
Ozon решил разработать собственную систему защиты веб-приложений — WAF (Web Application Firewall). В апреле компания опубликовала вакансию на HeadHunter и ищет специалистов под новый проект.
Я рассказываю простыми словами: что такое WAF, зачем маркетплейсу своя система и сколько это может стоить.
Что такое WAF (объяснение для не-айтишника)
WAF (межсетевой экран для веб-приложений) — это фильтр, который стоит между пользователем и сайтом.
Аналогия: представьте, что ваш сайт — это квартира. Обычный межсетевой экран — это дверь с замком. WAF — это консьерж, который смотрит на каждого входящего, проверяет, не пытается ли он что-то украсть или сломать, и может не пустить подозрительных.
Что умеет WAF:
- Блокировать хакерские атаки на сайт.
- Отсеивать ботов (например, тех, кто пытается накрутить отзывы или собрать данные о товарах).
- Выявлять необычные сценарии поведения.
Для маркетплейса вроде Ozon, где миллионы запросов в день, такая защита критически важна.
Почему Ozon решил делать свой WAF, а не покупать готовый
Ozon уже несколько лет использует готовые WAF-решения. Но теперь хочет разработать свою систему.
Основные причины (по мнению экспертов, опрошенных Forbes):
| Причина | Подробнее |
|---|---|
| Иностранные системы ушли | После марта 2022 года крупные вендоры (Imperva, F5, Fortinet) свернули бизнес в России. Их решения официально недоступны. |
| Российские решения — не всегда идеальный вариант | По словам источника, Ozon могли не устроить уровень техподдержки или цена. Для крупной компании с гигантской нагрузкой готовый продукт может стоить десятки миллионов рублей в месяц. |
| Своя система — под свои задачи | У Ozon специфическая инфраструктура. Готовые решения могут не закрывать все потребности. Техногиганты часто разрабатывают инструменты под себя — это нормальная практика. |
Цитата из статьи: «Это частый путь техногигантов — разработать под себя собственный инструмент или систему», — комментирует директор по развитию бизнеса безопасной разработки Positive Technologies Алексей Антонов.
Сколько это может стоить
Оценки экспертов разнятся, но сходятся в одном: дорого.
| Статья расходов | Оценка |
|---|---|
| Начальная разработка (минимальная версия) | ~100 млн рублей (команда из 5–10 человек за год) |
| Разработка корпоративного уровня | от 500 млн рублей до нескольких лет работы |
| Ежемесячная поддержка готового коммерческого WAF (если покупать) | десятки миллионов рублей (тарификация по количеству запросов) |
Важный нюанс: WAF тарифицируется по количеству запросов в секунду (rps). Для Ozon с его нагрузкой это огромные цифры.
По оценке Владимира Гриднева (WMX), минимальные инвестиции в разработку собственного WAF составят несколько сотен миллионов рублей. И это только на написание ПО. Потом нужны специалисты по безопасности, которые будут настраивать правила фильтрации и реагировать на новые угрозы.
Вероятнее всего, Ozon возьмёт за основу open-source (бесплатный) код, например ModSecurity, и будет дорабатывать его под себя. Это дешевле, чем писать с нуля.
Зачем это Ozon (и при чём тут боты и продавцы)
Защита от внешних хакеров — очевидная причина. Но есть и менее очевидная.
Ozon — это высококонкурентная среда.
Продавцы активно пытаются влиять на алгоритмы:
- Манипулировать выдачей товаров.
- Использовать самовыкупы и накрутку отзывов.
- Собирать данные через массовый парсинг (автоматический сбор информации).
WAF помогает бороться с этим. Он может заблокировать подозрительную активность и защитить рекомендательные системы от накруток.
Что это значит для обычного покупателя:
- Более стабильная работа сервисов.
- Меньше ботов, значит, честнее конкуренция и ассортимент.
- Дополнительный уровень защиты при взаимодействии с Ozon.
Как растёт рынок WAF в России
Количество веб-атак стремительно растёт.
Данные из статьи:
- В 2025 году число веб-атак выросло на 89% по сравнению с 2024 годом (до 3,3 млрд инцидентов, оценка ГК «Солар»).
- В первом квартале 2026 года каждый российский онлайн-магазин столкнулся в среднем с 1,3 млн веб-атак — в два раза больше, чем годом ранее.
Рынок WAF в России:
- 2025 год — около 5,5 млрд рублей (оценка BI.ZONE).
- Прогноз на конец 2026 года — до 10 млрд рублей.
То есть спрос на такую защиту огромен и продолжает расти.
Что в итоге
Ozon ищет специалистов для разработки собственного WAF. Это не коммерческий продукт для продажи, а внутренняя разработка для защиты своей инфраструктуры.
Почему это важно:
- Показывает, что даже крупные компании отказываются от готовых решений в пользу своих — из-за ушедших вендоров, высокой стоимости или несоответствия задачам.
- Подчёркивает рост киберугроз: маркетплейсы вынуждены вкладывать сотни миллионов в защиту.
- Для обычных пользователей — это плюс: меньше ботов, стабильнее работа, безопаснее данные.
Коротко о главном
Ozon начал разработку собственного межсетевого экрана (WAF). Готовые системы от ушедших иностранных вендоров недоступны, российские — дороги или не подходят под специфику. На разработку уйдёт минимум год и от 100 млн рублей (оценки экспертов). WAF будет защищать от хакерских атак, ботов и манипуляций со стороны продавцов. Для обычных покупателей — это более стабильная и безопасная работа маркетплейса.
Никакого «прорыва» для рынка — это внутренний инструмент Ozon. Но сам факт показателен: российский техногигант готов инвестировать сотни миллионов в свою безопасность, потому что чужие решения больше не подходят.







