Грубый подсчёт. Или как мне стало обидно, когда от вендоров требуют качественных приложений
Хабр, привет! Хотелось бы поделиться небольшой болью, рассуждениями и выводом об ИБ-отрасли.
Считаем чужие деньги
Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз (сырые с точки зрения безопасности).
Предположим, что мы решили исправить ситуацию. Часть разработчиков изъявили желание подучить безопасность, руководители компании-вендора быстро нашли сотрудника на роль devSecOps, тестировщики на продукте освоили кросс-компетенции в сторону статического анализа. За чей счёт праздник? За счет конечного потребителя, конечно. А нужен ли он за такую цену конечным потребителям? Вопрос сложный и зависит от того, сколько у потребителя денег. Этим вопросом в нише информационной безопасности я и решил заняться.
Для тех, кто ищет легких путей есть замечательное исследование от фонда «Центр стратегических разработок» по рынку кибербезопасности Российской Федерации с формированием прогноза его развития на период 2023–2027 года. Гуглится довольно просто, но методик подсчета не раскрывают. И не отвечает на мой главный вопрос — есть ли у заказчика деньги на покупку моего приложения, качество которого я докажу за счёт багбаунти. А если ещё и бэкенд сертифицирую по 21 приказу ФСТЭК? Сколько вообще у среднестатистического заказчика есть денег на мой продукт?
Подойдём к этому вопросу сверху — выберем, куда с нашей безопасностью будем целиться. Из первого, что попало в голову:
Крупный бизнес
Средний бизнес
Малый бизнес (в который входит и микробизнес, согласно Федеральному закону от 24 июля 2007 г. N 209-ФЗ)
Почему не крупный бизнес?
Крупный бизнес имеет огромные прибыли и зачастую сам для себя является вендором систем для ИБ. Остаётся средний и малый бизнес.
Открытия в малом бизнесе
Так сложилось, что в окружении есть часть системных администраторов, которые поделились процессами ИБ внутри их компаний. Экономия на всём, приоритет на работоспособность систем и оперативность заявок наподобие «мышка не работает» или «принтер не печатает». Но резервные копии делают, уважаю. Понятно, что это лишь опыт в компаниях моих знакомых, но мне было этих выводов достаточно, чтобы целиться в средний бизнес.
А что там в среднем бизнесе?
Так как решили действовать сверху, нужно понят, сколько вообще таких компаний есть в РФ. Здесь нам поможет налоговая с её замечательным реестром малого и среднего предпринимательства. На 24.07.2024 в среднем бизнесе ситуация следующая:
И здесь меня постигли первые сомнения. В открытом доступе не оказалось данных по среднему бизнесу и совокупном доходе. Ок, в документе «О ПРЕДЕЛЬНЫХ ЗНАЧЕНИЯХ ДОХОДА, ПОЛУЧЕННОГО ОТ ОСУЩЕСТВЛЕНИЯ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ, ДЛЯ КАЖДОЙ КАТЕГОРИИ СУБЪЕКТОВ МАЛОГО И СРЕДНЕГО ПРЕДПРИНИМАТЕЛЬСТВА» нам указан диапазон дохода, который устанавливается для субъектов среднего бизнеса. От 800 млн до 2 МЛРД рублей. Однако и тут есть исключения, например возможность считаться средним бизнесом не по доходу, а по численности сотрудников. Плюс есть сферы, где IT довольно мало — те же танцевальные студии и спортзалы. Статистика портится и требует дополнительной детализации. При этом цифрами на следующей сходке пентестеров уже хочется поделиться.
Идём Ва‑Банк. Ищем ответ на вопрос: «Какой процент от дохода будет направлен на IT услуги?» На помощь приходит замечательное исследование: «Безопасность в облаках и не только: исследование‑прогноз для CISO на 2024 год» от команды Yandex Cloud и компании ДРТ. Согласно нему компании выделяют в среднем по 15% бюджета от IT на нужды кибербезопасности.
Осталось только найти хоть какую-то зацепку на размер IT-бюджета компаний среднего бизнеса. Такая зацепка нашлась в исследовании Российского рынка облачных технологий от компании cloud.ru. Согласно опрошенным 650 респондентам за октябрь-декабрь 2022 в среднем бизнесе тратят на облака 10.1 млн рублей. При этом есть упоминание, что для среднего бизнеса такой уровень затрат — около 13% от годового бюджета на IT. Получаем примерно 77,7 МЛН на IT из которых 15% бюджета на ИБ. Почти 12 МЛН на ИБ в год. Берем хабр-карьеру и смотрим, сколько средняя для ИБ-сотрудников. На апрель 2024 эта цифра была равна 220 тысяч. Плюс разные страховые взносы с коэффициентом 1.5, получаем почти 4 МЛН в год на одного безопасника.
Получаем вывод, что средний бизнес еле‑еле может себе сотрудника на роль безопасника позволить, а оплачивать мой багбаунти и сертификацию ФСТЭК так и подавно. Допустим, что один безопасник примерно на 200 человек ещё неплохо, но ведь этому бедолаге придётся в каждом бюджете обосновывать, как моё «качественное» приложение для ИБ поможет бизнесу. И давать ответы на вопрос — мол зачем мы вообще паримся, когда можно купить облачное решение без сертификатов и багбаунти, сэкономив на этом кучу денег? Лучше это в маркетинг вложим, толку будет больше.
Что ж, нужные нам цифры мы нашли, обязательно подискутирую с коллегами на следующей сходке. Вам же желаю, чтобы ваша ИБ согласовывалась в разы проще, чем у бедолаги из нашего примера, а деньги на сертифицированные системы были и выделялись всегда :)
Список допущений
Бюджеты компаний были из тех, которые пользуются облаками, к тому же за 2022 год. Возможно сейчас значительно больше денег
Нет данных, сколько в среднем бизнесе сотрудников в отделе информационной безопасности
Отказ от фокуса на малый бизнес был на основе ответов от двух респондентов
