Positive Technologies: как зарабатывать на том, что публично взламываешь сам себя

Представьте бизнес, который выходит на сцену перед тысячами людей и говорит: вот наши серверы, вот наши деньги на счетах, вот наш собственный продукт. Попробуйте всё это взломать. Получится перевести деньги или подсунуть вредоносный код в наш софт — заплатим миллионы. Звучит как способ разориться. Для Positive Technologies это способ зарабатывать. Компания годами публично подставляется под удар, и именно из этой демонстративной уязвимости вырос крупнейший в России публичный бизнес по кибербезопасности.

Логика тут вывернутая, и в этом вся соль. Обычная охранная компания продаёт спокойствие: купите наш замок, спите крепко. Positive Technologies продаёт обратное, тревогу с доказательством. Она при свидетелях показывает, что любую защиту можно проломить, и тут же предлагает свою как ту, что выдержала проверку боем. Я разбираю много моделей, где маркетинг и продукт живут отдельно. Здесь они срослись в одно: акт взлома и есть реклама защиты. Давайте разложим, как это устроено и сколько приносит.

Что это за компания

Positive Technologies (юридически головная структура — ПАО «Группа Позитив», тикер на Московской бирже POSI) — российский разработчик решений по информационной безопасности. Это софт, который ищет уязвимости, ловит атаки и помогает компаниям и госорганам понимать, что у них происходит в сети. Ключевые продукты: MaxPatrol SIEM (система мониторинга событий безопасности), MaxPatrol VM (управление уязвимостями), PT Network Attack Discovery, PT Application Firewall и новый межсетевой экран PT NGFW.

По данным самой компании, в 2025 году выручка по МСФО выросла на 26% до 30,9 млрд рублей, отгрузки клиентам — на 40% до 33,6 млрд, EBITDA достигла 12,3 млрд (рентабельность 40%), а чистая прибыль удвоилась до 7,3 млрд. Это сильный отскок после провального 2024-го, к которому мы ещё вернёмся отдельно: там история поучительная.

По юрлицам картина дробится, как почти у любой группы. Основная операционная компания — АО «Позитив Текнолоджиз» (ИНН 7718668887, ОГРН 1077761087117, гендиректор Денис Баранов), зарегистрирована ещё в 2007 году, занимается разработкой ПО (ОКВЭД 62.01). Головное ПАО «Группа Позитив» (ИНН 9718077239) появилось в 2017-м как держатель и эмитент акций. Единого «одного отчёта» по группе в РСБУ нет, поэтому ориентир для масштаба — консолидированная отчётность по МСФО, которую компания как публичная обязана раскрывать. По МСФО выручка шла так: 7,1 млрд (2021), 13,8 млрд (2022), 22,2 млрд (2023), 24,5 млрд (2024) и 30,9 млрд (2025).

Контролирующий акционер — сооснователь Юрий Максимов, на которого по состоянию на октябрь 2024 года приходилось 50% плюс одна акция (Forbes). Остальное у партнёров, сотрудников и инвесторов на бирже. Деталь важная: компания публичная, и её результаты, провалы и споры с миноритариями видны всем. Сама по себе такая прозрачность для кибербез-индустрии нетипична, и это не случайность, а продолжение фирменного приёма с публичными взломами.

История: от сканера за десятки тысяч долларов до публичной компании

Чтобы понять, откуда взялась культура «ломаем при всех», стоит вернуться к началу. Компания выросла не на чужих деньгах и не из венчурного раунда, а из инженерного продукта, который раздавали бесплатно.

В 2002 году Юрий Максимов вместе с братом Дмитрием и другом Евгением Киреевым задумали компанию. По описанию Forbes, обсуждали идею на даче во Фрязино: «зарегистрировали юрлицо, потом сняли офис, сделали три-четыре шага, оглянулись назад — а компания уже работает». Стартовые деньги, «несколько десятков тысяч долларов», взяли от продажи доли в поисковике «Апорт», а не от инвесторов.

Первым продуктом стал сканер уязвимостей XSpider, который написал Дмитрий Максимов. Бесплатную версию, по данным Forbes, скачали около 300 тысяч раз. Это и был первый акт фирменной логики: дать инструмент, который показывает дыры в чужой защите, и так заявить о себе. Уже к 2004 году среди клиентов были «Сбербанк», «Вымпелком», ММК. Компания росла органически, без внешних инвестиций; в 2014 году Максимов, по данным Forbes, занял у частных лиц сумму, сопоставимую с годовой выручкой, под 26% годовых, лишь бы не размывать долю.

Зарегистрировали юрлицо, потом сняли офис, сделали три-четыре шага, оглянулись назад — а компания уже работает.— Юрий Максимов о старте Positive Technologies (Forbes)

В 2011 году компания запустила Positive Hack Days — международный форум по кибербезопасности, который со временем стал её визитной карточкой и главным маркетинговым активом. А в апреле 2021-го США ввели санкции против Positive Technologies, обвинив её в работе на российские спецслужбы (компания обвинения отвергала). Парадоксальным образом санкции совпали с разворотом рынка к отечественным решениям после 2022 года, и спрос на российский кибербез пошёл вверх.

Календарь развития

Дальше самое интересное. Я хочу разобрать не продукты по отдельности, а несколько приёмов, которые превращают кибербезопасность из скучной строки в IT-бюджете в публичное шоу с измеримым результатом. И первый из них — тот самый демонстративный взлом.

Фишка 1. Публичный взлом самого себя как доказательство

Большинство охранных компаний боятся одного: чтобы их собственную защиту не проломили публично. Positive Technologies сделала противоположное, превратила попытку взлома себя в рекламную кампанию. С 2022 года компания вынесла на багбаунти-платформу собственную инфраструктуру и объявила награду тому, кто сумеет реализовать «недопустимое событие»: например, вывести деньги со счетов компании. В 2023 году премию за такой успех подняли с 10 до 30 миллионов рублей.

Смысл не в том, чтобы потешить эго. Это и есть продукт в действии. Компания продаёт концепцию «результативной кибербезопасности»: защита считается рабочей не тогда, когда куплен дорогой софт, а тогда, когда конкретное катастрофическое событие физически невозможно реализовать. Доказать это можно одним способом: позвать лучших атакующих и не дать им победить. Каждая неудачная попытка взлома при свидетелях стоит дороже любого слайда в презентации.

На фестивале Standoff 12 атакующие пытались реализовать ещё одно критичное для компании событие: внедрить вредоносный код в её собственный продукт. То есть Positive Technologies публично проверяет даже то, чего клиент боится больше всего, что купленная защита окажется заражённой. Готовность ставить под удар самое больное и есть её способ отстройки от конкурентов, которые такого о себе показывать не рискуют.

Фишка 2. Фестиваль, который создаёт не лиды, а рынок

Демонстративный взлом не висит в вакууме. У него есть сцена — Positive Hack Days, который компания проводит с 2011 года. Это не корпоративная конференция для своих, а городской киберфестиваль: в 2023 году его провели в Парке Горького в Москве, открыто для публики. Параллельно работает платформа Standoff Bug Bounty, на которой компании и госорганы выставляют свои системы на проверку белым хакерам.

Экономика тут хитрее, чем «потратились на ивент ради узнаваемости». Фестиваль и платформа выращивают сам рынок: сотни компаний и сотни исследователей приучаются к мысли, что безопасность измеряется попытками взлома, а не наличием сертификата. А раз безопасность измеряется так, то и инструменты для этого нужны те, что заточены под результат. То есть продукты Positive Technologies. Компания не просто продаёт софт на существующем рынке, она формирует у рынка сам способ думать о проблеме, под который её софт подходит лучше всего.

Это редкий уровень маркетинга, когда вы не конкурируете за долю пирога, а печёте пирог по своему рецепту. Каждый новый багхантер, каждая компания, вышедшая на багбаунти, расширяют спрос на «результативный» подход, а значит, и на тех, кто этот подход придумал и вооружил.

Фишка 3. Отгрузки вместо выручки как честная метрика

Третий приём не на сцене, а в отчётности, и он не менее показателен. Главная цифра, по которой Positive Technologies просит себя оценивать, — это не выручка, а «отгрузки» (объём проданных лицензий клиентам за период). Для софтверной компании с подписками и лицензиями так честнее: выручка по бухучёту размазывается во времени и отстаёт от реальных продаж, а отгрузки показывают, сколько бизнеса заведено прямо сейчас.

Прозрачность тут палка о двух концах, и компания это испытала на себе. Когда в 2024 году отгрузки не дотянули до планов, скрыть это за бухгалтерской выручкой не вышло: метрика, которую сама же компания назначила главной, показала провал. Зато когда в 2025-м отгрузки прыгнули на 40%, тот же показатель сработал в плюс. Честная метрика наказывает за плохой год и вознаграждает за хороший без права на отговорки.

Фишка 4. Ставка на новые продукты под уход иностранцев

Публичность и метрики — это упаковка. Под ней должен быть продукт, который растёт. После 2022 года с российского рынка ушли западные вендоры, и освободились целые ниши, прежде всего межсетевые экраны нового поколения (NGFW), где раньше доминировали зарубежные игроки. Positive Technologies зашла туда со своим PT NGFW.

Результат компания подаёт как рекорд: по итогам 2025 года PT NGFW отгружен на 3 млрд рублей, это первый её продукт, превысивший миллиард в первый же год продаж. Кратно выросли и MaxPatrol EDR, PT NGFW, MaxPatrol O2. При этом основа выручки пока прежняя: MaxPatrol SIEM даёт около 34% продаж, MaxPatrol VM — 16%, PT Network Attack Discovery — 13%, PT Application Firewall — 9%. За 2025 год добавилось более 700 новых клиентов; продуктами компании пользуются 25% компаний из рейтинга RAEX-600.

Логика та же, что у всей модели: рынок, который сам же помогаешь формировать, плюс ниши, освободившиеся от иностранцев, плюс публичное доказательство, что твой продукт держит удар. Новый софт выходит не на пустое поле, а на разогретый собственным маркетингом спрос.

Как это работает вместе

По отдельности приёмы выглядят как набор маркетинговых находок. Сила в сцепке. Публичный взлом самого себя создаёт доказательство, что защита работает. Фестиваль и багбаунти разносят это доказательство и заодно перепрошивают у рынка само понимание безопасности под «результат». Метрика отгрузок держит компанию честной перед инвесторами и не даёт спрятать слабый квартал. А продуктовая линейка снимает спрос, который вся эта машина разогрела, в том числе на нишах, освобождённых ушедшими иностранцами.

Уберите любой элемент, и конструкция кренится. Без публичных взломов «результативная безопасность» превращается в лозунг без доказательств. Без фестиваля доказательство некому показать. Без честной метрики инвесторы перестают верить цифрам. Без новых продуктов разогретый спрос уходит к конкурентам. Это один механизм, где взлом, шоу, отчётность и продукт усиливают друг друга.

Прообраз: западные багбаунти и хакерские конференции

Идею «платить за взлом» придумали не в Москве. Её архетип — западная культура bug bounty, которую с 2010-х выстроили платформы вроде HackerOne и Bugcrowd, и легендарные хакерские конференции DEF CON и Black Hat в США, где исследователи десятилетиями публично ломают чужие системы на сцене. Принцип везде один: лучший способ доказать, что защита надёжна, это позвать атакующих и заплатить тем, кто найдёт дыру.

Ключевое отличие в том, что западные платформы — это в основном посредники между компаниями и хакерами. Positive Technologies пошла дальше и сделала мишенью саму себя, превратив акт самопроверки в рекламу конкретного продукта. То есть взяла зрелую зарубежную механику и достроила её до бизнес-модели, где маркетинг, доказательство и продажа сливаются в одно действие. И это снова про насмотренность, к которой мы вернёмся в финале: модель не выдумали с нуля, а подсмотрели и адаптировали под себя.

Провал 2024-го и спор вокруг допэмиссии

Публичность красит компанию, пока дела идут хорошо, и бьёт по ней, когда что-то ломается. У Positive Technologies был такой год, и о нём честнее рассказать, чем замолчать. В 2024-м компания не выполнила собственные планы: отгрузки составили 24,1 млрд рублей вместо ожидавшегося роста, чистая прибыль по МСФО упала с 9,7 до 3,7 млрд, а чистая управленческая прибыль (NIC, без капитализируемых расходов) ушла в минус на 2,7 млрд. Гендиректор Денис Баранов прямо признал: «Мы недовольны результатами».

Параллельно разгорелся конфликт с инвесторами вокруг допэмиссии. Ещё в октябре 2023 года компания объявила, что при двукратном росте капитализации выпустит дополнительно до 25% акций на мотивацию сотрудников. Для держателей бумаг это означало размытие их долей и будущих дивидендов. Реакция рынка была мгновенной: по данным СМИ, котировки падали несколько дней подряд, потеряв более 13% от пиков октября. Часть миноритариев пожаловалась в ЦБ, и регулятор приостанавливал допэмиссию, требуя соблюсти баланс интересов всех акционеров.

Урок отрезвляющий. Та же публичность, что годами работала на компанию через демонстративные взломы, обернулась против неё, когда речь зашла о деньгах акционеров. Прозрачный бизнес не может слабый квартал или спорное решение спрятать в тумане. Это цена выбранной модели, и её стоит держать в голове любому, кто романтизирует выход на биржу.

Конкурентный срез: кто на этом рынке

Рынок, на котором играет Positive Technologies, растёт быстро. По оценке отраслевых аналитиков, объём российского рынка кибербезопасности по итогам 2024 года составил около 314 млрд рублей при росте более чем на 26%. Лидеры по доле выручки распределились так:

Расклад показательный. «Лаборатория Касперского» крупнее и известнее в мире, но это во многом массовый антивирусный бренд с историей глобальных продаж. Positive Technologies играет в корпоративном и государственном сегменте, где безопасность измеряется не «поймали вирус», а «выдержали целенаправленную атаку». В этой нише её модель публичных взломов и «результативной безопасности» отстраивает её от всех остальных, включая ГК «Солар», BI.ZONE и других сильных игроков.

Главное преимущество здесь не размер, а то, что компания первой стала публичной и приучила рынок мерить защиту попытками взлома. Это удерживать сложнее, чем кажется: конкуренты тоже проводят соревнования и багбаунти. Но репутацию площадки, которая годами ставит под удар собственные деньги и продукт, скопировать не так просто, как формат конференции.

Что забрать собственнику

Главный вывод: взлом придумали не здесь, его подсмотрели и достроили

И вот к чему я веду. Публичный кибербез на 30 миллиардов выручки вырос не из чистого озарения. Механику «платить за взлом, чтобы доказать защиту» десятилетиями обкатывали на Западе: bug bounty платформы, конференции DEF CON и Black Hat, культура белых хакеров. Positive Technologies взяла этот зрелый чужой опыт, перенесла на российскую почву и достроила до своего: сделала мишенью себя, привязала награду к конкретному недопустимому событию и встроила всё это в продажи собственного софта. Заслуга не в изобретении приёма, а в том, что его адаптировали и докрутили раньше других на своём рынке.

Это и есть насмотренность в чистом виде. Самые сильные ходы редко рождаются на пустом месте, чаще их подсматривают там, где они уже работают, и приземляют на свою задачу. Беда в том, что подсмотреть по статье или вебинару почти невозможно: видны вывеска и цифры, не видна механика. Её разглядишь, только когда окажешься внутри сильного бизнеса и увидишь, как у него всё сцеплено. Ровно за этим мы и возим собственников на бизнес-миссии: не за вдохновением, а за готовыми, обкатанными решениями, которые можно перенести к себе. Один внимательный визит к тому, кто уже придумал, экономит годы своих проб и ошибок.