Свой или иностранный: CISO и вендоры — об уровне «белых» хакеров в России и за рубежом

CISO и ИБ-компании рассказали, почему сейчас рискованно привлекать иностранных пентестеров, конкурентоспособны ли российские тестировщики на рынке, а также на каких платформах обучаются «белые» хакеры.

Пентестеры в РФ выдерживают конкуренцию

Опрошенные SecPost CISO и эксперты ИБ-компаний отмечают, что российские тестировщики достигли паритета с иностранными конкурентами, а в некоторых аспектах уже и превосходят их. Так, директор сервисного блока компании F6 (специализируется на борьбе с киберпреступностью) Александр Соколов убежден, что уровень подготовки и профессионализма пентестеров в России находится «на очень высоком уровне» в сравнении с другими странами. Кроме того, многие специалисты-пентестеры за рубежом – выходцы из российских компаний, отмечает он.

«Если сравнивать стоимость услуг аналогичного качества с зарубежными компаниями, то в России их можно назвать более чем умеренными», — сказал Соколов.

Ранее опрошенные SecPost заказчики и разработчики ИБ-решений, которые предоставляют услуги пентестеров, не сошлись в оценке объемов рынка тестировщиков в денежном выражении, но все назвали цифру от 1 млрд рублей. Наиболее позитивную оценку по объему рынка пентестеров дал руководитель управления анализа защищенности BI.ZONE Михаил Сидорук: по оценке BI.ZONE, объем рынка в 2025 году — примерно 3–4 миллиарда рублей, «и это только начало системного роста». Кроме того, специалисты отмечали, что российский рынок пентестинга находится в стадии динамичного развития, демонстрируя темпы роста, «значительно превышающие мировые показатели». Речь идет о среднегодовом приросте более 20%.

В «Мегафоне» подчеркивают, что увеличение количества, масштаба и сложности кибератак значительно ускорили рост профессиональных компетенций отечественных тестировщиков. На сегодняшний день они полностью отвечают требованиям как законодательства, так и заказчиков, добавили в пресс-службе.

«Сейчас российские пентестеры востребованы преимущественно в странах бывшего СНГ, теоретически их услуги могли бы найти спрос и на западных рынках, однако в текущей геополитической ситуации проверить это практически невозможно», — пояснили в пресс-службе «Мегафона».

Впрочем, некоторые участники рынка ИБ считают, что не всегда можно сравнить уровень российских и иностранных пентестеров. Например, Михаил Сидорук говорит о том, что различие между ними заключается скорее в подходе, чем в наборе навыков. По его словам, за рубежом больше внимания уделяют формализации, стандартам и сертификатам, а в России — практическому опыту и гибкости.

«Российские специалисты лучше разбираются в местном законодательстве и отечественных технологиях. Нельзя сказать, что кто-то однозначно лучше — контексты разные, но общий уровень профессионализма растет в обеих средах», — подчеркнул Сидорук.

Он добавил, что последние годы укрепили внутренний рынок и усилили конкуренцию среди «белых» хакеров. Как заявляла руководитель группы развития консалтинговых проектов Positive Technologies Екатерина Никитичева, в России сейчас пользуются спросом различные курсы по освоению профессии, поэтому каждый год появляется все больше новых компаний, которые готовы оказывать услуги по тестированию на проникновение. Помимо этого, существуют платформы Bug Bounty, где представлено более 18 тысяч независимых экспертов в данной области.

Руководитель Red Team Билайна Герман Наместников уверен, что в зависимости от каждой страны, специфики местного бизнеса и регуляторики сильные стороны местных пентестеров могут отличаться. По его словам, на это также влияет традиционный уровень технической культуры, наличие тематических сообществ, мероприятий, возможность для публикаций и выступлений в коммьюнити.

«Это существенно влияет на порог входа в индустрию, но в дальнейшем роль таких отличий стирается и сводится к владению специфичной для страны нормативной документацией и пониманию местного рынка», — добавил он.

Российские и иностранные пентестеры в основном обучаются на одних и тех же площадках, обращает внимание ведущий инженер по информационной безопасности UserGate uFactor Никита Бекетов. В частности, речь идет о курсах OffensiveSecurity, HackTheBox, Zero-Point Security. При этом он считает, что профессионализм отечественных пентестеров выше в силу интеллектуальной базы и креативности мышления российских тестировщиков. При этом Бекетов признает, что профи, которые задают тренды в отрасли, есть и в РФ, и за рубежом. Кроме того, подход к решению задач по выявлению уязвимостей у иностранцев в ряде случаев может быть более продвинутым и сложным, добавляет он.

Привлекать иностранных пентестеров – риск

CISO и вендоры также видят риски в привлечении иностранных пентестеров для поиска уязвимостей. Например, замначальника департамента защиты информации Газпромбанка Алексей Плешков отрицательно ответил на вопрос о возможности привлечения специалистов из Европы, Азии и Америки для проведения пентестов у российских заказчиков в 2025 году.

«Ответ основан на невыполнении базовых требований к квалификации компаний-участников тендерных процедур – лицензия на техническую защиту конфиденциальной информации (ТЗКИ) и опыт работы в аналогичных проектах в РФ», — подчеркнул Плешков.

По его словам, эти два обстоятельства могут выступать блок-факторами для привлечения иностранцев для работы с отечественными заказчиками.

Один из CISO крупной российской компании на условиях анонимности рассказал SecPost, что в настоящее время привлекать иностранных пентестеров рискованно, но теоретически, это могут делать компании с иностранным капиталом. При этом он отметил, что такие случаи ему неизвестны.

Как отметили в пресс-службе Мегафона, привлечение иностранных пентестеров зачастую конфликтует с требованиями закона «О безопасности критической информационной инфраструктуры РФ». Кроме того, существуют и другие риски, обусловленные сложностью контроля и координации иностранных команд, пояснили в пресс-службе компании.

Вполне возможно, что в скором времени найм иностранных пентестеров станет не просто рискованным, а противоречающим закону о «белых» хакерах». В конце октября SecPost ознакомился с новым пакетом законопроектов о регулировании деятельности «белых» хакеров, который уже готовится к внесению в Госдуму. В пояснительной записке к законопроекту указано, что с начала СВО иностранные спецслужбы и аффилированные с ними хакерские сообщества «превратили информационное пространство РФ в полигон для отработки методов и средств компьютерного нападения». Реализация указанных угроз идет в основном через добывание информации об уязвимостях информационных ресурсов РФ, в первую очередь, значимых объектов критической информационной инфраструктуры, сказано в пояснении к законопроекту.

Согласно документу, ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработают правила организации и проведения санкционированных «хакерских атак». Речь идет о требованиях к «белым» хакерам, порядку их идентификации и аутентификации в целях привлечения к проведению таких мероприятий, требованиях к информационным системам, используемым для привлечения тестировщиков, и их операторам, порядку и срокам направления информации об уязвимостях информресурсов в службы.