Консолидация, давление регуляторов и кадровый голод: Рынок ИБ в России вступает в фазу зрелости
Российская отрасль информационной безопасности переживает структурную трансформацию: после нескольких лет бурного роста на фоне импортозамещения рынок замедлился, ужесточились требования регуляторов, а первые крупные штрафы по новым правилам за утечки данных уже наложены. В этих условиях выживают только те компании, которые способны масштабироваться, соблюдать законы и бороться за дефицитные кадры.
Рынок: от взрывного роста к консолидации
По данным аналитиков «Контур.Фокуса» и «Контур.Эгиды», за 2025 год количество ИБ-компаний в России увеличилось всего на 3% — до 12,1 тыс. Это ровно вдвое медленнее, чем годом ранее (6%). При этом число ликвидаций юрлиц и ИП выросло на 15,9%. Эксперты связывают это с насыщением ниш и повышением требований со стороны заказчиков.
«Пространство для быстрого входа новых игроков закрылось, — комментирует Даниил Бориславский из «Контур.Эгиды». — Конкуренция сместилась из плоскости «появиться» в плоскость «удержаться». Мелкие компании не выдерживают роста операционных расходов и необходимости соответствовать жестким стандартам ФСТЭК, ФСБ и Банка России». Рынок движется к консолидации: крупные игроки либо «перекупают» целые команды, либо поглощают небольших конкурентов.
Регуляторы ужесточают правила игры
На этом фоне регуляторы продолжают повышать планку требований. ФСТЭК России опубликовала новые рекомендации по защите сетевого периметра, которые включают ужесточение мер по администрированию устройств, сегментированию сетей, защите от DDoS-атак и обязательному резервному копированию конфигураций. Документ разработан по результатам анализа реальных атак, связанных с удаленной эксплуатацией уязвимостей.
Одновременно с этим правоприменительная практика по свежим нормам законодательства начинает набирать обороты. Арбитражный суд Москвы впервые оштрафовал онлайн-школу Ukids на 400 тыс. рублей за утечку данных 500 тыс. клиентов (в открытый доступ попали ФИО, телефоны и email). Инцидент произошел из-за компрометации учетной записи в CRM «Битрикс24» — предположительно, из-за отсутствия двухфакторной аутентификации. Хотя санкция статьи 13.11 КоАП предусматривает штраф от 10 млн рублей, суд снизил его до 400 тыс., так как компания является микропредприятием. Тем не менее, это первый прецедент применения ужесточенных правил, что служит сигналом для всего рынка.
Кадры становятся главным ресурсом
Парадокс ситуации в том, что при замедлении роста числа компаний спрос на специалистов ИБ не падает, а требования к ним растут. По данным Минцифры, в 2025 году почти 9 тыс. человек поступили на бюджетные места по направлению «Информационная безопасность», что входит в топ-10 ИТ-специальностей.
Однако, как показал опрос CISO и ИБ-вендоров (SecPost), вузы не успевают за рынком. В топ лучших учебных заведений вошли ИТМО, МФТИ, МИФИ, Бауманка, ВШЭ, а также региональные вузы — ВГУ, УрФУ и ТГУ. Но выпускникам не хватает практических навыков: инженерам AppSec — анализа кода на уязвимости, сотрудникам SOC — языков запросов к данным, Linux, Python и, главное, проактивного поиска угроз (Threat Hunting).
«Вузы не обладают бюджетом на современные лабораторные стенды, а преподавателей-практиков катастрофически не хватает, — констатируют в Газпромбанке. — Бюрократия и отставание методик от актуальных технологий — главные зоны роста». В Positive Technologies призывают на государственном уровне составить профиль востребованного начального специалиста и масштабировать лучшие практики на все вузы.
Российский рынок кибербезопасности вступает в новую реальность: количество компаний стабилизируется, выживают сильнейшие, регуляторное давление (штрафы и приказы ФСТЭК) растет, а ключевым дефицитом становятся не средства защиты, а квалифицированные кадры, способные эти средства эксплуатировать и противостоять реальным угрозам.