Стража со взломом: у российских компаний вырос спрос на штатных «белых» хакеров
Российские компании стали чаще брать на работу так называемых белых хакеров — специалистов, выявляющих уязвимости в информационной инфраструктуре. Количество вакансий для них выросло в этом году на 20%, следует из данных рекрутинговых сервисов. Такая работа сопряжена с рисками с точки зрения законодательства о личных данных и неправомерном доступе к информации, напомнили юристы. О том, кто ищет «белых» хакеров и сколько им готовы платить, — в материале «Известий».
Кто такие «белые» хакеры
С начала года в России появилось около 200 вакансий для так называемых белых хакеров (или пентестеров), что на 20% больше, чем за аналогичный период 2024 года, сообщили «Известиям» в рекрутинговом сервисе hh.ru. Но эксперты отмечают, что потребность в таких специалистах в последний год еще выше — и ищут их, как правило, не в открытых источниках, а «точечно».
Задача пентестеров — выявить уязвимости информационных систем компании с помощью действий, аналогичных манипуляциям злоумышленников. Среди специфических требований к ним — знание методов атак, обходов систем безопасности, знание методик их тестирования, опыт поиска уязвимостей и работы с соответствующими инструментами сканирования. Чаще всего пентестеров ищут IT-компании и организации, которые занимаются финансовыми технологиями.
— Медиана предлагаемой зарплаты в 2025 году составила 225 тыс. рублей, год назад была 220 тыс. рублей, — указали в hh.ru. — Но чаще всего в вакансиях для пентестеров работодатели не указывают конкретный уровень вознаграждения и готовы обсуждать зарплату с кандидатом.
Среди соискателей на вакансию пентестера 99% — мужчины, следует из данных сервиса по поиску работы и подбору сотрудников SuperJob. Средний возраст кандидата составляет 31 год. Более половины, или 57%, из них имеют высшее образование. Чаще всего таких специалистов, по данным сервиса, ищут в Москве и Санкт-Петербурге.
Работа «белого» хакера требует высокой технической квалификации, глубокого понимания инфраструктуры и постоянного профессионального развития, сказал «Известиям» директор категории «Офисные профессии» «Авито Работы» Кирилл Пшеничных.
— И обычно работодатели ищут кандидатов с конкретным набором компетенций и зачастую прибегают к рекомендациям, профессиональным сообществам и отраслевым мероприятиям, — пояснил эксперт.
Уровень дохода таких специалистов может существенно варьироваться, подчеркнул он. Всё зависит от специализации, квалификации, объема ответственности, а также масштаба бизнеса и региона, в котором работает компания.
— Именно поэтому вилки в этой профессии могут быть весьма широкими: от небольших стартовых предложений до высокооплачиваемых позиций для опытных экспертов, — добавил Кирилл Пшеничных.
Минимальная зарплата для пентестеров в Санкт-Петербурге начинается от 80 тыс. рублей, а в Москве — от 100 тыс. рублей, следует из данных SuperJob. За год зарплаты для таких специалистов выросли в среднем на 8%.
— Хотя профессия пентестера и не всегда отражается в массе вакансий на популярных площадках, она остается крайне значимой и перспективной в цифровой экономике, — уверен Кирилл Пшеничных.
Пентестеры всегда востребованы в компаниях со зрелым подходом к обеспечению безопасности своих ресурсов, полагает руководитель департамента развития сервисов информационной безопасности iTPROTECT Антон Киселев.
— Они востребованы, начиная с обеспечения тестирования на проникновение, заканчивая смежными направлениями, где опыт специалиста в данной области незаменим при построении защиты. Это может быть анализ кода на уязвимости, тестирование приложений, защита веб-сервисов, аналитика и так далее, — пояснил эксперт.
Как еще ищут уязвимости
В последние годы на российском рынке наблюдается устойчивый рост интереса не только к пентестам, но и к другим видам этичного хакинга, например программам Bug Bounty, в рамках которых привлекаются специалисты для тестирования IT-инфраструктуры и поиска ее уязвимостей, рассказала «Известиям» директор по консалтингу компании Positive Technologies Юлия Воронова.
— Это связано с динамично меняющимся ландшафтом киберугроз, модернизацией и цифровизацией, которые повышают уязвимость инфраструктур и бизнес-процессов к кибератакам. Один из эффективных способов оценки состояния безопасности — проведение таких исследований, — отметила она,
В последние полгода, по словам Юлии Вороновой, наблюдается бурный рост спроса именно на кибериспытания через платформы багбаунти.
— Они привлекают множество исследователей и становятся альтернативой традиционным пентестам. Спрос растет не только среди крупных институциональных клиентов, но и в среднем сегменте, — пояснила она. — Рынок уже осознает необходимость таких исследований, а платформы багбаунти эффективно решают проблему дефицита специалистов.
Так, о готовности бросить вызов независимым «белым» хакерам «Известиям» рассказал директор по цифровой трансформации автомобильного маркетплейса FRESH Дмитрий Лившин. Компания участвовала в кибериспытаних на российской платформе Standoff Bug Bounty, где зарегистрировано почти 25 тыс. багхантеров из 60 стран.
— Многие считают, что типичный сценарий кибератаки на организацию — атака на ее интернет-сайт. На деле список угроз намного больше. Намного хуже, если злоумышленники проникнут в нашу инфраструктуру, где смогут украсть данные о клиентах или запустят вирус-шифровальщик, который сделает работу внутренних систем, которые участвуют в каждой сделке по продаже авто, — пояснил он.
В этом случае злоумышленники могут частично или полностью парализовать работу компании на срок до двух недель, и ущерб уже будет измеряться десятками миллионов рублей. Поэтому компания решила дать «белым» хакерам возможность проверить собственную устойчивость.
— Допускаются разные способы воздействия. От удаленных, когда попытку взлома можно осуществить через интернет даже из другой страны, до контактных — например, хакер вправе приехать в автомобильный центр FRESH, открыть ноутбук и попытаться проникнуть в систему через локальную сеть Wi-Fi. Социальная инженерия тоже не запрещена, — пояснил Дмитрий Лившин.
Всего за три года только на платформе Standoff Bug Bounty было опубликовано свыше 100 программ по поиску уязвимостей. С мая 2022-го по май 2025 года общий объем вознаграждений составил 242 млн рублей, объявили на международном киберфестивале Positive Hack Days. Максимальная сумма вознаграждения на платформе составляет почти 4 млн рублей, а средняя выплата за принятую уязвимость — 58 тыс. рублей.
За последние полтора года число «белых» хакеров на платформе увеличилось более чем в три раза.
— Тренд на багбаунти активно растет, но количество специалистов, способных качественно выполнять подобные задачи, увеличивается незначительно, — указала Юлия Воронова. — Платформы и маркетплейсы, объединяющие исследователей, позволяют эффективно реализовывать программы багбаунти. Они обеспечивают качественную оценку с гарантией результата, так как оплата происходит только за достигнутые цели, что особенно востребовано заказчиками.
Ответственность для хакеров
Хотя «белые» хакеры действуют в правовом поле, с точки зрения закона между ними и хакерами-злоумышленниками достаточно тонкая грань, отметили юристы. В УК РФ есть три статьи, которые могут быть применены в том числе и к «белым» хакерам, пояснил адвокат, партнер BGP Litigation Денис Саушкин.
— Прежде всего это ст. 272 «Неправомерный доступ к охраняемой законом компьютерной информации и ее копирование». Если вы «белый» хакер, взломали и скопировали какую-то информацию без соглашения с правообладателем, это до двух лет лишения свободы. Если в скопированной информации была медицинская, банковская или коммерческая тайна, то наказание может составить до семи лет лишения свободы, — добавил он.
Кроме того, есть еще ст. 273 УК РФ, предусматривающая уголовную ответственность за создание, использование и распространение вредоносных программ, предназначенных для несанкционированного уничтожения, блокирования, модификации или копирования компьютерной информации. Минимальное наказание по ней — до четырех лет лишения свободы. Если эти действия повлекли длительную приостановку деятельности компании либо был получен доступ к охраняемой законом тайне, это до семи лет лишения свободы.
За незаконное копирование персональных данных, по словам юриста, может грозить лишение свободы на срок до четырех лет. Либо на срок до пяти лет, если речь про данные несовершеннолетних. К таким данным могут относиться ФИО и телефон, номер СНИЛС или любая другая персональная информация.
— Если вы не просто скопировали эти данные на свой личный жесткий диск, а загрузили куда-то на иностранный сервис в интернете, то ставки поднимаются до восьми лет лишения свободы. Если вдруг вы делали это неоднократно вместе с однокурсниками, между которыми распределены роли, закон это оценивает как организованную группу, наказание может составить до десяти лет лишения свободы, — пояснил юрист.
Кроме того, ст. 274 УК РФ предусматривает наказание за неправомерное воздействие на критическую информационную инфраструктуру, которое может составить до десяти лет лишения свободы, добавил директор технического департамента RTM Group Федор Музалевский.
— На сегодня изменения в закон, касающиеся действий «белых» хакеров, не приняты. То есть нельзя просто взять и из добрых побуждений пропентестить какой-то сайт и сообщить потом об этом бизнесу, — подчеркнул он.
При участии в мероприятиях, связанных с проникновением в чужие системы, компьютеры, стоит помнить, что сейчас практически везде персональные данные, отметил Денис Саушкин.
— Соответственно, любые действия, которые будут в системе, несут риски, — подчеркнул он.
Для легальной работы в качестве «белого» хакера нужен договор с компанией, четкое техническое задание. Кроме того, заказчик должен быть владельцем того сайта, который тестирует хакер, подчеркнул Федор Музалевский. Денис Саушкин рекомендовал тщательно изучать документы, предоставляющие «белому» хакеру право на участие, копирование и хранение информации.
— Право на доступ в любую систему должно быть закреплено. Причем в дальнейшем политика конфиденциальности может измениться, поэтому нужно скачивать и хранить все документы, предоставляющие такое право. Если вы делаете пентест для какой-то компании, желательно получить скан документов с подписью и печатью с почты компании на свою почту, — пояснил адвокат.
Действия на легальных платформах багбаунти предусматривают регистрацию и соблюдение четких правил со стороны хакеров, напомнил Федор Музалевский.
В случае возникновения любых вопросов со стороны правоохранителей пентестеру стоит сразу предупредить руководство компании-работодателя, напомнила директор департамента управления правовыми рисками МТС Анна Войцехович. Это, по ее словам, поможет правильно выстроить линию поведения и при необходимости привлечь службу безопасности и юристов.