рассказывает проектный менеджер консалтинговой компании The Edgers Полина Кухто.

В 37,5% компаний регулярное взаимодействие между генеральным директором и CISO отсутствует, зафиксировали исследователи. При этом оставшиеся 62,5% руководителей не рассматривают директора по информационной безопасности как участника стратегического планирования. «Отсутствие прямого диалога CEO-CISO порождает множество серых зон в построении кибербезопасности организации, приводит к ошибкам и неверной оценке последствий потенциальных киберинцидентов. Это происходит поскольку CISO могут принимать решения в отрыве от общей стратегии компании, а CEO не закладывать ИБ-риски в план развития бизнеса», –– предупреждает руководитель образовательных программ Positive Education в Positive Technologies Анастасия Федорова.

Ключевая причина разрыва между техническим и управленческим контуром –– различие в языке. CISO оперируют техническими метриками, тогда как топ-менеджмент принимает решения через финансовые последствия и влияние на бизнес. Дополнительный барьер – образование: существующие программы не формируют CISO как бизнес-партнера и не закрывают потребность рынка.

Умение «переводить» киберриски на язык бизнеса пока скорее желаемая норма для рынка, чем повсеместная реальность, признает руководитель направления по информационной безопасности в 1С-Битрикс Роман Стрельников. По его словам, многие CISO все еще пытаются защитить бюджеты «запугиванием» или сугубо техническими аргументами. В 1С-Битрикс CISO участвует в продуктовых демонстрациях и обсуждении проектов: любой крупный проект проходит проверку по безопасности, при этом специалисты оперируют бизнес-понятиями –– стоимость простоя сервиса, потенциальные штрафы, стоимость утечки данных, потеря лояльности клиентов.

На рынке универсальных специалистов объективно мало, соглашается заместитель директора АРБ ПРО Роман Копосов. Технически сильных людей больше, управленцев с пониманием ИБ –– меньше. «Людей, которые способны связать киберриски с финансовыми последствиями, операционной моделью и логикой собственника, еще меньше. Поэтому закрывать такие позиции сложно», –– добавляет эксперт.

На практике многие компании приходят к гибридной модели. Внутри остается ответственный контур: политика безопасности, регламенты, контроль, постановка задач, взаимодействие с IT и бизнесом. А сложные технологические вопросы, аудит, тестирование защищенности, внешние проверки, часть реагирования и экспертизы закрываются через сильных внешних партнеров. «Это не слабость модели, а нормальная реакция на дефицит компетенций и усложнение угроз», –– констатируют в АРБ ПРО.

Екатерина Кузнецова