Хабр, привет! Хотелось бы поделиться небольшой болью, рассуждениями и выводом об ИБ-отрасли.

Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз(сырые с точки зрения безопасности).

Предположим, что мы решили исправить ситуацию. Часть разработчиков изъявили желание подучить безопасность, руководители компании-вендора быстро нашли сотрудника на роль devSecOps, тестировщики на продукте освоили кросс-компетенции в сторону статического анализа. За чей счёт праздник? За счет конечного потребителя, конечно. А нужен ли он за такую цену конечным потребителям? Вопрос сложный и зависит от того, сколько у потребителя денег. Этим вопросом в нише информационной безопасности я и решил заняться.

Для тех, кто ищет легких путей есть замечательное исследование от фонда «Центр стратегических разработок» по рынку кибербезопасности Российской Федерации с формированием прогноза его развития на период 2023–2027 года. Гуглится довольно просто, но методик подсчета не раскрывают. И не отвечает на мой главный вопрос - есть ли у заказчика деньги на покупку моего приложения, качество которого я докажу за счёт багбаунти. А если ещё и бэкенд сертифицирую по 21 приказу ФСТЭК? Сколько вообще у среднестатистического заказчика есть денег на мой продукт?

Подойдём к этому вопросу сверху - выберем, куда с нашей безопасностью будем целиться. Из первого, что попало в голову:

• Крупный бизнес

• Средний бизнес

• Малый бизнес(в который входит и микробизнес, согласно Федеральному закону от 24 июля 2007 г. N 209-ФЗ)

Почему не крупный бизнес?

Крупный бизнес имеет огромные прибыли и зачастую сам для себя является вендором систем для ИБ. Остаётся средний и малый бизнес.

Открытия в малом бизнесе

Так сложилось, что в окружении есть часть системных администраторов, которые поделились процессами ИБ внутри их компаний. В их компаниях экономия на всём, а фокус внимания на работоспособность систем и оперативность заявок наподобие "мышка не работает" или "принтер не печатает". При этом вызывает уважение, что находят время на резервные копии критичных данных. Понятно, что это лишь опыт в компаниях моих знакомых, но мне было этих выводов достаточно, чтобы целиться в средний бизнес.

А что там в среднем бизнесе?

Так как решили действовать сверху, нужно понять, сколько вообще таких компаний есть в РФ. Здесь нам поможет налоговая с её замечательным реестром малого и среднего предпринимательства. На 24.07.2024 в среднем бизнесе ситуация следующая:

• СУБЪЕКТОВ: 20 787

• РАБОТНИКОВ: 2 002 002

И здесь меня постигли первые сомнения. В открытом доступе не оказалось данных по среднему бизнесу и совокупном доходе. Ок, в документе «О ПРЕДЕЛЬНЫХ ЗНАЧЕНИЯХ ДОХОДА, ПОЛУЧЕННОГО ОТ ОСУЩЕСТВЛЕНИЯ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ, ДЛЯ КАЖДОЙ КАТЕГОРИИ СУБЪЕКТОВ МАЛОГО И СРЕДНЕГО ПРЕДПРИНИМАТЕЛЬСТВА» нам указан диапазон дохода, который устанавливается для субъектов среднего бизнеса. От 800 млн до 2 МЛРД рублей. Однако и тут есть исключения, например возможность считаться средним бизнесом не по доходу, а по численности сотрудников. Плюс есть сферы, где IT довольно мало - те же танцевальные студии и спортзалы. Статистика портится и требует дополнительной детализации. При этом цифрами на следующей сходке пентестеров уже хочется поделиться.

Идём Ва‑Банк. Ищем ответ на вопрос: «Какой процент от дохода будет направлен на IT услуги?» На помощь приходит замечательное исследование: «Безопасность в облаках и не только: исследование‑прогноз для CISO на 2024 год» от команды Yandex Cloud и компании ДРТ. Согласно нему компании выделяют в среднем по 15% бюджета от IT на нужды кибербезопасности.

Осталось только найти хоть какую-то зацепку на размер IT-бюджета компаний среднего бизнеса. Такая зацепка нашлась в исследовании Российского рынка облачных технологий от компании cloud.ru. Согласно опрошенным 650 респондентам за октябрь-декабрь 2022 в среднем бизнесе тратят на облака 10.1 млн рублей. При этом есть упоминание, что для среднего бизнеса такой уровень затрат - около 13% от годового бюджета на IT. Получаем примерно 77,7 МЛН на IT из которых 15% бюджета на ИБ. Почти 12 МЛН на ИБ в год. Берем хабр-карьеру и смотрим, сколько средняя для ИБ-сотрудников. На апрель 2024 эта цифра была равна 220 тысяч. Плюс разные страховые взносы с коэффициентом 1.5, получаем почти 4 МЛН в год на одного безопасника.

Получаем вывод, что средний бизнес еле‑еле может себе сотрудника на роль безопасника позволить, а оплачивать мой багбаунти и сертификацию ФСТЭК так и подавно. Допустим, что один безопасник примерно на 200 человек ещё неплохо, но ведь этому бедолаге придётся в каждом бюджете обосновывать, как моё «качественное» приложение для ИБ поможет бизнесу. И давать ответы на вопрос — мол зачем мы вообще паримся, когда можно купить облачное решение без сертификатов и багбаунти, сэкономив на этом кучу денег? Лучше это в маркетинг вложим, толку будет больше.

Что ж, нужные нам цифры мы нашли, обязательно подискутирую с коллегами на следующей сходке. Вам же желаю, чтобы ваша ИБ согласовывалась в разы проще, чем у бедолаги из нашего примера, а деньги на сертифицированные системы были и выделялись всегда :)

Список допущений

• Бюджеты компаний были из тех, которые пользуются облаками, к тому же за 2022 год. Возможно сейчас значительно больше денег

• Нет данных, сколько в среднем бизнесе сотрудников в отделе информационной безопасности

• Отказ от фокуса на малый бизнес был на основе ответов от двух респондентов