The Edgers, Positive Education и SuperJob представили масштабное исследование рынка труда в сфере кибербезопасности, объединяющее аналитику больших данных и глубинные интервью с топ-менеджментом. Ключевой вывод: при росте числа атак хакеров вопрос киберзащищенности выходит за пределы технологической функции, при этом участие большинства CISO в стратегическом планировании на уровне компании остаётся крайне ограниченным.

В России сформировался системный разрыв между ожиданиями бизнеса от директоров по информационной безопасности и реальной ролью этой функции. Более 40% CISO оценивают свой уровень зрелости на 8—9 баллов из 10, тогда как высокую оценку со стороны CEO дают лишь 25% респондентов. При этом в 37,5% компаний отсутствует регулярное взаимодействие между генеральным директором и CISO, а 62,5% руководителей не рассматривают его как участника стратегического планирования. Каждый второй специалист по информационной безопасности признаёт, что ключевая проблема — неспособность «перевести» киберриски на язык бизнеса, а существующая система образования не формирует необходимый профиль управленца.

Количественные данные «SuperJob» подтверждают рост значимости функции ИБ на рынке труда. За год число вакансий в сфере информационной безопасности увеличилось на 24% на фоне снижения числа вакансий в IT в целом на 18%. Медианная зарплата директоров по информационной безопасности в IT-компаниях составляет 520 тысяч рублей в Москве и 500 тысяч в Санкт-Петербурге при максимальных предложениях до 1,3 млн и 1,2 млн рублей соответственно. При этом рост доходов остаётся сдержанным: +4% в Москве и +6% в Санкт-Петербурге за год, а за 4 года зарплаты выросли на 37 и 39% соответственно.

На фоне роста числа кибератак и ужесточения регулирования кибербезопасность выходит за пределы IT-функции и становится фактором финансовой устойчивости и непрерывности бизнеса.

«Вопрос кибербезопасности сегодня напрямую связан с технологическим суверенитетом. Рынок труда уже реагирует: спрос на специалистов по ИБ растёт даже на фоне общего охлаждения в IT. При этом бизнесу нужен не просто технический эксперт, а управленец, который способен встроить безопасность в экономику компании и обеспечить устойчивость её цифровых процессов. Без этого говорить о полноценном технологическом суверенитете на уровне компаний невозможно», — отмечает Анастасия Чучалова, генеральный директор «SuperJob».

«Рынку нужен новый тип CISO — руководитель, который умеет переводить киберриски на язык бизнеса и связывать безопасность с финансовой устойчивостью компании. Сегодня во многих организациях именно этого звена не хватает, из-за чего возникает системный разрыв между ожиданиями CEO и реальной ролью функции. Если его не сокращать, киберриски будут обсуждаться на уровне совета директоров, но сама функция безопасности так и останется в техническом контуре — без полноценного влияния на стратегические решения», — отмечает Полина Кухто, проектный менеджер консалтинговой компании «The Edgers».

«Отсутствие прямого диалога CEO-CISO порождает множество серых зон в построении кибербезопасности организации, приводит к ошибкам и неверной оценке последствий потенциальных киберинцидентов. Это происходит поскольку CISO могут принимать решения в отрыве от общей стратегии компании, а CEO не закладывать ИБ-риски в план развития бизнеса. В условиях роста целевых атак профессиональных киберпреступников на российские компании такое расхождение может привести к критическим последствиям для компании», — комментирует Анастасия Федорова, руководитель образовательных программ «Positive Education, Positive Technologies».

Исследование фиксирует расхождения в оценке роли. CTO и CIO значительно чаще воспринимают CISO как сильного партнёра: 80% технических руководителей дают высокую оценку функции. Таким образом, CISO встроен в технологический контур, но не встроен в управленческий.

Ключевая причина — различие в языке. CISO оперируют техническими метриками, тогда как топ-менеджмент принимает решения через оценку финансовых последствий и влияние на бизнес. Это ограничивает участие функции ИБ в принятии стратегических решений.

Дополнительный барьер — образование: существующие программы не формируют понимание роли CISO как бизнес-партнера и не закрывают потребность рынка.

По выводам авторов исследования, компании будут всё чаще нуждаться в CISO нового типа — управленце, способном связывать киберриски с экономикой бизнеса и участвовать в стратегических решениях.

Ключевые выводы по итогам глубинного исследования «The Edgers, Positive Technologies» и «SuperJob»:
— более 40% CISO оценивают свой уровень профессиональной зрелости на уровне 8—9 баллов из 10;
— только 25% CEO дают высокую оценку функции CISO;
— 37,5% CEO не взаимодействуют с CISO напрямую;
— 62,5% не видят его участником стратегии бизнеса;
— 80% CTO/CIO считают CISO сильным партнером;
— рынок образования не формирует нужный профиль;
— медианная зарплата CISO — 500 тысяч рублей в Москве и 470 тысяч рублей в Санкт-Петербурге.
По данным «Positive Technologies», с середины 2024 года по сентябрь 2025 года на Россию приходилось 14—16% всех успешных кибератак в мире. В 2025 году их число выросло на 20—45%, а по итогам 2026-го прогнозируется дальнейший рост на 30—35%.