1. Масштаб и динамика рынка
Объём и темпы роста
Оценки объёма рынка пентеста в России варьируются в зависимости от методологии подсчёта:| Источник | Оценка объёма | Примечание |
|---|---|---|
| Крупные вендоры ИБ | 3–4 млрд руб. (2025) | «Только начало системного роста» |
| «КБ Рубеж» / АПКИТ | >1 млрд руб. в год | Консервативная оценка |
| Интеграторы | 2–3 млрд руб. | Включая комплексные услуги |
| Аудит защищённости (2024) | ~2,7 млрд руб. | По данным «Спикател» |
Спрос на пентесты растёт примерно на 30% ежегодно, а по данным некоторых интеграторов — на 55% за первый квартал 2025 года по сравнению с аналогичным периодом прошлого года. К концу 2025 года количество проектов ожидается в два раза больше, чем в 2024-м.
Структура спроса
Наибольший спрос поступает от:- Крупных компаний с развёрнутой региональной сетью
- Финансового сектора (банки, страховые, МФО)
- Госсектора и субъектов КИИ — объекты критической информационной инфраструктуры по 187-ФЗ
- Телеком-операторов и крупных ритейлеров
2. Регуляторный ландшафт: главный драйвер роста
Ключевые изменения 2025–2026
Регуляторика — фундаментальный драйвер рынка. Три столпа:1. Указ Президента № 250 (2022, расширение 2024–2025) Возлагает персональную ответственность за инциденты ИБ на заместителей руководителей организаций. Для субъектов КИИ использование несертифицированных или иностранных СЗИ на значимых объектах недопустимо с 2025 года.
2. Приказ ФСТЭК № 117 (вступил в силу 1 марта 2026) Ключевое изменение для ГИС — переход от модели «выполнил и забыл» к непрерывному активному надзору. Организации обязаны обеспечивать постоянное взаимодействие с ГосСОПКА, контролировать трафик через «белые списки» и регулярно пересматривать модель угроз. Это де-факто вводит требование к постоянному мониторингу и периодическому тестированию защищённости.
3. Требования ФСТЭК и ФСБ к лицензированию Проведение работ по ТЗКИ (техническая защита конфиденциальной информации) требует лицензии ФСТЭК. Криптографическая защита — лицензия ФСБ. Это создаёт барьер для входа, но и стимулирует формирование квалифицированных команд.
Влияние на рынок пентеста
Регуляторика трансформирует пентест из «желательной опции» в обязательный элемент комплаенса:- Аудит соответствия требованиям регуляторов вырос на 75% в 2025 году
- Проверки перед сделками (due diligence) и тендерами делают пентест обязательным требованием
- Киберстрахование, развивающееся в России, требует прохождения пентеста или Red Team-оценки как условие полиса
3. Ключевые тенденции 2026–2027
3.1. От разовых проверок к непрерывному тестированию
Классическая модель «пентест раз в год» уходит в прошлое. Формируются три парадигмы:| Модель | Описание | Драйверы |
|---|---|---|
| Continuous Penetration Testing (CPT) | Автоматизированное непрерывное сканирование периметра с ручной верификацией | Требования ФСТЭК № 117, необходимость постоянного контроля |
| PTaaS (Pentesting as a Service) | Подписка на регулярное тестирование с доступом к платформе | Глобальный тренд, рост облачных сервисов |
| BAS (Breach and Attack Simulation) | Имитация реальных атак для проверки работы защитных средств | Потребность в быстрых и дешёвых проверках |
Некоторые отечественные вендоры уже предлагают решения для непрерывного тестирования, включённого в реестр ПО: инвентаризация периметра, поиск уязвимостей, OSINT и ретроспективный анализ.
3.2. AI и автоматизация: начало эры агентов
Глобально 2026 год стал переломным для AI-пентеста. Ключевые события:- XBOW вышел на #1 в HackerOne, обогнав тысячи человеческих исследователей
- DARPA AIxCC: автономные системы достигли 86% обнаружения уязвимостей (с 37% годом ранее)
- ARTEMIS победил 9 из 10 человеческих пентестеров в прямом сравнении
- AI-агенты эффективны для сканирования, генерации простых эксплойтов, анализа логов
- Не справляются с бизнес-логикой, обходом кастомной защиты, приоритизацией рисков
- Формируется новая роль — «AI-оператор + охотник»: специалист настраивает агента, анализирует отчёт, находит аномалии и реализует эксплуатацию вручную
3.3. Развитие Bug Bounty
Bug Bounty в России трансформируется из разовой инициативы в элемент комплексной киберзащиты:- Банки: Сбер, Т-Банк (до 1 млн руб. за критический баг), Альфа-Банк (до 400 тыс. руб.), МКБ
- Госсектор: Минцифры (выплачено >12,5 млн руб., максимум — 1 млн руб.), региональные программы на специализированных платформах
- Платформы: несколько отечественных платформ в реестре ПО, >18 000 независимых экспертов
3.4. Расширение спектра услуг
| Направление | Рост спроса | Комментарий |
|---|---|---|
| Red Teaming / Purple Teaming | Высокий | Моделирование реальных атак с противостоянием команде защиты |
| Анализ защищённости АСУ ТП | Растущий | Критическая инфраструктура, требования ФСТЭК |
| Пентест облачной инфраструктуры | Растущий | Переход в облака, гибридные архитектуры |
| Социальная инженерия | Стабильно высокий | Дипфейки и AI-фишинг повышают актуальность |
| Аудит мобильных приложений | Растущий | Развитие мобильного банкинга и госуслуг |
4. Структура рынка и конкуренция
Основные игроки
| Категория | Компании | Особенности |
|---|---|---|
| Крупные вендоры ИБ | Positive Technologies (PT SWARM), «Солар» (ГК Solar) и др. | Лицензии ФСТЭК, комплексные услуги, собственные платформы |
| Системные интеграторы | Innostage, F6, ITGLOBAL Security, «Кросс технолоджис» | Специализированные команды, сертификаты OSCP/CEH |
| Телеком-операторы | Билайн, МегаФон | Пентест как часть комплексных ИБ-услуг для бизнеса |
| Автоматизированные платформы | Решения в реестре ПО от ведущих вендоров | Непрерывное тестирование, интеграция с SOC |
Кадровый голод
Острая проблема рынка — нехватка квалифицированных пентестеров:- Вакансии для «белых хакеров» на HH.ru выросли на 20%
- Рынок нуждается в специалистах, способных не только провести тест, но и составить исчерпывающий отчёт с рекомендациями
- Рост числа курсов и платформ (Bug Bounty) частично закрывает кадровый дефицит
Качество результатов
Парадокс рынка: лишь 4% российских компаний не имеют серьёзных уязвимостей после пентеста. При этом многие заказчики не устраняют найденные проблемы из-за бюджетных ограничений, недооценки рисков или отсутствия компетенций. Это создаёт риск формального подхода к пентесту.5. Прогноз на 2026–2027
Сценарий базовый (наиболее вероятный)
| Показатель | Прогноз |
|---|---|
| Темпы роста рынка | 25–35% ежегодно |
| Объём рынка к концу 2027 | 5–7 млрд руб. |
| Доля автоматизированного/непрерывного тестирования | 30–40% от общего объёма |
| Внедрение AI-ассистированных инструментов | Пилотные проекты у крупных вендоров, массовое внедрение не ранее 2028 |
| Расширение Bug Bounty | Государственные программы на уровне регионов, рост выплат |
Ключевые риски
- Формализация подхода: пентест как «галочка» для регулятора без реального устранения уязвимостей
- Кадровый дефицит: невозможность масштабирования качественных команд
- Технологическое отставание: российский рынок отстаёт от глобального в части AI-агентов и автономного тестирования
- Регуляторная неопределённость: возможное ужесточение требований к сертификации инструментов и специалистов
6. Выводы
Российский рынок пентеста в 2026–2027 годах находится в фазе интенсивного роста и структурной трансформации:- Рынок сформировался как самостоятельное направление, перейдя от единичных проверок к интегрированной части управления рисками
- Регуляторика остаётся главным драйвером: новые требования ФСТЭК, ответственность руководителей и развитие киберстрахования делают пентест обязательным
- Непрерывное тестирование (CPT, PTaaS) вытесняет разовые проверки
- AI пока играет вспомогательную роль, но к 2027–2028 гг. автономные агенты изменят профессию пентестера
- Bug Bounty становится стандартной практикой для крупных компаний и госструктур