В этом году несколько крупных корпораций объявили о массовых сокращениях IT-отделов. В одной только России за первый квартал 2026 года было уволено более 14 000 специалистов в сфере информационной безопасности. Звучит как новость о больших компаниях. Но я думаю об этом каждый раз, когда захожу на сайт, который перестал обновляться, или когда слышу от клиента: «Нам не нужен отдельный безопасник, всё и так работает».

Что происходит на самом деле

Когда крупная компания сокращает штат, страдает не толькоHR-отделы — страдает инфраструктура. Веб-приложения остаются без обновлений безопасности. SSL-сертификаты не продлеваются вовремя. Дыры в коде не закрываются, потому что тот, кто их видел, уже уволен.

Я работала с проектами, где после увольнения команды техподдержки сайт не получал патчей безопасности по eight месяцев. Восемь месяцев. За это время выходит несколько critical-уязвимостей, известных всему интернету. Но некому было их закрыть — потому что «это же не критично, сайт работает».

Почему это касается маленьких

Малый бизнес часто питает иллюзию: мы слишком маленькие, чтобы нас атаковали. На самом деле малые компании — идеальная мишень. У них нет ресурсов на выделенную безопасность, но есть данные клиентов, доступы к платёжным системам, базы контактов.

Хакеры знают: проще всего зайти через маленький бизнес, который связан с большим. Ваш поставщик, ваш подрядчик, ваш партнёр — любая цепочка поставок становится точкой входа. Когда увольняют безопасников в крупной компании, они часто переходят работать в стартапы и малый бизнес. Или уходят из профессии. В любом случае — экспертиза уходит с рынка.

Что я наблюдаю прямо сейчас

После волны сокращений 2025–2026 годов я вижу три паттерна:

  • Приложения работают на устаревшем стеке. Обновления откладываются «до лучших времён», которые не наступают.
  • Рост аутсорсинга безопасности. Компании, которые не могут нанять штатного специалиста, отдают безопасность на аутсорс. Качество не всегда лучше, но хотя бы есть кто-то.
  • Увеличение числа утечек. По данным отраслевых отчётов, 43% утечек данных в 2026 году произошли через подрядчиков и мелких поставщиков крупных компаний.

Как защитить себя, когда рынок нестабилен

Я не хочу заканчивать на тревожной ноте. Есть практические шаги, которые можно предпринять уже сейчас:

1. Аудит ваших зависимостей. Используете ли вы сторонние библиотеки, SDK, интеграции? Кто их обновляет? Если ответ «никто» — у вас проблема.

2. Патч-менеджмент как привычка. Не ждите, пока что-то сломается. Раз в месяц — проверяйте обновления для всего, что используете. Это два часа в месяц, которые могут спасти от серьёзных последствий.

3. Резервный план для критичных функций. Если ваш сайт — основной канал продаж, что произойдёт, если его взломают завтра? Есть ли у вас план восстановления?

Мой вывод

Реструктуризация — это реальность рынка. Но её последствия для безопасности — это не только проблема HR-отдела. Это проблема инженеров, предпринимателей, всех, кто строит что-то в цифровом мире. Когда экспертиза уходит с рынка, пустоту заполняют либо автоматизация, либо уязвимости. Я предпочитаю понимать, что происходит, и действовать осознанно — до того, как станет слишком поздно.