Ozon принял решение создать собственную WAF-систему для внутреннего использования. Продукты от российских вендоров стоят десятки миллионов рублей ежегодно. Собственная разработка обойдётся в сумму от полумиллиарда.
Компания Ozon приступила к созданию собственной системы защиты WAF. Это следует из опубликованного объявления о вакансии старшего специалиста по работе с данными, как выяснил Forbes.
«Мы расширяем команду для нового проекта — разработки WAF», — говорится в описании вакансии.
Речь идёт не о выпуске отдельного продукта на рынок, а о формировании собственной экспертизы внутри организации, уточнили представители Ozon изданию.
Чтобы создать WAF с нуля под нагрузки масштаба Ozon, потребуется не менее года работы пяти–десяти специалистов (разработчики, эксперты по информационной безопасности, DevOps, аналитики угроз) и около 100 млн рублей (по текущим рыночным ставкам) только на начальную разработку, отметил генеральный директор Curator Дмитрий Ткачев.
Ozon начнёт разработку WAF на базе open source — открытого и бесплатного кода, вероятно, ModSecurity, полагает собеседник издания из крупного IT-холдинга.
«Создание WAF корпоративного уровня для такой крупной, сложной и постоянно меняющейся системы может занять несколько лет и потребовать от полумиллиарда рублей», — считает вице-президент компании «Гарда» Рустэм Хайретдинов.
Также потребуется правильная настройка правил фильтрации и логики обнаружения, а также дополнительные затраты на поддержку и развитие системы, добавил заместитель генерального директора по развитию бизнеса ООО «Вебмониторэкс» Владимир Гриднев.
Иностранные WAF-системы, такие как Imperva, F5, Fortinet, сейчас официально недоступны на российском рынке, пояснил один из собеседников Forbes, и маловероятно, что Ozon рассматривал закупку зарубежных систем с учётом требований регулятора по защите персональных данных пользователей и банковской безопасности.
Российские решения, по его мнению, могли не подойти по уровню технической поддержки и стоимости, которая для Ozon может превышать 10 млн рублей в месяц. WAF тарифицируется по количеству запросов в секунду (rps, request per second), и для маркетплейсов с их нагрузкой это выливается в десятки миллионов рублей ежемесячно, согласен Ткачев.
«Российским вендорам невыгодно создавать такой продукт, поскольку в этом случае они рискуют вложить огромные средства в R&D и сделать продукт для одного клиента», — прокомментировал руководитель направления развития продуктов кибербезопасности Cloud.ru Максим Долгинин.
Собственная разработка «только для себя» может сэкономить около 20% на рыночных функциях, которые включают развёртывание, настройку, обучение и внедрение, по словам Хайретдинова.
Доступные на рынке продукты не всегда в полной мере учитывают специфику работы Ozon. Крупные технологические компании зачастую создают собственные инструменты или системы под свои нужды, отметил директор по развитию бизнеса безопасной разработки Positive Technologies Алексей Антонов.
Как в апреле 2026 года выяснил CNews, маркетплейс Ozon также развивает собственные технологии для автоматизации логистики. Компания изучает оборудование, необходимое для создания и последующего ввода в эксплуатацию автоматизированной линии поверхностного монтажа (SMT) печатных плат.
Системы WAF анализируют входящий и исходящий сетевой трафик, а также предотвращают подозрительные соединения.
«В Ozon мы на протяжении нескольких лет применяем решения класса WAF для защиты наших веб-приложений от атак на уровне пользовательских сервисов — именно сюда чаще всего направлены попытки автоматизированного взлома, бот-активности и эксплуатации уязвимостей. Для крупной технологической компании это важнейший элемент защиты, так как речь идет не только о стабильности платформы, но и о безопасности пользовательских данных», — сообщили представители пресс-службы.
Маркетплейсу WAF может быть необходим и для контроля попыток продавцов воздействовать на алгоритмы в целях злоупотреблений, например, для манипуляции выдачей, пояснил CEO Insight AI Михаил Евдокимов.
WAF также может выполнять функцию ограничения доступа к веб-ресурсам через VPN на основе информации, полученной от другой системы, например, по переданным спискам IP-адресов, добавил Гриднев.
