Почему найм программиста — это зона риска для бизнеса
Найм IT-специалиста — одна из наиболее уязвимых точек корпоративной безопасности. По данным Positive Technologies (2025), треть инцидентов с утечкой данных связаны с действиями нынешних или бывших сотрудников IT-подразделений. При этом программист по роду деятельности имеет доступ к исходному коду, базам данных, серверной инфраструктуре и платёжным системам.
Проблема усугубляется тем, что рынок найма IT-специалистов непрозрачен: ценообразование размыто, форматы работы разнообразны, а проверка квалификации через технические интервью не выявляет намерений и лояльности исполнителя.
Три ключевых риска при найме программиста:
- Финансовый: завышение стоимости работ, скрытые часы, оплата несуществующих задач
- Информационный: утечка коммерческой тайны, кражи исходного кода, доступ к клиентским данным
- Операционный: зависимость от одного исполнителя, скрытые закладки в коде, саботаж при увольнении
Рыночные ставки: что считается нормой, а что — признаком манипуляции
Понимание рыночных цен — базовый инструмент контроля для службы безопасности и финансового департамента. Если счёт не поддаётся проверке — нет детализации задач, нет тайм-трекера, нет привязки суммы к конкретному результату — это уже непрозрачная схема оплаты и первый маркер потенциального мошенничества.
Фриланс (почасовая оплата, Россия, 2025)
Junior (опыт 0–2 года): 500–1 500 руб./час.
Начинающий специалист выполняет простые задачи под руководством: вёрстка страниц, мелкие правки на сайте, несложные скрипты. Работа требует постоянного контроля — самостоятельно принимать архитектурные решения он не готов. Ставка невысокая, но время проверки и исправления ошибок фактически увеличивает реальную стоимость.
Middle (опыт 2–5 лет): 1 500–5 000 руб./час.
Самостоятельный разработчик, уверенно решающий типовые задачи: разработка отдельных модулей, API-интеграции, настройка и доработка 1С, работа с базами данных. Основной рабочий «конь» большинства проектов. Средняя ставка по рынку СПб на Profi.ru — около 1 800 руб./час, минимальная — от 1 000 руб./час.
Senior (опыт 5+ лет): 5 000–20 000+ руб./час.
Эксперт, который видит всю картину проекта: проектирует архитектуру систем, работает с highload, внедряет AI/ML-решения, устраняет критические уязвимости. Дорого, но оправданно там, где цена ошибки высока.
Региональные поправки. Ставки в Москве и Санкт-Петербурге в среднем на 20–30% выше, чем в регионах. Срочные задачи, требующие переработок или сдвига других проектов, обходятся дороже на 50–100% — это рыночная норма, а не злоупотребление.
Штатный сотрудник (зарплата в месяц)
Junior в регионах: оклад 65 000–90 000 руб./мес., реальная стоимость для компании — 85 000–135 000 руб./мес.
К окладу добавляются страховые взносы (около 30%), расходы на оборудование, лицензии на рабочие инструменты, оплата отпуска и больничных. Итоговый overhead составляет 30–50% сверх оклада — это важно учитывать при сравнении стоимости штатного сотрудника с фрилансером.
Middle в Санкт-Петербурге: оклад 150 000–212 000 руб./мес., реальная стоимость — 195 000–275 000 руб./мес.
По данным hh.ru на 2025 год, средняя зарплата backend-разработчика уровня Middle в СПб составляет около 212 000 руб. — и продолжает расти. При этом компания фактически платит на 30–50% больше с учётом всех отчислений.
Senior в Москве: оклад 250 000–350 000+ руб./мес., реальная стоимость — от 325 000 руб./мес.
Высококвалифицированные специалисты в столице — дефицитный ресурс. Для позиций с доступом к критической инфраструктуре финансовые вложения в найм оправданы, но именно эта категория сотрудников наиболее привлекательна для конкурентной разведки и вербовки.
Проектная разработка (фикс за результат)
При фиксированной стоимости исполнитель берёт на себя обязательство сдать конкретный результат за оговорённую сумму. Это удобнее для бюджетирования, но создаёт другой риск: экономя время, разработчик может срезать углы в безопасности и качестве кода.
Лендинг или корпоративный сайт: 5 000–150 000 руб. Разброс большой — зависит от сложности дизайна, интеграций и объёма контента. Предложения дешевле 15 000 руб. за полноценный корпоративный сайт — повод насторожиться: либо шаблонная поделка, либо исполнитель компенсирует низкую цену иначе.
Интернет-магазин: 150 000–2 000 000 руб. Нижняя граница — простые магазины на готовых платформах (Tilda, Shopify, 1С-Битрикс). Верхняя — кастомные решения с интеграцией в ERP, складскую систему и платёжный процессинг.
Мобильное приложение: от 500 000 руб. (простое) до 3 000 000+ руб. (сложное, iOS/Android). Приложения — зона повышенного риска с точки зрения ИБ: они работают с устройствами пользователей, хранят токены авторизации и персональные данные. Экономия на разработке здесь особенно опасна.
Чат-бот: 3 000–50 000 руб. Простой бот для типовых ответов — ближе к нижней границе. Бот с интеграцией в CRM, доступом к клиентской базе и обработкой заказов — ближе к верхней. Любой бот с доступом к корпоративным данным требует отдельного аудита безопасности.
Доработка 1С: от 2 500 руб./час. 1С-программисты — отдельная категория с прямым доступом к финансовым и операционным данным компании. Это одна из наиболее чувствительных позиций с точки зрения СБ.
ERP-система под ключ: от 3 000 000 руб. Крупные проекты с множеством исполнителей, длительными сроками и глубоким погружением в бизнес-процессы. Именно здесь чаще всего встречаются схемы с субподрядом, завышением часов и намеренным усложнением кода для создания зависимости.
Факторы, которые влияют на цену (и как их используют для манипуляций)
Легитимные факторы повышения стоимости
1. Технологический стек — разработка на редких платформах (SAP, Erlang, специализированные промышленные системы) стоит дороже. Норма: наценка 20–50%.
2. Уровень специалиста — Senior видит всю архитектуру проекта, снижает технический долг, проектирует масштабируемые системы. Наценка обоснована.
3. Срочность — жёсткие дедлайны с переработками. Наценка 50–100% — рыночная норма.
4. Инновационность задачи — R&D-разработка, нестандартные алгоритмы, отсутствие готовых решений требуют исследовательской работы.
5. Долгосрочное сотрудничество — при проектах от 6 месяцев исполнители обычно предлагают скидку 10–20%.
Признаки манипуляций с ценообразованием
⚠️ Красные флаги, на которые должна реагировать СБ:
• Почасовая оплата без трекинга времени — нет тайм-трекера, нет отчётов по задачам, счета выставляются «по ощущениям»
• Завышение уровня специалиста — junior-задача (правки на сайте) выставляется как senior-работа
• Искусственное затягивание сроков — простая интеграция «тянется» 3 месяца вместо 2 недель
• Вендорный lock-in — код написан так, что без этого же разработчика его невозможно поддерживать
• Дробление счетов — крупный проект разбивается на десятки мелких платежей ниже порога согласования
Форматы найма: риски каждого
1. Фриланс (разовые услуги)
Типичные платформы: FL.ru, Kwork, Workzilla, Profi.ru, Freelancehunt
Риски:
- Нет возможности проверить реальный опыт (портфолио легко фальсифицируется)
- Анонимность исполнителя затрудняет юридическое преследование при инцидентах
- Нет NDA-культуры — данные могут использоваться в других проектах
- Доступ к боевым системам без корпоративного контроля
Рекомендации СБ:
- Работать только через юридическое лицо с договором
- NDA обязателен до начала работ, не после
- Создавать отдельное рабочее окружение без доступа к production
- Ротировать учётные данные после окончания работ
2. Рекрутинговые агентства
Комиссия: 10–30% от годовой зарплаты специалиста
Риски:
- Агентство не несёт ответственности за действия кандидата после найма
- Возможен сговор агентства с кандидатом для завышения ставок
- Референс-проверки могут проводиться формально
Рекомендации СБ:
- Требовать независимую проверку референсов (не только через агентство)
- Проводить полиграф или психологическое тестирование для позиций с критическим доступом
- Фиксировать в договоре с агентством ответственность за предоставление заведомо ложной информации о кандидате
3. Штатный найм
Риски:
- Длительный испытательный срок создаёт «окно уязвимости» — сотрудник уже имеет доступ, но лояльность не проверена
- Уволенный сотрудник может сохранить активные учётные данные
- Moonlighting (параллельная работа на конкурента) сложно обнаружить
- Долгий поиск сотрудника увеличивает стоимость найма
Рекомендации СБ:
- Принцип минимальных привилегий: доступ только к тому, что нужно для конкретных задач
- Аудит активных учётных записей при увольнении — не позже дня расторжения договора
- DLP-системы для мониторинга исходящего трафика с рабочих машин
4. IT-студии и команды
Типичные цены: 2 250–6 000+ руб./час (почасово), 150 000–2 000 000 руб. (фикс)
Риски:
- Субподряд без уведомления заказчика — реальный исполнитель неизвестен
- Интеллектуальная собственность на код может оставаться у студии
- Доступ к системам сохраняется у нескольких сотрудников студии, не только у менеджера проекта
Рекомендации СБ:
- В договоре фиксировать запрет субподряда или обязательное согласование субподрядчиков
- Акт передачи исходного кода с подтверждением полноты — обязательная часть закрытия проекта
- Отзыв всех доступов сразу после подписания акта сдачи-приёмки
Пошаговый регламент для СБ при найме программиста
1. До найма: верификация исполнителя
- Проверка паспортных данных и ИНН (физлицо или ИП)
- Поиск по базам судебных решений (ГАС «Правосудие»)
- Проверка в реестре дисквалифицированных лиц ФНС
- Запрос референсов у 2–3 предыдущих клиентов с прямым звонком (не по контактам из резюме)
2. При оформлении: документальная защита
- Договор на оказание услуг или трудовой договор — не устные договорённости
- NDA с указанием конкретного перечня конфиденциальной информации
- Соглашение о принадлежности интеллектуальной собственности заказчику
- Ответственность за нарушение (штраф, не менее 3 окладов)
3. В процессе работы: контроль доступа
- Принцип минимальных привилегий: каждый получает только необходимый доступ
- Отдельная среда разработки, изолированная от production
- Логирование всех действий в системах (git-коммиты, SQL-запросы, скачивание файлов)
- Еженедельная верификация прогресса через демо или отчёт по задачам
4. Финансовый контроль
- При почасовой оплате — обязательный тайм-трекер (Toggl, Jira, Redmine) с детализацией задач
- Сверка счетов с фактическими задачами в трекере
- Независимая техническая экспертиза при суммах свыше 500 000 руб.
- Поэтапная оплата, привязанная к конкретным результатам (не к времени)
5. При завершении работ: закрытие доступов
- Аудит и отзыв всех учётных данных в день последнего рабочего дня
- Смена паролей всех систем, к которым был доступ
- Получение и проверка исходного кода (полнота, отсутствие скрытых зависимостей)
- Подписание акта передачи с фиксацией отсутствия претензий по IP
Кейс: год задержки, миллионы потрачены, подрядчик юридически чист
Ситуация. К нам обратились для оценки долгостроя: проект по разработке корпоративной системы опаздывал со сдачей уже на год. Формат работы — аренда персонала у подрядчика с почасовой оплатой. С момента старта от первоначального ТЗ осталась только идея: документ переписывался столько раз, что актуального технического задания фактически не существовало. По ходу работ сменился технологический стек. На проекте сменилось несколько десятков разработчиков — текучка была постоянной.
Схема, которая не является мошенничеством формально. Подрядчик предоставлял персонал в аренду — и именно это стало ключевой проблемой. Он не брал на себя обязательство сдать продукт: он обязался поставлять людей и отчитываться за отработанные часы. Что и делал исправно:
• Время фиксировалось на стороне подрядчика, не заказчика — у заказчика не было независимого инструмента верификации
• Ежемесячные отчёты об отработанных часах сдавались в срок
• Задачи формально выполнялись и закрывались в трекере
• Договор не содержал ни конечных сроков проекта, ни критериев готовности продукта — это была аренда персонала, а не проектная разработка
При этом проект не двигался: каждый новый разработчик тратил недели на погружение в контекст, после чего уходил, и цикл начинался заново. Постоянная смена людей при отсутствии актуальной документации означала, что знания о системе не накапливались — они терялись вместе с каждым уволившимся.
Что показал аудит. При техническом разборе выяснилось: кодовая база содержала взаимоисключающие архитектурные решения от разных команд, которые никто не согласовывал. Документации на фактическую архитектуру не было. Часть модулей была переписана трижды. Оценить реальную готовность продукта было невозможно, потому что отсутствовало актуальное ТЗ — не с чем сравнивать.
Потери.Более 14 000 000 руб. выплачено подрядчику за год. Продукт не введён в эксплуатацию. Восстановление документации и рефакторинг кодовой базы до работоспособного состояния потребовали ещё 6–8 месяцев работы новой команды.
Подрядчик не нарушил ни одного пункта договора.
Что не было сделано — и что должна контролировать СБ совместно с техническим руководством:
- Не было независимого тайм-трекера на стороне заказчика — время принималось на веру (у подрядчика был таймтрекер... ему же и доверяли...)
- Не был зафиксирован критерий завершения проекта: без него невозможно констатировать ни прогресс, ни его отсутствие
- Смена исполнителей не требовала согласования заказчика — подрядчик мог ротировать людей без уведомления (к сожалению, это прямо норма жизни...)
- Не было требования к документированию: каждый новый разработчик начинал с нуля
- Договор аренды персонала использовался там, где нужен был договор на результат с этапами и приёмкой
Я дам комментарий. Подрядчик был выбран по принципу, ну они же нам 1С делают, пусть и это сделают то же. Нас же по 1С все устраивает. Ну не работает это так!
*Отдельно уточню, что работа вообще без ТЗ, является нормой, когда прописывается этапный результат. Можно выдавать результат и без ТЗ и юридически это фиксировать.
Где искать и как проверять: памятка для СБ
Getmatch — основные площадки для найма в штат, уровень Middle и Senior. Риск умеренный: кандидат идентифицирован, есть резюме с историей работы. Обязательно: прямой звонок на предыдущие места работы (не по контактам из резюме), тестовое задание (зависит от рынка, могут отказать или потребовать оплату), проверка.
Profi.ru и FL.ru — фриланс-платформы для задач уровня Junior и Middle. Риск высокий: исполнитель может быть анонимным, портфолио — фальсифицированным, NDA-культуры нет. Обязательно: договор с физлицом или ИП, NDA до старта работ, изолированная рабочая среда без доступа к production, ротация паролей после завершения.
Kwork и Workzilla — площадки для мелких задач, преимущественно Junior-уровень. Риск высокий из-за анонимности и отсутствия юридической ответственности исполнителей. Рекомендуется: минимальный доступ к системам, оплата только по факту проверенного результата, никаких реальных учётных данных.
Рекрутинговые агентства — подходят для любого уровня, особенно при срочном закрытии вакансий. Риск умеренный: агентство проводит первичный отбор, но не несёт ответственности за действия кандидата после найма. Обязательно: независимая проверка референсов, договор с агентством с фиксацией ответственности за недостоверные сведения.
GitHub и LinkedIn — поиск Senior-специалистов с редкими стеками. Риск относительно низкий: открытый профиль с историей публичной активности сложнее фальсифицировать (но это просто вопрос времени, если вести пару десятков профилей). Обязательно: верификация аккаунта, изучение реальных коммитов и проектов, проверка соответствия заявленного опыта реальным работам.
Итог: контрольный список для службы безопасности
Перед началом работ:
- [ ] Договор подписан (не устная договорённость)
- [ ] NDA с перечнем защищаемой информации
- [ ] Права на интеллектуальную собственность закреплены за заказчиком
- [ ] Доступ выдан по принципу минимальных привилегий
- [ ] Рабочая среда изолирована от production
В процессе:
- [ ] Тайм-трекер ведётся и верифицируется
- [ ] Логирование действий включено
- [ ] Еженедельная сверка прогресса и счетов
- [ ] Мониторинг исходящего трафика (DLP)
По завершении:
- [ ] Все учётные данные отозваны в день окончания работ
- [ ] Исходный код получен и проверен на полноту
- [ ] Акт передачи подписан
- [ ] Пароли всех систем изменены
Материал подготовлен для внутреннего использования службами безопасности. Содержит рыночные данные по состоянию на 2025 год.
P.S. От лица площадки СБПроБизнес (https://t.me/sbprobiz) , выражаем огромную благодарность Алексею Меркулову (https://t.me/fobscraft), за его исследовательскую работу и полезные советы🤝 Этот практический материал является эксклюзивом!
На всякий случай сообщаем - мы есть в MAX🚀
Приходите и подписывайтесь там👇https://max.ru/join/179VrFstADYNL0QCwr9Lb633-PXTPLu50MyuYuw2VG8
Мы есть в ВК 👇
https://vk.com/sbprobiz