📖 Реальные цифры рынка
По данным hh.ru за Q4 2024: типичный Junior Pentester в Москве получает 80-180k ₽/мес стартовая ставка. Mid (2-3 года опыта) — 200-400k ₽. Senior (5+ лет, OSCP) — 400-700k ₽.
По данным Positive Technologies (отчёт «Кадры в кибербезопасности» 2024): дефицит специалистов в РФ ~15 000 человек. Junior'ов берут активно даже без диплома — портфолио на HackTheBox / Standoff365 ценится выше корочки.
В мире — десятки тысяч аналогичных позиций. Один из самых известных публичных примеров — Santiago Lopez (Argentina), первый bug bounty миллионер: к 19 годам заработал $1M на HackerOne без диплома (см. Wikipedia).
🗺️ Путь карьеры
0
Newbie → Этот курс
Где ты сейчас. Прошёл 1-3 модуля. Понимаешь основы. Зарплата: 0.
Цель: закончить курс, решить 20 машин на HTB / нашей платформе.
1
Junior Pentester / Security Analyst
Когда: 6-12 месяцев активной практики после курса.
Что делаешь: помогаешь senior на pentest. Запускаешь сканеры (nmap, Burp). Пишешь черновики reports. Учишься.
Зарплата в России: 80-180k ₽/мес (Москва, Positive Technologies, Group-IB, Bi.Zone, Kaspersky).
Зарплата в Европе: €30-50k/год (Германия, Польша, Чехия).
Зарплата в США (remote): $50-80k/год.
Bug bounty бонус: $200-2000/месяц если умеешь.
2
Mid Pentester
Когда: 2-3 года опыта + 1-2 сертификата (OSCP, CRTO).
Что делаешь: ведёшь pentest сам с junior помощником. Находишь сложные дыры (chain exploitation, AD attacks). Презентуешь клиенту.
Зарплата в России: 200-400k ₽/мес.
Зарплата в Европе: €50-80k/год.
Зарплата в США: $80-130k/год.
Bug bounty: $1000-10,000/месяц у активных.
3
Senior Pentester / Red Team
Когда: 4-6 лет + сертификаты (OSCP, OSEP, OSWE, GPEN).
Что делаешь: ведёшь сложные проекты. Phishing-кампании. Red team операции (имитация APT-атаки на компанию). Менторишь junior'ов.
Зарплата в России: 400-700k ₽/мес.
Зарплата в Европе: €80-130k/год.
Зарплата в США: $130-200k/год.
Бонусы: акции компании, опционы, performance bonuses.
4
Principal Security Engineer / CISO
Когда: 8+ лет в индустрии.
Что делаешь: ведёшь security стратегию компании. Управляешь командой 5-50 человек. Меньше технической работы, больше архитектуры и людей.
Зарплата в США / FAANG: $200-500k/год + RSU. По данным levels.fyi на 2024: Principal Security Engineer в Apple = $400-700k total comp (base + stock + bonus).
В России: по данным hh.ru / RBC за 2024: CISO средней компании = 800k-2 млн ₽/мес.
🎯 4 разных карьерных пути
1. Корпоративный пентестер
Где: Pentest-компании (Positive Tech, Group-IB, Bi.Zone, NCC Group, Bishop Fox).
Плюсы: стабильная зарплата, обучение, разные клиенты, командировки (часто оплачиваемые).
Минусы: много рутины (отчёты), время лимитировано (1-2 недели на проект).
Лучше для: кто любит структуру, обучение, путешествия.
2. In-house security в крупной компании
Где: Яндекс, VK, Сбер, Тинькофф, Google, Meta.
Плюсы: огромные зарплаты (особенно FAANG), глубокое погружение в одну инфраструктуру, статус.
Минусы: меньше разнообразия, бюрократия, политика.
Лучше для: кто любит глубину, корпоративные процессы.
3. Bug bounty охотник (фрилансер)
Где: HackerOne, Bugcrowd, Intigriti, частные программы.
Плюсы: полная свобода (работаешь когда хочешь), потолок зарплаты неограничен (топ-охотники по данным HackerOne Hacker-Powered Security Report 2024 зарабатывают $300-500k/год+), нет шефа.
Минусы: нет стабильного дохода, нужно быть очень хорошим, конкуренция огромная.
Лучше для: опытных хакеров (3+ года) которые хотят свободы.
Реальные примеры (публичные профили HackerOne): Santiago Lopez (Argentina, @try_to_hack) — первый bug bounty миллионер, $1M к 19 годам (Wikipedia). Mark Litchfield, Frans Rosén, Yassine Aboukir — все входят в публичный HackerOne All-Time Leaderboard с lifetime earnings $500k+.
4. Security consultant / собственная компания
Где: своя фирма / freelance.
Плюсы: ставка $100-500/час, выбираешь клиентов, scale.
Минусы: sales, бизнес, юридическая ответственность.
Лучше для: 5+ лет опыта + предпринимательский склад.
📊 Сравнение с обычными IT-зарплатами (Россия)
| Профессия | Junior | Mid | Senior |
|---|
| Pentester (security) | 120-180k ₽ | 250-400k ₽ | 500-700k ₽ |
| Backend developer | 100-150k ₽ | 200-300k ₽ | 400-600k ₽ |
| Frontend developer | 80-130k ₽ | 180-260k ₽ | 350-500k ₽ |
| QA Engineer | 60-100k ₽ | 150-200k ₽ | 300-400k ₽ |
| DevOps | 120-170k ₽ | 220-320k ₽ | 450-650k ₽ |
Источник: hh.ru, ZP Russia 2024. Pentester платят больше на каждом уровне на 15-30%. Причина: дефицит специалистов. По данным Positive Tech в России не хватает ~15k pentester'ов.
💼 Какие сертификаты ценятся (по порядку приоритета)
🥇 OSCP (Offensive Security Certified Professional)
Цена: $1599 (курс + экзамен). Сложность: высокая. Экзамен: 24 часа взлома сети + 24 часа на отчёт.
После сдачи: +50-100% к зарплате. Это «бакалавр» хакерского мира. Очень уважают.
🥈 CRTO (Certified Red Team Operator)
Цена: $399. Сложность: высокая. Фокус: Active Directory + post-exploitation.
После сдачи: доступ к red team позициям, +20-50% к зарплате.
🥉 CPTS (Certified Penetration Testing Specialist) от HackTheBox
Цена: $490. Альтернатива OSCP, более современная (2022).
После сдачи: аналогично OSCP, набирает популярность.
Сертификаты после 6-12 месяцев самостоятельной практики. Не нужно бросать всё и идти сразу на OSCP — провалишь, потратишь $1600 зря.
🤖 Vibe-task: спроси Claude
Открой Claude и спроси:
Я заканчиваю курс "Хакинг с нуля". Через год хочу устроиться
Junior Pentester в Москве. Составь roadmap на 12 месяцев:
- Что изучать каждый месяц (порядок тем)
- Сколько часов в неделю
- Сколько HTB / TryHackMe machines решить
- Когда подавать первое CV и куда конкретно
- Какие 3 проекта добавить в GitHub чтобы рекрутер увидел навыки
Сохрани этот план. Будем сверяться через год.
💡 Главный вывод модуля 1
Хакинг — это НЕ хобби. Это профессия с понятной картой роста и реальными деньгами.
Junior $180k ₽ → Senior $700k ₽ за 4-6 лет. Bug bounty охотники зарабатывают $300k+/год. И всё это легально. Курс — твой старт. Дальше — практика и упорство.
🎬 Модуль 1 завершён. Что дальше
Модуль 2: Linux для хакера. Устанавливаем Kali Linux в VirtualBox (30 минут). Первые команды в терминале. Claude помогает. На выходе — твой первый хакерский «рабочий стол».