Привет, Хабр! Меня зовут Мария Рачёва, я ведущий аналитик процессов безопасной разработки в Swordfish Security.

На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры: сколько стоит защитить приложение на каждом этапе жизненного цикла и сколько обходится исправление последствий после инцидента. Проверим, где расходы растут, а где их можно сэкономить.

Когда баг стоит сотни миллионов

Сегодня компании стремятся обеспечить безопасность не только ИТ-инфраструктуры, но и производственных процессов создания ПО. Обнаруженные уязвимости уже на этапе эксплуатации создают немало хлопот и часто требуют больших затрат на устранение.
Немного историй, которые не теряют актуальность и по сей день:

?SQL-инъекция (SQL Injection, TalkTalk. В 2015 году один из крупнейших операторов сотовой связи TalkTalk зафиксировал атаку на свой веб-сайт через уязвимость типа SQL-инъекция. В результате нападения была взломана база с персональными данными около 150 000 000 клиентов, а TalkTalk был оштрафован на £400 000 (более 30 млн рублей). После расследования инцидента выяснилось, что причиной реализации атаки стал устаревший софт для работы с базами данных.

?Межсайтовый скриптинг (XSS), British Airways. В 2018 году британская авиакомпания British Airways стала жертвой атаки на веб-сайт из-за отсутствующей защиты от уязвимостей типа XSS: злоумышленники незаметно перенаправляли посетителей сайта компании на поддельные ресурсы. В результате были похищены и скомпрометированы данные порядка 500 000 пользователей. British Airways получила штраф в размере £183,39 млн ($230 млн) за отсутствие надлежащей защиты данных своих клиентов.

?Небезопасная десериализация, Equifax. В 2017 году бюро кредитных историй Equifax столкнулось с кибератакой через эксплуатацию уязвимости CVE-2017-9805, которая затрагивает фреймворк для разработки Apache Struts 2. Эксплуатация этой ошибки позволила злоумышленникам получить доступ к порталу с документами по кредитной истории клиентов Equifax. Последствия атаки обошлись для компании финансовыми потерями в размере $700 млн — это были как штрафные санкции от регулятора, так и выплаты компенсаций пострадавшим.

Этот список можно продолжать еще долго, но суть остается неизменной: расходы на компенсации, штрафы и устранение последствий реализованных атак достигают колоссальных масштабов. Помимо финансовых потерь, серьезный удар наносится репутации компании — а это зачастую куда более дорогостоящая цена.

Почему безопасность должна стать неотъемлемой частью разработки

Для того чтобы избежать серьезных последствий кибератак и не попасть в список пострадавших компаний, важно интегрировать безопасность в процесс создания ПО и наладить эффективное взаимодействие команд ИБ и разработки. Конечно, построение такого процесса требует инвестиций в инструменты и организационные мероприятия. Но с учетом ужесточения требований регуляторов, особенно в части защиты персональных данных, эти затраты несопоставимо ниже стоимости устранения последствий инцидентов.

Безопасность в производственном процессе разработки программного обеспечения называется «Процесс РБПО» и реализуется путем внедрения как технических, так и организационных мер. Жизненный цикл разработки ПО включает несколько этапов: планирование/проектирование, разработку (написание кода), тестирование и эксплуатацию. Чтобы построить эффективный и устойчивый процесс РБПО, необходимо охватывать весь цикл и на каждом из этапов решать определенные задачи по обеспечению безопасности. В этой статье мы не будем вдаваться в детали построения самого процесса РБПО, а сделаем акцент на практическом вопросе: сколько это будет стоит компании.

Во сколько обойдется построение процесса РБПО

При расчете затрат на внедрение мер по обеспечению безопасности жизненного цикла разработки ПО необходимо учитывать несколько важных факторов:

?Построение процесса РБПО возможно только при участии профильных специалистов.
? Эффективная реализация процесса РБПО требует внедрения специализированных технологий.
?Для поддержания работоспособности процесса РБПО необходима его регулярная поддержка и сопровождение.

Начнем с самого ресурсоемкого — команда квалифицированных экспертов. Сейчас на рынке представлено довольно много компетентных ИБ-специалистов, однако уровень их вознаграждения сильно варьируется в зависимости от ряда факторов: региона, опыта, специализации и текущей рыночной конъюнктуры. Для запуска процесса РБПО в компании с командой разработки от 50 до 150 человек потребуется минимум два ИБ-эксперта. Предположим, что средняя зарплата AppSec Lead составляет 450 тыс. рублей в месяц [AI1] (до вычета НДФЛ), а специалиста[AI2]  уровня Middle — 250 тыс. рублей gross. Дополнительно учтем квартальные премии в размере 50% от оклада. Таким образом, совокупные затраты компании на одного специалиста в год составят от 8 до 9 млн рублей.

Следующим шагом к успешному построению процесса РБПО является внедрение необходимых ИБ-инструментов. Стоимость технологического стека, обеспечивающего функционирование РБПО, зависит от множества факторов: состава инструментария, специфики инфраструктуры разработки и объема кодовой базы. Затраты охв��тывают лицензии и техническую поддержку.

Способ внедрения технологий зависит от того, на какие расходы рассчитывает компания. Существует два типа:

1. Внедрение технологий на базе Enterprise-решений (решения вендора).

2. Внедрение технологий на базе Open Source-решений (свободное ПО).

Рассмотрим каждый из способов отдельно, а затем сравним их с потенциальными затратами на устранение последствий, если меры безопасности не были внедрены вовремя.

При внедрении технологий Enterprise необходимо учитывать затраты не только на лицензию, но и на техническую поддержку инструментов. Как и в случае с персоналом, ориентируемся на среднее значение: в зависимости от выбранных решений, стека разработки ПО и объема кодовой базы, расходы могут составлять от 8 до 15 млн рублей (включая техническую поддержку) в год. В рамках этого бюджета, как правило, удается покрыть 2–3 ключевые практики (например, SAST, SCA, ASOC).

При внедрении решений на базе Open Source основная часть затрат приходится на команду квалифицированных специалистов, которые на постоянной основе проводят кастомизацию, администрирование и поддержку инструментальных практик РБПО. Помимо умения говорить с командой разработки на одном языке, анализировать уязвимости и строить процесс РБПО, такие специалисты должны быть хорошими инженерами и владеть навыками системного администрирования.

Нагрузка при внедрении Open Source-инструментов выше, чем при встраивании Enterprise, поэтому следует говорить о команде минимум из трех человек: один Senior и два Middle-специалиста. Допустим, средний уровень вознаграждения для сотрудника уровня Senior с требуемым профилем начинается от 450 тыс. рублей в месяц gross. Дополнительно учтем квартальную премию в размере 50% от месячного оклада. В результате затраты на команду из трех специалистов могут составить от 11 до 14 млн рублей за год. Такого состава достаточно для поддержки 2–3 ключевых практик ИБ в компании с численностью разработчиков до 150 человек. При большем количестве практик или расширении команды разработки потребуется масштабирование и рост затрат.

Важно понимать, что специалисты не могут давать 100% гарантию стабильности и безопасности открытых решений. Дополнительный риск — зависимость от конкретных сотрудников и возможные сложности с поддержкой инфраструктуры в случае их увольнения или ротации.

Итоговые затраты могут выглядеть так*:

?Использование вендорских решений:

ФОТ: 8-9 млн.руб / год + ПО: 8-15 млн.руб / год = 16-24 млн.руб / год

 ?Использование Open Source-решений:

ФОТ: 11-14 млн.руб / год + ПО: 0 руб = 11-14 млн.руб / год

* в расчетах не учтена стоимость серверов для ПО и иных накладных расходов

Сколько стоит устранение последствий уязвимостей

Что же в итоге выгоднее для компании — инвестировать в предотвращение инцидентов или оплачивать последствия их реализации? В условиях ужесточающихся требований регуляторов и значительных штрафов за нарушения, этот вопрос становится особенно актуальным.

Рассмотрим на примере штрафных санкций, вступивших в силу 30 мая 2025 года за нарушение 152-ФЗ РФ. За первичную утечку юридические лица могут быть оштрафованы на сумму от 3 до 15 млн рублей. При повторном нарушении штраф составит от 1 до 3% от суммы прибыли за предшествующий календарный год, но не менее 20 млн рублей и не более 500 млн. Кроме того, должностные лица будут привлечены к ответственности со штрафом от 800 тыс. до 1 млн рублей.

Помимо штрафных санкций, важно учитывать и затраты на устранение последствий инцидентов, а также выплаты компенсаций пострадавшим, которые могут превышать 20 млн рублей. В совокупности эти расходы значительно превосходят затраты на внедрение процесса РБПО. Для наглядности покажем эту разницу на простой диаграмме:

Приведенный пример — лишь один из множества регуляторных требований, нарушение которых может повлечь серьезные последствия: от крупных штрафов до приостановки деятельности и отзыва лицензии. Особенно это критично для компаний-разработчиков ПО. Эксплуатация уязвимости в их продукте может привести к разрыву контрактов с заказчиками и партнерами, что негативно отразится не только на репутации, но и на доходах.

Почему стоит действовать уже сейчас

Чтобы получить точную оценку затрат и рисков, требуется индивидуальный анализ процессов конкретной организации. В качестве примера можно рассчитать эффективность внедрения процесса РБПО с помощью калькулятора, созданного нашей командой Swordfish Security. Предположим, ИТ-компания работает на рынке более 5 лет и занимается созданием программного обеспечения на языках Java и Python. В нескольких из ключевых командах разработки суммарно — 200 разработчиков. Ниже показана динамика прироста количества уязвимостей в ПО с внедрением процесса РБПО и без него.

Динамика улучшения показывает, сколько уязвимостей отлавливается сразу на ранних этапах жизненного цикла разработки ПО. Также, на устранение уязвимостей тратится и время разработчиков. Ниже показана динамика трудозатрат на устранение уязвимостей, если вы продолжаете устранение уязвимостей по факту выхода ПО в релиз без внедрения РБПО, а также показана динамика при внедрении РБПО:

Динамика бюджета на устранение уязвимостей демонстрирует, сколько ресурсов тратится командой на исправление проблем на разных этапах разработки. На графике показано сравнение расходов при реактивном подходе — устранение уязвимостей после выхода ПО в релиз — и при внедрении процесса РБПО, который позволяет выявлять и устранять уязвимости на ранних стадиях. Как видно, своевременное выявление проблем снижает общий объем затрат и экономит время разработчиков.

Заключение

С каждым годом киберугрозы становятся сложнее, регуляторные требования ужесточаются, а число пострадавших компаний продолжает расти. В этих условиях безопасность в разработке перестает быть дополнительной мерой и становится необходимым элементом стабильного и защищенного бизнеса.