Что происходит с рынком в 2026 году
2024–2026 годы сместили корпоративный VPN в России из ниши «доступ из дома» в категорию базовой ИБ-инфраструктуры. По данным Solar JSOC (отчёт «Solar inFigures 2024»), число киберинцидентов выросло на 38% к 2024 году, а InfoWatch в глобальном отчёте по утечкам данных за тот же год отмечает, что 38% корпоративных заказчиков столкнулись хотя бы с одним инцидентом, где VPN-доступ был либо точкой входа, либо слепой зоной для SOC.
На стороне спроса — три драйвера:
- Уходы зарубежных сервисов. Atlassian, Notion, Slack, GitHub Copilot, Figma, ChatGPT Team, Linear, Ahrefs — большая часть из них формально недоступна с российских IP без VPN, либо для части аккаунтов коммерческих тарифов. По оценке РБК (март 2022), из РФ ушли более 100 зарубежных ИТ-вендоров, и этот список пополняется.
- Регуляторика. ФЗ-152, поправки 2023–2025 годов, рост штрафов РКН (по годовому отчёту Роскомнадзора за 2024 год сумма штрафов составила ₽ 5,7 млрд), приказы ФСТЭК — все это требует документированного контроля доступа и журнала аудита.
- Стоимость простоя. По разным оценкам, час простоя VPN-шлюза у компании с 1 000 сотрудников транслируется в 200–400 тысяч рублей косвенных потерь в зависимости от вертикали. Эта цифра — по оценке отраслевых экспертов, официальной открытой статистики нет.
По оценке источника: 60–70% российских компаний с числом сотрудников от 100 к середине 2026 года рассматривают замену текущего VPN или его расширение. Точная цифра может отличаться — надёжных панельных исследований по теме мало.
Облачный, on-prem и гибридный VPN — что выбрать
В 2026 году выбор обычно не бинарный. Три модели сосуществуют, и для средней компании это скорее не «или/или», а пропорция.
Облачный корпоративный VPN (cloud-managed)
Вендор управляет серверами на своей стороне — в РФ или за её пределами. Заказчик платит подписку за рабочее место, не покупает оборудование и не выкатывает патчи. По нашему маркетинговому исследованию за 2026 год, до ₽ 290 за рабочее место в месяц в стартовом тарифе. Подходит командам 50–500 человек, в первую очередь — для доступов к внешним сервисам из офиса и из дома.
On-prem корпоративный VPN
ПО разворачивается на оборудовании заказчика. Полный контроль над трафиком, нулевая зависимость от вендора, готовность к сертификации ФСБ СКЗИ. Минусы — стартовые затраты (от ₽ 350 000 за пилот на 50 мест), нужно выделить инженера на интеграцию и поддержку.
Гибрид (hybrid)
Часть инфраструктуры — у вендора (например, выход во внешние сервисы), часть — в периметре заказчика (доступ к внутренним базам, 1С, GitLab). Большинство enterprise-проектов 2025–2026 годов строится именно так.
Главный критерий выбора модели — не размер компании, а требования регулятора. Банк, оператор ПДн или госкомпания почти всегда выбирают on-prem или гибрид с on-prem для критичного контура.
Технические требования: протоколы, шифрование, kill-switch
Несколько технических деталей, которые нужно выяснить до подписания договора.
Протоколы
WireGuard — стандарт де-факто в 2026 году: лёгкий (≈4 000 строк кода по сравнению с 100 000+ у OpenVPN), быстрый, легко аудируется. Большинство корпоративных клиентов выбирают именно его.
OpenVPN — остаётся для совместимости с унаследованным оборудованием или там, где нужен TCP-443 (обход агрессивных прокси).
IPsec / IKEv2 — нативно поддерживается macOS, iOS, Windows без дополнительных клиентов, удобен для мобильных сотрудников.
Собственный профиль + ГОСТ — для требований СКЗИ ФСБ. Используется в банках и в госкомпаниях. Сертификация идёт долго, поэтому сроки обычно 6–12 месяцев.
Шифрование
Стандарт — AES-256-GCM или ChaCha20-Poly1305. Для требований ГОСТ — алгоритмы «Кузнечик» и «Магма» (ГОСТ 34.12-2015), обычно в связке с CryptoPro CSP 5.0+.
Kill-switch и split-tunnel
Обязательная опция для enterprise. Kill-switch блокирует любой трафик вне VPN (защита от случайной утечки через публичный Wi-Fi). Split-tunnel позволяет направлять через VPN только рабочий трафик — экономит канал и снижает задержки для личных сервисов.
Журнал аудита
Минимально: кто подключился, с какого IP, в какое время, сколько данных передал, с какими ошибками. Экспорт в SIEM (KUMA, MaxPatrol SIEM, ELK, Splunk) — желателен. Хранение 30–365 дней. По требованиям ФСТЭК — от 30 дней минимум, по ФЗ-152 — определяется внутренним регламентом.
Compliance: ФЗ-152, ФСТЭК, ГОСТ
VPN — это инструмент обработки ПДн (любые действия сотрудника при доступе к CRM, таск-трекеру или почте считаются обработкой), поэтому подчиняется тем же правилам, что и остальные ИСПДн.
Что нужно для соответствия ФЗ-152
- Серверы VPN на территории РФ (отдельный вопрос — что делать с филиалами за рубежом; ответ зависит от типа ПДн).
- Согласие сотрудников на обработку ПДн (обычно включается в трудовой договор).
- Журнал аудита с контролем доступа и сроком хранения.
- Классификация ИСПДн в реестре оператора.
Что нужно для соответствия ФСТЭК (приказы №17, №239)
- Контроль целостности СКЗИ.
- Журнал событий ИБ, передаваемый в SIEM.
- Соответствие уровням защиты УЗ-1..УЗ-4 (зависит от категории ПДн).
Что нужно для соответствия ФСБ СКЗИ
Сертифицированные СКЗИ, журнал использования, аттестация рабочих мест. Долго и дорого — обычно проект занимает 6–12 месяцев на 1 сертификат. VPN-вендоры обычно проходят сертификацию уровня СКЗИ ФСБ для корпоративного тарифа; часть игроков относит её в дорожную карту.
Главная ошибка 2024–2025 годов: «купили VPN — закрыли ФЗ-152». На самом деле VPN — это инструмент, а соответствие строится пакетом: политика + журнал + классификация ИСПДн + согласие. Подробнее — в статье «ФЗ-152 и VPN».
Сравнительная таблица 7 вендоров РФ
Ниже — семь заметных игроков российского корпоративного VPN-рынка 2026 года. Цены ориентировочные, приведены публичные тарифы с сайтов вендоров по состоянию на июль 2026 года.
| Вендор | Модель | Цена за место/мес | SSO | Журнал аудита | Сертификация |
|---|---|---|---|---|---|
| VPN4GO | Облако / on-prem | от ₽ 290 | OIDC, SAML, LDAP | 30–365 дней + экспорт в SIEM | ФЗ-152, готов к ФСТЭК, ФСБ СКЗИ — Q4 2026 |
| Amnezia Business | Облако | от ₽ 250 | Ограниченно | 30 дней | ФЗ-152 |
| HideMy.name Business | Облако | от ₽ 280 | Нет | — | — |
| NordLayer | Облако | от ~₽ 350 (по курсу) | SAML | 30 дней | SOC 2 Type II |
| Twingate | Облако (ZTNA) | от ~₽ 300 | OIDC, SAML | 90 дней | SOC 2 Type II |
| ИнфоТеКС ViPNet | On-prem | по проекту | LDAP | до 365 дней | СКЗИ ФСБ |
| UserGate | On-prem / облако | от ₽ 320 | LDAP, AD | 365 дней | ФСТЭК, СКЗИ ФСБ |
Столбец «цена» показывает стартовый тариф; реальная стоимость рассчитывается индивидуально в зависимости от количества мест, объёма трафика, требований к сертификации и формата оплаты (год/месяц).
Чек-лист CISO: 14 пунктов перед подписанием
- Где физически расположены серверы вендора (РФ / ЕС / США)?
- Какие протоколы шифрования поддерживаются — есть ли ГОСТ?
- Поддерживает ли решение SSO (OIDC/SAML/LDAP) из коробки?
- Есть ли экспорт журнала в SIEM? В каком формате (syslog, Kafka, API)?
- Какой срок хранения журнала? Можно ли увеличить?
- Какие SLA по uptime? Какие компенсации?
- Есть ли сертификация ФСТЭК / СКЗИ ФСБ? В какой стадии?
- Готов ли вендор подписать поручение на обработку ПДн (для ФЗ-152)?
- Поддерживаются ли BYOD и MDM-интеграция?
- Есть ли kill-switch и split-tunnel?
- Какая процедура развёртывания: пилот, продакшн, миграция?
- Какие форматы поддержки: 24/7 чат, выделенный канал, время реакции?
- Как устроена миграция с текущего решения (импорт конфигов, side-by-side pilot)?
- Есть ли реверс-тест: насколько быстро можно выгрузить всех пользователей и конфиги?
Типичные ошибки при выборе корпоративного VPN
По обсуждениям в профильных чатах CISO и по опыту внедрений 2024–2026 годов, чаще всего ошибки лежат не в технике, а в организационной части.
Ошибка 1. «Купили VPN — закрыли ИБ»
VPN — это канал, а не решение. Без политик доступа, журнала аудита и реакции на инциденты это просто туннель. В 2024 году по отраслевым оценкам до 40% компаний, пострадавших от утечек, использовали VPN, но не имели сегментации сети. Результат — атакующий, получив одну учётку, видел всю внутреннюю сеть.
Ошибка 2. Экономия на журнале аудита
Короткий срок хранения (7 дней) — частая настройка по умолчанию у части провайдеров. При инциденте расследование обычно занимает 30–60 дней (по оценкам Solar JSOC и Group-IB), и без длинного журнала SOC не сможет восстановить картину.
Ошибка 3. Забыть про BYOD и мобильных сотрудников
Часть команд тестирует VPN на офисных ноутбуках, а потом оказывается, что у 30% сотрудников — личные устройства или несколько устройств. Перед пилотированием важно понимать реальное распределение устройств.
Ошибка 4. Не учитывать требования ФСТЭК
Часть вендоров заявляет «соответствие ФЗ-152», но не имеет сертификации ФСТЭК. Для ряда отраслей (банки, операторы ПДн, госкомпании) ФСТЭК-сертификация обязательна. Без неё аттестат ИСПДн не выдадут, и регулятор вправе предъявить претензии.
Стоимость владения корпоративным VPN: считаем TCO за 3 года
TCO (Total Cost of Ownership) включает не только лицензию. Ниже — типичные статьи расходов.
- Лицензия за места. От ₽ 250 до ₽ 490 за рабочее место в месяц при годовой оплате. За 100 человек × 36 месяцев — от ₽ 900 000 до ₽ 1 760 000.
- Пилот и интеграция. 100 000–500 000 ₽ в зависимости от объёма работ (SIEM, AD, MDM, тестирование).
- Внутреннее время IT-команды. 0,5–2 FTE в год на поддержку, согласование доступов, разбор инцидентов.
- Обучение. 2–4 часа для IT-команды по каждой новой функции (например, новая политика или новый SIEM).
- Сертификация. Если требуется ФСТЭК или ФСБ СКЗИ — ещё 500 000 ₽–3 000 000 ₽ за проект.
Для команды 100 человек в облачной модели за 3 года — ориентировочно ₽ 1,2–2,0 млн. Для on-prem на 50 человек — ₽ 1,5–3,0 млн с учётом сертификации.
Часто вендоры называют цену «за место», но в TCO нужно закладывать ещё работу IT-команды. Реальная стоимость владения обычно в 1,5–2 раза выше, чем просто лицензия.