Компания HH.ru и ГК «Солар» проанализировали тренды кадрового рынка в сфере безопасной разработки и с какими финансовыми вызовами сталкивается бизнес, который стремится соответствовать стандартам DevSecOps в условиях нехватки профессионалов.
Аналитики HH.ru отметили, что в 2025 году разрыв между количеством вакансий по безопасной разработке (4,8% от общего числа позиций в ИБ) и количеством резюме (1,5% от общего числа опубликованных профилей в ИБ) приводит к структурному дефициту: специалистов по безопасной разработке в три раза меньше, чем требуется бизнесу.
Этот тренд стимулирует «гонку зарплат» и увеличивает долю расходов на персонал в структуре затрат на разработку ПО. Так, по оценке HR-специалистов «Солара», годовой фонд оплаты труда команд по безопасной разработке с учетом всех взносов и годового бонуса, стартует от 9,3 млн рублей для группы сотрудников, включающей двух специалистов с опытом до трех лет и одного профессионала с опытом свыше шести лет. Оценка годового ФОТ для команд, включающих четырех специалистов с опытом от шести лет, − превышает 25,7 млн рублей, а команда из двух экспертов с опытом до трех лет и трех профессионалов с опытом от шести лет – потребует расходов на ФОТ свыше 26,3 млн. рублей.
Растущий рынок заказной разработки приводит к расширению штата специалистов по безопасной разработке. По данным Б1, к 2028 году он увеличится с 14% до 24% от объема рынка IT, при этом более 70% новых корпоративных приложений уже создаются с использованием low-code/no-code и GenAI. Поэтому компании рассматривают ИИ-инструменты, чтобы сбалансировать расходы на DevSecOps, снизить объем рутинных операций, которые выполняют высококвалифицированные специалисты, и обеспечить устойчивость экономической модели в разработке софта.
Аналитики HH.ru и «Солара» изучили актуальную ситуацию на кадровом рынке ИБ, в сегменте безопасной разработки, и выявили пять ключевых трендов, которые будут влиять на бизнес.
«Перетекание» спроса на ИБ-кадры из IT в реальный сектор экономики
С 2025 года спрос на специалистов по кибербезопасности стали формировать отрасли, далекие от IT-сектора. Так, спрос в тяжёлом машиностроении вырос на 40%, в энергетике — на 64%, в торговле — на 75%, в производстве товаров — на 85%.
Возникает дефицит универсальных специалистов, владеющих компетенциями не только в кибербезопасности, но понимающих конкретного производства (OT-безопасность, защита АСУ ТП). Эта ситуация, по оценке экспертов HH.ru, требует переобучения кадров и изменения образовательных программ.
Кадровый голод и битва за квалифицированных специалистов
Как показывает аналитика HH.ru, рынок достаточно насыщен специалистами junior-уровня, но остро не хватает зрелых специалистов с подтвержденными навыками и успешными кейсами, способных выстраивать системы защиты с нуля. Конкуренция за них превратила ИБ в элиту ИТ-сферы. Так, конкуренция в ИБ в 1,5 раза ниже, чем в ИТ в целом (9,4 резюме на вакансию против 14,9). Зарплаты руководителей департаментов информационной безопасности в среднем бизнесе достигают 350–650 тыс. руб., в крупном уровень заплат еще выше.
Дефицит «гибридов» (DevSecOps) как зеркало зрелости рынка
Как отмечают аналитики HH.ru, рынок пришел к пониманию, что проверку софта на требования к кибербезопасности крайне дорого реализовать на поздних этапах разработки. Ее необходимо встраивать в процесс разработки на ранних этапах. Рост числа атак через open-source компоненты и другие уязвимости заставляет компании искать тех, кто может проверить код до того, как веб-приложение будет доступно пользователям.
Эта задача требует специалистов, владеющих компетенциями в разработке софта, инфраструктуры и информационной безопасности (DevSecOps / AppSec). По данным за 2025 год, доля вакансий DevSecOps/AppSec среди всех ИБ-вакансий составила всего 4,8%, а доля резюме DevSecOps/AppSec среди всех ИБ-резюме − 1,5%. Соответственно индекс конкуренции низкий, т.к. соотношение 1:3 означает острейший дефицит (менее 1 кандидата на вакансию при норме 5-6).
Как отмечают аналитики HH.ru, этот тренд говорит не просто о нехватке кадров, он подчеркивает структурный дефицит. Рынок требует специалистов нового поколения, которых вузы практически не выпускают. Это тормозит внедрение практик безопасной разработки в компаниях. «Компании будут вынуждены «выращивать» таких специалистов внутри, тратя ресурсы на переобучение разработчиков или тестировщиков. Конкуренция за этих 1,5% кандидатов будет еще жестче, чем за обычных ИБ-специалистов», − дополняют эксперты HH.ru.
Зарплатная «вилка» как индикатор рынка
Разброс в предлагаемых зарплатах внутри одной специализации (DevSecOps/AppSec) также существенный, что говорит о несформировавшемся рынке и разном понимании роли таких специалистов в компаниях.
По итогам 2025 года, предлагаемые зарплаты для начинающих специалистов по безопасной разработке с опытом от 1 года до 3-х лет составляли от 107 000 до 140 000 рублей. Специалистам среднего уровня квалификации компании были готовы предложить от 193 000 до 260 000 рублей. Профессионалам высокого уровня квалификации − от 330 000 до 420 000 рублей. Такой большой разрыв между начинающими специалистами (107 000) и высококвалифицированными кадрами (420 000) показывает высокий порог входа и высокую цену ошибки.
«Безопасная разработка – одно из наиболее дорогих и экспертных направлений в информационной безопасности. Поэтому рыночным трендом становится внедрение специализированных ИИ-инструментов, которые могут стать помощником для профессионалов в самых трудоемких операциях по верификации и исправлению уязвимостей. Но важно, чтобы использовались LLM, обученные на практике исправления уязвимостей миллионов софтверных проектов, работающие в закрытом контуре, а результаты их работы обязательно должен проверять опытный AppSec-инженер. ИИ может заменить «десять рук», но решение всегда остается за человеком. Но даже в этом случае бизнес может сформировать оптимальный состав команды DevSecOps и снизить затраты на ФОТ на 20-50% в зависимости от масштабов разработки», − дополняет Владимир Высоцкий, руководитель отдела развития бизнеса ПО Solar appScreener.
Сдвиг спроса от «защиты периметра» к «безопасности кода»
DevSecOps/AppSec перестает быть экзотикой и становится необходимой потребностью рынка. Компании готовы платить специалистам за безопасность на этапе разработки, а не за отражение кибератаки из-за неустраненной уязвимости. И эта практика готовит рынок к качественному скачку от реактивной безопасности к проактивной. Бизнес понял: дешевле провести Code Review и Secure SDLC, чем платить миллионные штрафы за утечку или терять выручку из-за простоя.
Так, стоимость устранения уязвимостей возрастает в 10 раз на поздних этапах разработки, в 640 раз – на этапе запуска приложения, и в 1000 раз, если уязвимость привела к ИБ-инциденту в момент, когда приложение используют миллионы клиентов.
Во-первых, этот фактор также формирует спрос на инструменты автоматизации анализа кода (SAST, DAST) и специалистов, умеющих с ними работать. Во-вторых, растет ценность инженеров с бэкграундом в разработке (Python,Go, Java), а не только в администрировании Linux. В-третьих, ИБ-специалисты, не владеющие компетенциями в безопасной разработке, будут вынуждены доучиваться или рассматривать позиции в более низких зарплатных сегментах.
«Таким образом, мы уже можем говорить о проникновении ИБ и в промышленность, и в разработку ПО, а также об «элитизации» ИБ в целом и формировании некой «высшей лиги» в лице DevSecOps-инженеров, чья зарплата уже обгоняет зарплату обычных специалистов по ИБ и приближается к топ-менеджменту», − подчеркивают аналитики HH.ru.
ссылка на оригинал статьи https://habr.com/ru/articles/1023130/