«ГИГАНТ — Компьютерные системы» о том, почему рынок киберучений растет, но не становится массовым

Эксперт «ГИГАНТ — Компьютерные системы» рассказал, что драйвит кибериспытания в России, почему компании боятся остановки бизнеса и сколько могут стоить такие проекты

Российский рынок киберучений растет на фоне усложнения атак и изменения отношения бизнеса к практической проверке защиты. Компании все чаще понимают, что формальное наличие ИБ-средств еще не означает готовности к реальному инциденту. Важны не только регламенты и продукты, но и способность команды действовать под давлением: обнаружить атаку, изолировать проблему, восстановить работу и правильно распределить ответственность.

Но рост рынка идет не без ограничений. Киберучения требуют времени ключевых специалистов, бюджета и готовности проверять процессы в условиях, близких к реальной атаке. Для многих компаний главный страх связан с непрерывностью бизнеса: учения могут затронуть рабочую инфраструктуру, повлиять на сервисы и создать риск простоя.

О том, что сегодня драйвит рынок киберучений, почему он еще не стал полностью консолидированным и сколько могут стоить такие проекты, мы поговорили с Сергеем Семикиным, генеральным директором компании «ГИГАНТ — Компьютерные системы».

— Сергей, киберучения все чаще обсуждают как необходимый элемент защиты. Что, по оценке «ГИГАНТ — Компьютерные системы», сегодня сильнее всего драйвит этот рынок?

Главный драйвер — сама реальность атак. Компании видят, что наличие средств защиты еще не гарантирует готовности к инциденту. Можно иметь регламенты, продукты, инструкции, но в момент атаки важно другое: как быстро команда понимает, что происходит, кто принимает решения и насколько организация способна сохранить работоспособность.

Киберучения как раз позволяют проверить не декларации, а практическую готовность. Это особенно важно для компаний, у которых простой ИТ-систем напрямую влияет на выручку, обслуживание клиентов или непрерывность процессов.

— То есть рынок двигает не мода на киберполигоны, а страх перед реальными последствиями атаки?

Да. Но при этом киберучения в стране развиваются непросто. С точки зрения драйверов все понятно: атак больше, сценарии сложнее, бизнесу и госсектору нужно проверять устойчивость. Но сдерживающих факторов тоже много.

Главный сдерживающий момент - ограниченные бюджеты. Не каждая компания готова выделять серьезные средства на проверку, которая не выглядит как «покупка железа» или внедрение конкретного продукта. Киберучения сложнее объяснить как инвестицию, хотя их эффект может быть очень практичным.

— Бюджеты — понятный барьер. А что еще мешает компаниям проводить такие испытания?

Нехватка специалистов. У ИТ- и ИБ-команд уже есть повседневные обязанности: эксплуатация, сопровождение, инциденты, проекты, обновления, требования регуляторов. Чтобы провести киберучения, нужно выделить людей, подготовить сценарий, пройти саму тренировку и потом разобрать результаты.

У многих компаний просто нет свободного ресурса. Даже если руководитель понимает пользу учений, возникает вопрос: кто будет этим заниматься и что в этот момент будет с текущими задачами.

— А страх остановить бизнес действительно настолько силен?

Да, и он оправдан. Далеко не все компании готовы на день пожертвовать своей работоспособностью. Киберучения могут реально парализовать деятельность организации, если проводятся на боевой инфраструктуре или затрагивают критичные процессы.

Поэтому часть бизнеса осторожничает. Они понимают пользу учений, но боятся, что сама проверка создаст проблему, сопоставимую с инцидентом. Это один из ключевых сдерживающих факторов.

— То есть парадокс в том, что компании хотят проверить устойчивость, но боятся самой проверки?

Именно. И это нормальная реакция, если у компании нет опыта таких проектов. Киберучения должны быть спланированы так, чтобы давать реалистичную картину, но не разрушать операционную деятельность. В «ГИГАНТ — Компьютерные системы» мы видим, что зрелость подхода здесь как раз и заключается в правильном выборе формата: где можно тренироваться на копии инфраструктуры, где подходит киберполигон, а где допустимы только более мягкие сценарии.

— Насколько этот рынок уже сформировался в России? Можно ли говорить, что он зрелый и консолидированный?

Рынок уже сложился, но окончательно не консолидирован. Есть крупные игроки, есть специализированные команды, есть небольшие группы белых хакеров, есть сервисные форматы. Все это существует одновременно.

Из крупных игроков можно назвать «Ростелеком». Они реализовали много проектов как на своем киберполигоне, так и у заказчиков. Их киберполигон удобен тем, что туда можно зеркалировать инфраструктуру заказчика, и она не подвергается прямому риску.

— То есть киберполигон снижает главный страх бизнеса: не трогать боевую инфраструктуру?

Да. Это один из важных плюсов. Когда инфраструктуру можно смоделировать или зеркалировать на полигоне, компания получает возможность отработать сценарии без прямого риска для основной деятельности. Это делает формат более приемлемым для организаций, которые не готовы проводить жесткие испытания на реальной среде.

В «ГИГАНТ — Компьютерные системы» считают, что такие форматы помогают рынку расти, потому что снимают часть опасений вокруг непрерывности бизнеса.

— Кто еще заметен на этом рынке?

Активно работает Positive Technologies. Standoff по сути является частью кибериспытаний. Есть решения у «БиЗона», есть небольшие компании. В «Сайберусе» есть отдельная дочерняя структура, которая работает в этом направлении.

Если говорить шире, кибериспытания во многом пересекаются с bug bounty. Потому что и там, и там компания фактически проверяет, смогут ли внешние специалисты найти уязвимости, обойти защиту или показать слабые места в реальных сценариях.

— То есть рынок не сводится к одному формату: есть полигоны, есть bug bounty, есть красные команды, есть небольшие группы белых хакеров?

Да. Это одна из особенностей рынка. Здесь соседствуют крупные отраслевые полигоны и работа с небольшими группами белых хакеров. Кому-то нужен масштабный киберполигон с моделированием инфраструктуры. Кому-то достаточно точечной проверки конкретного периметра или приложения. Кому-то важнее формат bug bounty.

Именно поэтому рынок пока неоднородный. Он уже есть, но еще не пришел к единой модели.

— А эта неоднородность помогает рынку или мешает?

И помогает, и мешает. Помогает, потому что у компаний есть выбор по бюджету, масштабу и формату. Не всем нужен большой полигон. Иногда достаточно небольшой команды, которая проверит конкретный участок.

Но мешает, потому что заказчику сложнее сравнивать предложения. Один подрядчик продает платформу, другой - команду, третий - полигон, четвертый - bug bounty. В «ГИГАНТ — Компьютерные системы» считают, что именно поэтому рынок пока нельзя назвать полностью консолидированным.

— Давайте про деньги. Во сколько компании может обойтись развертывание платформы для киберучений?

Финансовые вложения сильно разнятся. Диапазон может быть от миллиона рублей до сотен миллионов. Все зависит от масштаба, сложности инфраструктуры, формата учений и того, что именно нужно заказчику.

Если компания обращается к небольшой группе белых хакеров, можно уложиться примерно от 300 тысяч рублей. В среднем же такие проекты могут стоить около 3 миллионов рублей. Но бывают и значительно более дорогие кейсы. Например, ценник может доходить до 6 миллионов долларов, если речь идет о сложном, масштабном и индивидуальном заказе.

— То есть универсальной цены здесь нет и быть не может?

Да. Киберучения - это не типовая коробка с фиксированной стоимостью. Стоимость зависит от глубины сценария, количества участников, необходимости моделировать инфраструктуру, уровня детализации, состава «красной» и «синей» команд, требований к безопасности и масштаба самой организации.

Поэтому корректнее говорить о вилке, а не об одной средней цене. Для небольшого проекта это могут быть сотни тысяч рублей. Для крупной инфраструктурной проверки - десятки или сотни миллионов.

— А ежегодные расходы на поддержку такой инфраструктуры тоже настолько разные?

Да. Ежегодные расходы на поддержку инфраструктуры определяются масштабом и сложностью проекта. Если у компании собственная платформа, ее нужно поддерживать, обновлять сценарии, адаптировать под изменения инфраструктуры, развивать методологию, привлекать специалистов.

Если используется внешний киберполигон или сервисная модель, структура расходов будет другой. Поэтому универсальной цифры здесь нет.

— Получается, компания сначала должна решить не «сколько стоит киберучение», а какой формат ей нужен?

Да. Это правильная логика. Сначала нужно понять цель: проверить команду, инфраструктуру, процесс реагирования, устойчивость конкретного сервиса, готовность руководства или качество взаимодействия между подразделениями.

После этого выбирается формат. В «ГИГАНТ — Компьютерные системы» считают, что без такой постановки задачи киберучения легко превращаются в формальность: деньги потрачены, упражнение проведено, но практический результат для безопасности неясен.

— А если компания боится, что учения парализуют работу, какой формат для нее безопаснее?

В таком случае логично начинать с форматов, которые не затрагивают боевую инфраструктуру напрямую. Это может быть киберполигон, зеркалирование инфраструктуры, отдельные сценарии, работа на копии среды или более ограниченные проверки.

Так компания получает практику, но не ставит под риск текущую операционную деятельность. По мере зрелости можно переходить к более сложным и приближенным к реальности форматам.

— То есть рынок будет расти не только за счет крупных полигонов, но и за счет более гибких форматов?

Да. Для многих компаний вход в киберучения начнется не с масштабной платформы, а с небольших проверок, bug bounty, работы с белыми хакерами, отдельных тренировок ИБ-команды. Это нормальный путь.

Крупные полигоны нужны зрелым организациям и критичным отраслям. Но массовость рынку дадут более гибкие и доступные форматы.

— Если подвести итог: что сейчас сильнее всего сдерживает рынок киберучений?

Три вещи: бюджеты, нехватка специалистов и страх повлиять на работоспособность компании. Киберучения требуют денег, времени и готовности временно вывести людей из текущих задач. А иногда и готовности проверить процессы так, что это может затронуть работу организации.

Поэтому рынок растет, но не взрывным образом. Он движется через осторожность, пилоты, сервисные форматы и постепенное привыкание бизнеса к тому, что проверять устойчивость нужно не только на бумаге.

— И главный вывод от «ГИГАНТ — Компьютерные системы» для компаний, которые пока сомневаются, нужны ли им киберучения?

Киберучения нужны не ради галочки. Их смысл в том, чтобы заранее увидеть, что произойдет в момент атаки: кто примет решение, где возникнет задержка, какие системы не выдержат, какие специалисты окажутся перегружены, какие регламенты не сработают.

Но начинать нужно с разумного формата. Не каждая компания готова сразу проводить жесткие испытания на боевой инфраструктуре. Можно идти постепенно: от небольших проверок и работы с белыми хакерами до киберполигона и полноценных комплексных учений.

Главное - не ждать реального инцидента как первой проверки. Именно такой подход «ГИГАНТ — Компьютерные системы» считает самым практичным для компаний, которые хотят не просто купить защиту, а понять, выдержит ли она реальную атаку.