Руководитель группы исследований и разработки ИИ «Лаборатории Касперского» Владислав Тушканов в феврале 2026 года описал парадокс: несмотря на массовое внедрение ИИ в продукты защиты, спрос на специалистов по кибербезопасности не снижается, а растёт. Рынок не успевает за этим спросом. ИИ забирает часть рутины, но потребность в людях не исчезает — она меняется.
В России этот парадокс накладывается на импортозамещение, регуляторное давление и дефицит кадров, который не снимает ни одна нейросеть.
50 тысяч специалистов, которых нет
Нехватка кадров в сфере информационной безопасности в России достигает 45% от числа занятых — примерно 50 тысяч человек. По данным совместного исследования hh.ru и ГК «Солар», спрос на ИБ-специалистов за 2024 год вырос на 18%. SuperJob показывает ещё более резкий рост: число открытых вакансий увеличилось на 50% при одновременном сокращении числа резюме.
Дефицит неравномерный. Больше всего он ощущается в госсекторе (46% вакансий остаются открытыми), телекоме и медиа (39%), розничной торговле (37%) и здравоохранении (37%). По данным «Ведомостей», на одну позицию в ИБ сегодня приходится семь кандидатов — в 2021 году было три. Кандидатов больше, но закрывать вакансии не стало легче. Директор по IT и кибербезопасности hh.ru Татьяна Фомина объясняет: мешает разрыв между ожидаемыми и реальными навыками.
Зарплаты подтверждают дефицит. Средний доход ИБ-специалиста вырос с 71 800 рублей в 2022 году до 91 300 рублей в 2024-м. Для руководителей направлений кибербезопасности потолок достигает миллиона рублей в месяц.
Автопилот для SOC: как российские разработчики закрывают кадровый дефицит
Ответ на нехватку кадров — автоматизация. И российские разработчики продвинулись в этом направлении заметно.
Наиболее показательный пример, это MaxPatrol O2 от Positive Technologies. Компания называет его «автопилотом для кибербезопасности»: система обнаруживает злоумышленника в инфраструктуре, выстраивает цепочку его действий, оценивает опасность и запускает сценарий реагирования — менее чем за минуту. В 2024 году продукт MaxPatrol VM получил отметку в реестре отечественного ПО, подтверждающую применение технологий ИИ. Модуль BAD (Behavioral Anomaly Detection — обнаружение аномалий поведения) в MaxPatrol SIEM на основе машинного обучения присваивает уровень риска событиям ИБ и выявляет целенаправленные атаки, включая эксплуатацию уязвимостей нулевого дня.
Цифры эффективности (данные разработчиков):
- Эффективность аналитиков SOC повышается в 30–50 раз.
- Обработка инцидентов в инфраструктуре на 2000 узлов занимает 30–60 минут в неделю (вместо 64 человеко-часов вручную).
- Охват оповещений достигает 100% (вместо выборочной проверки).
Руководитель направления автоматизации ИБ Positive Technologies Михаил Стюгин формулирует цель прямо: метапродукты с применением машинного обучения приближают отрасль к созданию полностью автономных центров мониторинга с минимальным вовлечением сотрудников ИБ.
«Лаборатория Касперского» приводит похожие данные: у компаний, внедривших XDR и SOAR, среднее время реагирования на инцидент (MTTR) снижается на 21%, а объединение инструментов даёт экономию до 20% времени аналитиков.
При этом ни один из российских производителей не заявляет, что ИИ заменяет людей. Формулировки осторожны: «усиливает», «снижает нагрузку», «высвобождает ресурсы». Falcongaze встраивает нейросети в DLP-систему SecureTower, но подчёркивает: машинное обучение здесь — инструмент ускорения, а не замена аналитика.
ГК «Солар» делает ставку на подготовку кадров: в 2025 году компания запустила программы обучения специалистов SOC и планирует подготовить около 1 000 человек за год — от онлайн-курсов до ролевых симуляций на базе реальных инцидентов.
ИИ на стороне атакующих: почему автоматизация это вынужденная мера
По данным Positive Technologies, в 2025 году почти половина всех атак (47%) привела к нарушению основной деятельности компаний — на 16 процентных пунктов больше, чем годом ранее. В 2024 году в России зарегистрировано более 640 тысяч кибератак, их число растёт на 5–15% ежеквартально.
Positive Technologies назвала ИИ главным усилителем киберугроз в 2026 году: «Автоматизация атак, доступность ИИ и развитие рынка хакерских услуг стирают границы между массовыми и целевыми кампаниями. Теперь даже неопытные злоумышленники могут проводить сложные атаки».
На стороне нападения ИИ уже создаёт конкретные проблемы. По данным Falcongaze, вредоносное ПО на базе ИИ обладает полиморфизмом (автоматически переписывает собственный код при каждом заражении) и с высокой точностью копирует поведение доверенных приложений. Количество атак с использованием дипфейков выросло более чем на 550% за пять лет.
Павел Карасев, основатель проекта «ИБГрамотность.рф», указывает на ещё один способ: злоумышленники «отравляют» обучающие данные защитных систем. Если специалист не заметит подмену, модель будет игнорировать реальные угрозы. Генеративные модели уже позволяют создавать фишинговые письма, ранее доступные только профессиональным группировкам.
Три фактора, которые отличают Россию
Российский рынок ИБ работает в условиях, которых нет у западных коллег, — и это прямо влияет на баланс «ИИ против человека». Импортозамещение под нагрузкой. Доля отечественных производителей на рынке средств защиты достигла 90%, а по прогнозу ЦСР к 2028 году вырастет до 96%. Компании одновременно замещают ушедшие зарубежные продукты и внедряют ИИ — это двойная нагрузка на ИБ-команды, а не их сокращение.
- Регуляторное давление. Требования ФСТЭК и ФСБ, 187-ФЗ о безопасности критической информационной инфраструктуры, оборотные штрафы за утечки персональных данных — всё это требует специалистов для аудитов, настройки и контроля соответствия. ИИ может автоматизировать мониторинг, но ответственность перед регулятором несёт человек.
- Ограниченный доступ к ИИ-ресурсам. На конференции AI Journey в ноябре 2025 года прозвучала идея об ограничении доступа к зарубежным моделям и обучающим данным. По информации Habr, в 2026 году возможна блокировка Hugging Face, Kaggle и других платформ. Кроме того, для обучения эффективных моделей нужны массивы данных об атаках, которыми компании не спешат делиться.
Какие роли уходят и какие появляются
Ситуация в России принципиально отличается от западной, где CrowdStrike сокращает 500 человек, ссылаясь на ИИ. Российские ИБ-компании не сокращают, а нанимают — и не могут закрыть вакансии.
По данным tproger.ru, работодатели концентрируют инвестиции на специалистах уровня Middle и Senior. Зарплаты новичков перестали расти двузначными темпами, зато выросла оплата труда квалифицированных экспертов. Компаниям нужны не специалисты широкого профиля, а люди, способные решать конкретные задачи.
- Что уходит. Ручная сортировка оповещений SOC, первичная классификация инцидентов по шаблонам, рутинный разбор логов. Автопилоты вроде MaxPatrol O2 делают это быстрее и точнее.
- Что растёт. Безопасность ИИ-систем — защита моделей от отравления данных и вредоносных запросов к языковым моделям. Настройка и контроль автоматизированных систем защиты. Пентесты и оценка защищённости. DevSecOps. Реагирование на инциденты и расследования.
Спрос на специалистов по безопасности ИИ, по данным ComNews, вырос в четыре раза. Руководитель группы ИИ-исследований «Лаборатории Касперского» Максим Бузинов прогнозирует рост спроса на LLM Security как услугу и появление соответствующих учебных программ. Наибольший дефицит — среди пентестеров. По данным исследования «Кибериспытание» и hh.ru, ведущие «белые хакеры» в 2025 году получали вознаграждения в 4–5,6 миллиона рублей за проект.
Не замена, а перестройка
ИИ не заменит специалистов по кибербезопасности в России в 2026 году. Для этого нет ни технических предпосылок, ни рыночных условий. Дефицит в 50 тысяч человек не закрывается автоматизацией — он ею смягчается.
Но структура профессии уже меняется. Рутинные задачи мониторинга уходят к автопилотам. Аналитик, который умеет только разбирать оповещения по инструкции, через два-три года столкнётся с падением спроса. Аналитик, который умеет настраивать ИИ-инструменты, проверять их выводы и находить угрозы, которые автоматика пропустила, — останется в дефиците.
Как сформулировал Тушканов: главный вызов — не замена человека машиной, а поиск достаточного количества специалистов, способных работать в тандеме с этими машинами.
