А город подумал — ученья идут: почему растет рынок кибертестов для компаний

От формальности к осознанному подходу

В России рынок киберучений развивается быстрее, чем в среднем по миру, но во многом догоняющими темпами: если для зарубежных компаний тренировки давно стали рутинной частью стратегии ИБ, то в России многие компании только переходят от формального соблюдения требований к осознанной отработке практических навыков, говорится в исследовании Positive Technologies (РТ), с которым ознакомился Forbes. «Геополитическая обстановка и рост количества атак на российские организации создали уникальный контекст, в котором спрос на учения формируется не только регуляторным давлением, но и реальной необходимостью проверять готовность к инцидентам», — подчеркивают в компании. Помимо собственного анализа РТ для своего исследования также опросили 100 специалистов, деятельность которых связана с формированием стратегии, организацией процессов и принятием ключевых решений по обеспечению ИБ в организации.
Большинство организаций уже рассматривают их как инструмент, позволяющий проверить реальную киберустойчивость. 60% опрошенных считают, что они были эффективными, а 38% оценивают результаты прошедших тренировок нейтрально. Никогда ранее не проводили и не собираются проводить киберучения только 14% организаций, а 28% опрошенных планируют начать. 
Киберучения, проводимые на уровне всей организации, имеют принципиально другой масштаб по сравнению с остальными вариантами тренировок, делятся наблюдениями авторы. Если в сценариях, предназначенных для IT- и ИБ-специалистов, фокус смещен на технические навыки (обнаружить и изолировать инцидент, устранить его последствия), то в общекорпоративных учениях на первый план выходит координация: кто принимает решения, как быстро информация доходит до ответственных специалистов, как взаимодействуют между собой ИБ, IT, юристы, пресс-служба, руководство и даже рядовые сотрудники, указывают они: «Такие тренировки моделируют не просто атаку на инфраструктуру, а кризисную ситуацию, наиболее приближенную к реальному инциденту».

Критическая инфраструктура в фокусе

Отраслевые различия сильно влияют на то, как компании проходят киберучения. Лучше всего ситуация обстоит в банковском секторе, замечают в Positive Technologies. С 2020 года Банк России регулярно проводит киберучения для финансовых организаций. Масштаб тренировок увеличивается с каждым годом: за последние три года в киберучениях приняли участие 987 финансовых организаций, было отработано более 30 уникальных сценариев и направлено более 30 000 фишинговых писем для проверки бдительности персонала. Только в 6,5% компаний сотрудники были условно скомпрометированы в ходе тренировочных фишинговых атак, а за все время проведения киберучений условно скомпрометированными оказались 25 сотрудников в 21 финансовой организации, напоминают эксперты: «В ближайшие годы финансовый сектор России сформирует один из самых устойчивых и отработанных механизмов реагирования на киберинциденты среди других организаций».
В 2026 году объем российского рынка практических навыков в России в сфере ИБ, неотъемлемой частью которого являются киберучения, может вырасти до 3,38 млрд рублей со среднегодовым темпом роста около 8%, ранее оценивали ГК «Солар» и агентство Kasatkin Сonsulting. Компании постепенно переходят от обучения «для галочки» и получения сертификатов к «боевой» подготовке команд, указывают эксперты. В РТ прогнозируют, что в 2025-2026 годах активно формирующийся рынок киберучений выйдет на пик своего развития из-за крупных контрактов.

Что пугает бизнес

Несмотря на растущее понимание ценности киберучений, их внедрение в практику российских организаций сталкивается с существенными препятствиями. По 42% опрошенных ответили, что на них, во-первых, не хватает времени из-за высокой операционной нагрузки, а во-вторых, виной тому их высокая стоимость. «IT-и ИБ-команды часто перегружены текущими и запланированными задачами. В таких условиях выделить даже два-три дня на подготовку и проведение киберучений становится сложной задачей, ставящей под угрозу стабильность и непрерывность бизнес-процессов», — говорится в исследовании. Кроме того, разработка качественных сценариев под индивидуальные требования, привлечение внешних экспертов для формирования «красной» команды, развертывание специализированных платформ и технической инфраструктуры требует значительных финансовых вложений, продолжают авторы.
Но больше предпринимателей пугает страх перед возможным негативным влиянием на непрерывность бизнеса (51%), особенно если компания рассматривает возможность проведения киберучений на собственной инфраструктуре. Она в первую очередь актуальна для промышленных предприятий, финансовых организаций и телекоммуникационных компаний, для которых даже непродолжительный по времени простой означает значительные финансовые потери, замечают в РТ.
В результате организации вынуждены ограничиваться штабными киберучениями или киберполигонами, на которых разворачивается типовая IT-инфраструктура, не учитывающая особенностей собственной инфраструктуры. Еще одна причина для беспокойства связана с возможными нарушениями конфиденциальности данных при моделировании атаки — ее отметили 42% участников опроса. Среди других ограничивающих факторов участники рынка отмечают недостаток внутренний экспертизы (31%), часто связанный с нехваткой квалифицированных специалистов, и низкую заинтересованность со стороны руководства (26%).

Необязательный элемент

Главным драйвером киберучений является рост числа реальных атак и понимание, что формальное соответствие требованиям не гарантирует готовность к инциденту, рассуждает технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин. «Компании все чаще сталкиваются с ситуацией, когда регламенты есть, а навыков реагирования нет. Дополнительный фактор — усложнение инфраструктуры: гибридные среды, интеграции, новые IT-сервисы требуют регулярной проверки сценариев», — говорит он. Так, почти половина кибератак на российский бизнес в 2025 году привела, по данным РТ, к сбоям в работе IT-систем. Общее число кибератак выросло на 42%, достигнув 22 000 инцидентов, при этом каждая четвертая имела серьезные последствия, свидетельствовали оценки «Спикател». Особенно выросло число нападений на промышленные предприятия, а утечки данных стали сопровождать 64% IT-инцидентов.
Однако, по мнению ряда участников рынка, с развитием рынка киберучений в России не все гладко. Тренировки на практических, но все же искусственно сформированных задачах не очень интересны заказчикам, которые каждый день сталкиваются с реальными кейсами на своей инфраструктуре, считает руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC Михаил Климов. «Этот элемент защиты чаще расценивается как необязательный, — делится он опытом. — Малое количество потенциальных клиентов и отсутствие регуляторных требований по проведению тренировок именно на киберполигонах сдерживают рост рынка».
Сдерживающие факторы более приземленные, продолжает Тюрин, — нехватка времени у ключевых сотрудников, ограниченные бюджеты и организационная сложность. «Киберучения требуют вовлечения IT, ИБ, бизнеса и руководства, а это сложно синхронизировать. В МСП часто нет выделенной команды, способной системно проводить такие тренировки. Также барьером остается отсутствие культуры постинцидентного анализа, когда уроки из учений не превращаются в реальные изменения».
На рынке есть несколько интересных игроков, но о его зрелости пока рано говорить, считает Климов (так, услуги киберучений оказывают, к примеру, РТ, «Перспективный мониторинг», Innostage, Softline. — Forbes). Пока проведение киберучений остается уделом исключительно крупнейших организаций России, эти направления в ИБ-компаниях зависят от двух-трех «якорных заказчиков», продолжает эксперт. В некоторых случаях, замечает он, этого оказывается недостаточно для самоокупаемости направления, поскольку его работа требует достаточно серьезного штата инженеров, методологов, ведущих-фасилитаторов. «Создание платформы для киберучений может стоить от 10 млн до 500 млн рублей. Выручка от одного проекта для заказчика — от 500 000 до 5 млн рублей, — оценивает Климов. — Поэтому с учетом всех затрат бизнес легко может скатиться в отрицательную маржинальность».
С точки зрения запросов, рынок пока остается неоднородным, констатирует менеджер продукта Jet CyberCamp компании «Инфосистемы Джет» Кира Шиянова: крупные заказчики начинают подходить к киберучениям системно, а для части среднего бизнеса этот формат все еще находится на стадии пилотов или точечных инициатив и очных тренингов. «Основные сдерживающие факторы — дефицит времени у внутренних команд, ограниченные бюджеты и опасения, что тренировки могут затронуть рабочую инфраструктуру и бизнес-процессы. Поэтому мы видим постепенный сдвиг к сервисной модели. Для многих компаний важнее быстрее получить результат в виде обучения и практики, чем инвестировать в собственную учебную инфраструктуру, закупку оборудования и длительное внедрение», — заключает Шиянова.