Кібербезпека як частина бізнесу
Матеріал підготовлений на основі виступу провідного технічного спеціаліста ESET в Україні Нікіти Веселкова на «NG-CISO»
У 2019 році кібербезпека в Україні вважалася переоціненою, проте вже у 2024-му стало очевидним: країна переживає першу кібервійну. Для сучасного бізнесу — як приватного, так і державного — кібербезпека перестала бути технічною опцією і стала стратегічним пріоритетом розвитку.
За даними IBM, середні збитки від однієї кібератаки у 2024 році становлять $4,88 млн. Ця сума включає не лише прямі фінансові втрати від простою систем, а й репутаційні збитки, втрату довіри клієнтів та партнерів. Безпека завжди коштує дешевше, ніж наслідки її відсутності.
Чому кібербезпека критична для бізнесу
- Фінансові та репутаційні втрати
В Україні інститут репутації в контексті кібербезпеки практично відсутній. Компанії, які зазнали атак, рідко комунікують прозоро зі стейкхолдерами — партнерами, клієнтами, співробітниками.
Типова ситуація: компанія мовчить про інцидент, посилаючись на війну, а згодом зламані дані з’являються у відкритому доступі через Telegram-канали. Довіра руйнується миттєво, а фінансові втрати зростають через зупинку процесів та витік конфіденційної інформації.
- Стратегічне прийняття рішень
Кібербезпека не може існувати як ізольований ІТ-процес. Вона повинна бути інтегрована у стратегію розвитку бізнесу. Приклад: українська компанія планувала вихід на ринки Центральної Азії, найняти 500-600 нових співробітників та відкрити нові офіси. На питання про безпеку керівник відповів: «Нічого не планую, все вже працює». Лише після стратегічної презентації для CEO компанія виділила бюджет, впровадила політики безпеки та найняла спеціалістів. Результат — стабільне масштабування без інцидентів.
- Регуляторна відповідність
Для роботи на міжнародних ринках бізнес повинен відповідати вимогам регуляторів: ISO 27001, SOC 2, GDPR, NIS2, DORA. Західний світ вимагає не просто наявності рішень безпеки, а високих стандартів їхнього впровадження та підтвердження незалежними аудиторами.
- Безперервність бізнес-процесів
Без кібербезпеки, що функціонує, бізнес зупиняється: системи не працюють, дані недоступні, доходи втрачаються. Кібербезпека — це не лише захист, а й забезпечення операційної стійкості.
Кейс: захист енергетичної інфраструктури під час війни
Розуміючи важливість кібербезпеки на стратегічному рівні, варто розглянути конкретний приклад того, як ефективна координація між бізнесом і службами безпеки може запобігти катастрофічним наслідкам.
У жовтні 2024 року відбулася масштабна атака на енергетичні компанії України з використанням варіанту Industroyer2 — російської APT-загрози, націленої на SCADA-системи. Мета атаки — пошкодження контролерів на ТЕЦ, ГЕС та інших об’єктах генерації електроенергії, що могло призвести до вибухів або тривалого виходу з ладу критичної інфраструктури.
Завдяки проактивному інформуванню та швидкому реагуванню SOC-команд, індикатори компрометації були передані енергетичним компаніям та державним структурам. Ключовим фактором успіху стала комунікація не з технічними адміністраторами, а з CISO та CIO, які могли швидко мобілізувати ресурси та прийняти стратегічні рішення. В результаті вдалося запобігти відключенню світла щонайменше у чотирьох областях.
Висновок: у критичних ситуаціях комунікація з топовим менеджментом та чітка координація між бізнесом і безпекою рятують інфраструктуру.
Загрози: класифікація, джерела, тенденції
Щоб ефективно захищатися від кібератак, необхідно насамперед розуміти їхню природу, джерела та способи реалізації. Класифікація загроз допомагає організаціям визначити пріоритети у побудові захисту та обрати адекватні заходи протидії.
Класифікація кіберзагроз
За джерелом:
- Зовнішні: APT-групи, хакери, скриптові кідісі, організована кіберзлочинність.
- Внутрішні: інсайдери, людська помилка, скомпрометовані співробітники.
За вектором (способом реалізації):
- Технічний: експлуатація вразливостей, зараження через мережу, зовнішні носії.
- Організаційний: слабкі процеси, відсутність або невиконання політик безпеки.
- Соціальна інженерія: фішинг, претекстинг, цілеспрямовані атаки через месенджери.
- Фізичний: крадіжка пристроїв, несанкціонований доступ до серверних.
За типом (категорією):
- Malware: програми-вимагачі, трояни, backdoor, шпигунське ПЗ.
- Wiper-атаки: повне знищення даних без можливості відновлення.
- Фішинг і соціальна інженерія: маніпуляції з персоналом для отримання доступу.
- Мережеві атаки: DDoS, Man-in-the-Middle, експлуатація мережевих протоколів.
За мотивацією (профілем зловмисника):
- Фінансово вмотивовані: ransomware-групи, крадіжка даних для продажу.
- Політично вмотивовані: державні спецслужби (ГРУ, ФСБ, СВР).
- Інсайдери: незадоволені працівники, саботаж, помста.
- Хактивісти: ідеологічно вмотивовані групи.
За впливом на бізнес:
- Критичний: зупинка ключових процесів, втрата доходів.
- Високий: витік конфіденційних даних, репутаційні збитки.
- Середній: локальні порушення, що не впливають на загальну операційну діяльність.
- Низький: спроби атак без реального впливу.
Wiper-атаки: рік вайперів (2022 рік)
Після початку повномасштабного вторгнення росії у 2022 році спостерігався масовий ріст wiper-атак — зловмисного ПЗ, що повністю знищує дані без можливості відновлення. На відміну від ransomware, wiper не шифрує, а видаляє або пошкоджує файли, перетворюючи системи на «цеглини».
Основні wiper-загрози, виявлені в Україні: WhisperGate (14.01.2022), HermeticWiper та HermeticRansom (23.02.2022), AcidRain та IsaacWiper (24.02.2022), DesertBlade (01.03.2022), CaddyWiper (14.03.2022), DoubleZero (17.03.2022), а також NikoWiper, SwiftSlicer та RoarBat протягом 2023-2024 років.
Мета wiper-атак — максимальне збільшення часу відновлення інфраструктури та зупинка бізнес-процесів. росіяни використовують їх проти критичної інфраструктури, державних органів, енергетики та великих приватних компаній.
APT-угруповання: основні актори проти України
Організовані групи систематично атакують українські організації, працюючи від імені спецслужб російської федерації.
ГРУ: Головне розвідувальне управління
Sandworm (Telebots, Voodoo Bear) — найнебезпечніше угруповання проти критичної інфраструктури. Найгучніші операції: NotPetya (2017) зі збитками $10+ млрд, серія атак Industroyer (2017, 2022, 2024) на енергетику, AcidRain (2022) — знищення супутникових модемів Viasat. Використовують тривале проникнення, lateral movement, атаки на SCADA-системи та wiper-операції. Шість офіцерів ГРУ перебувають у розшуку за ордерами ФБР.
Sednit (Fancy Bear, APT28) — атаки проти військових структур, НАТО, урядових установ. Тактика: цілеспрямовані фішингові кампанії та експлуатація 0-day вразливостей.
ФСБ: масштабна шпигунська кампанія
Gamaredon (Armageddon, Primitive Bear) — найактивніше угруповання, працює з Криму з 2014 року. Щоденна активність з 2021 року, 300-500 нових зразків malware щотижня. Присутність у кожній великій організації в Україні, особливо у держструктурах.
Тактика: масовий фішинг, зараження документів через макроси, агенти для месенджерів (Telegram, WhatsApp, Signal, Viber). Арсенал «Ptero»: PteroLNK/PteroDoc (weaponizers), PteroPSLoad/PteroVLoad (завантажувачі), PteroPSDoor/PteroVDoor (backdoor’и), PteroGram/PteroCookie (крадіжка даних з месенджерів), PteroScreen (скріншоти). Основні цілі: державні установи (100% ураження), енергетика, оборонна галузь.
СВР: таргетоване шпигунство
The Dukes (Cozy Bear, APT29) — атаки проти дипломатичних місій, міжнародних організацій. Довгострокове шпигунство, викрадення конфіденційних документів.
InvisiMole — атаки проти держструктур та військових об’єктів. Складний багаторівневий malware, тривале перебування в мережі без виявлення. Співпраця з Gamaredon для первинного доступу.
Кейс атаки на Київстар (грудень 2023 року)
Атака InvisiMole (СВР) на найбільшого телекомоператора України призвела до повного відключення послуг для мільйонів користувачів — як цивільних, так і військових. Наслідки: зупинка телекомунікацій, відключення військово-цивільного зв’язку (військовий злочин), витік даних у Telegram-каналі «Солнцепек» (ГРУ). Висновок: атаки на критичну інфраструктуру завжди координуються спецслужбами рф, незалежно від публічних заяв про «хактивістів».
Supply Chain атаки
Компрометація ланцюга постачання ПЗ, обладнання чи послуг. Типові сценарії: зараження репозиторіїв (npm, PyPI, Maven), компрометація CI/CD pipeline, атаки через підрядників, підміна оновлень. Приклади: SolarWinds (2020), Kaseya (2021).
Захист: верифікація підписів оновлень, сканування залежностей (Software Composition Analysis), контроль доступу до CI/CD, security audits постачальників, перевірені репозиторії.
Insider Threats: загроза зсередини
Загроза від осіб з легітимним доступом: співробітників, підрядників, партнерів. Типи: зловмисний (помста, фінансова вигода), недбалий (порушення політик, халатність — найчастіший), скомпрометований (викрадені облікові дані, соціальна інженерія).
В умовах війни ризик зростає через: перехід на бік ворога, шантаж через родичів на окупованих територіях, ідеологічну мотивацію, фінансовий тиск.
Захист: принцип найменших привілеїв, моніторинг через UBA/UEBA, контроль критичних дій, регулярні аудити доступу, Security Awareness навчання, системи DLP.
Сучасний бізнес функціонує в умовах постійної кіберзагрози, і це вже не питання ймовірності атаки, а питання часу. Ефективна кібербезпека вимагає комплексного підходу: розуміння ландшафту загроз, впровадження відповідних технічних та організаційних заходів, постійного моніторингу та готовності до швидкого реагування, а найголовніше — інтеграції безпеки у стратегію розвитку бізнесу на найвищому рівні управління.
Матеріал підготовлений на основі виступу провідного технічного спеціаліста ESET в Україні Нікіти Веселкова на «NG-CISO»
У 2019 році кібербезпека в Україні вважалася переоціненою, проте вже у 2024-му стало очевидним: країна переживає першу кібервійну. Для сучасного бізнесу — як приватного, так і державного — кібербезпека перестала бути технічною опцією і стала стратегічним пріоритетом розвитку.
За даними IBM, середні збитки від однієї кібератаки у 2024 році становлять $4,88 млн. Ця сума включає не лише прямі фінансові втрати від простою систем, а й репутаційні збитки, втрату довіри клієнтів та партнерів. Безпека завжди коштує дешевше, ніж наслідки її відсутності.
Чому кібербезпека критична для бізнесу
- Фінансові та репутаційні втрати
В Україні інститут репутації в контексті кібербезпеки практично відсутній. Компанії, які зазнали атак, рідко комунікують прозоро зі стейкхолдерами — партнерами, клієнтами, співробітниками.
Типова ситуація: компанія мовчить про інцидент, посилаючись на війну, а згодом зламані дані з’являються у відкритому доступі через Telegram-канали. Довіра руйнується миттєво, а фінансові втрати зростають через зупинку процесів та витік конфіденційної інформації.
- Стратегічне прийняття рішень
Кібербезпека не може існувати як ізольований ІТ-процес. Вона повинна бути інтегрована у стратегію розвитку бізнесу. Приклад: українська компанія планувала вихід на ринки Центральної Азії, найняти 500-600 нових співробітників та відкрити нові офіси. На питання про безпеку керівник відповів: «Нічого не планую, все вже працює». Лише після стратегічної презентації для CEO компанія виділила бюджет, впровадила політики безпеки та найняла спеціалістів. Результат — стабільне масштабування без інцидентів.
- Регуляторна відповідність
Для роботи на міжнародних ринках бізнес повинен відповідати вимогам регуляторів: ISO 27001, SOC 2, GDPR, NIS2, DORA. Західний світ вимагає не просто наявності рішень безпеки, а високих стандартів їхнього впровадження та підтвердження незалежними аудиторами.
- Безперервність бізнес-процесів
Без кібербезпеки, що функціонує, бізнес зупиняється: системи не працюють, дані недоступні, доходи втрачаються. Кібербезпека — це не лише захист, а й забезпечення операційної стійкості.
Кейс: захист енергетичної інфраструктури під час війни
Розуміючи важливість кібербезпеки на стратегічному рівні, варто розглянути конкретний приклад того, як ефективна координація між бізнесом і службами безпеки може запобігти катастрофічним наслідкам.
У жовтні 2024 року відбулася масштабна атака на енергетичні компанії України з використанням варіанту Industroyer2 — російської APT-загрози, націленої на SCADA-системи. Мета атаки — пошкодження контролерів на ТЕЦ, ГЕС та інших об’єктах генерації електроенергії, що могло призвести до вибухів або тривалого виходу з ладу критичної інфраструктури.
Завдяки проактивному інформуванню та швидкому реагуванню SOC-команд, індикатори компрометації були передані енергетичним компаніям та державним структурам. Ключовим фактором успіху стала комунікація не з технічними адміністраторами, а з CISO та CIO, які могли швидко мобілізувати ресурси та прийняти стратегічні рішення. В результаті вдалося запобігти відключенню світла щонайменше у чотирьох областях.
Висновок: у критичних ситуаціях комунікація з топовим менеджментом та чітка координація між бізнесом і безпекою рятують інфраструктуру.
Загрози: класифікація, джерела, тенденції
Щоб ефективно захищатися від кібератак, необхідно насамперед розуміти їхню природу, джерела та способи реалізації. Класифікація загроз допомагає організаціям визначити пріоритети у побудові захисту та обрати адекватні заходи протидії.
Класифікація кіберзагроз
За джерелом:
- Зовнішні: APT-групи, хакери, скриптові кідісі, організована кіберзлочинність.
- Внутрішні: інсайдери, людська помилка, скомпрометовані співробітники.
За вектором (способом реалізації):
- Технічний: експлуатація вразливостей, зараження через мережу, зовнішні носії.
- Організаційний: слабкі процеси, відсутність або невиконання політик безпеки.
- Соціальна інженерія: фішинг, претекстинг, цілеспрямовані атаки через месенджери.
- Фізичний: крадіжка пристроїв, несанкціонований доступ до серверних.
За типом (категорією):
- Malware: програми-вимагачі, трояни, backdoor, шпигунське ПЗ.
- Wiper-атаки: повне знищення даних без можливості відновлення.
- Фішинг і соціальна інженерія: маніпуляції з персоналом для отримання доступу.
- Мережеві атаки: DDoS, Man-in-the-Middle, експлуатація мережевих протоколів.
За мотивацією (профілем зловмисника):
- Фінансово вмотивовані: ransomware-групи, крадіжка даних для продажу.
- Політично вмотивовані: державні спецслужби (ГРУ, ФСБ, СВР).
- Інсайдери: незадоволені працівники, саботаж, помста.
- Хактивісти: ідеологічно вмотивовані групи.
За впливом на бізнес:
- Критичний: зупинка ключових процесів, втрата доходів.
- Високий: витік конфіденційних даних, репутаційні збитки.
- Середній: локальні порушення, що не впливають на загальну операційну діяльність.
- Низький: спроби атак без реального впливу.
Wiper-атаки: рік вайперів (2022 рік)
Після початку повномасштабного вторгнення росії у 2022 році спостерігався масовий ріст wiper-атак — зловмисного ПЗ, що повністю знищує дані без можливості відновлення. На відміну від ransomware, wiper не шифрує, а видаляє або пошкоджує файли, перетворюючи системи на «цеглини».
Основні wiper-загрози, виявлені в Україні: WhisperGate (14.01.2022), HermeticWiper та HermeticRansom (23.02.2022), AcidRain та IsaacWiper (24.02.2022), DesertBlade (01.03.2022), CaddyWiper (14.03.2022), DoubleZero (17.03.2022), а також NikoWiper, SwiftSlicer та RoarBat протягом 2023-2024 років.
Мета wiper-атак — максимальне збільшення часу відновлення інфраструктури та зупинка бізнес-процесів. росіяни використовують їх проти критичної інфраструктури, державних органів, енергетики та великих приватних компаній.
APT-угруповання: основні актори проти України
Організовані групи систематично атакують українські організації, працюючи від імені спецслужб російської федерації.
ГРУ: Головне розвідувальне управління
Sandworm (Telebots, Voodoo Bear) — найнебезпечніше угруповання проти критичної інфраструктури. Найгучніші операції: NotPetya (2017) зі збитками $10+ млрд, серія атак Industroyer (2017, 2022, 2024) на енергетику, AcidRain (2022) — знищення супутникових модемів Viasat. Використовують тривале проникнення, lateral movement, атаки на SCADA-системи та wiper-операції. Шість офіцерів ГРУ перебувають у розшуку за ордерами ФБР.
Sednit (Fancy Bear, APT28) — атаки проти військових структур, НАТО, урядових установ. Тактика: цілеспрямовані фішингові кампанії та експлуатація 0-day вразливостей.
ФСБ: масштабна шпигунська кампанія
Gamaredon (Armageddon, Primitive Bear) — найактивніше угруповання, працює з Криму з 2014 року. Щоденна активність з 2021 року, 300-500 нових зразків malware щотижня. Присутність у кожній великій організації в Україні, особливо у держструктурах.
Тактика: масовий фішинг, зараження документів через макроси, агенти для месенджерів (Telegram, WhatsApp, Signal, Viber). Арсенал «Ptero»: PteroLNK/PteroDoc (weaponizers), PteroPSLoad/PteroVLoad (завантажувачі), PteroPSDoor/PteroVDoor (backdoor’и), PteroGram/PteroCookie (крадіжка даних з месенджерів), PteroScreen (скріншоти). Основні цілі: державні установи (100% ураження), енергетика, оборонна галузь.
СВР: таргетоване шпигунство
The Dukes (Cozy Bear, APT29) — атаки проти дипломатичних місій, міжнародних організацій. Довгострокове шпигунство, викрадення конфіденційних документів.
InvisiMole — атаки проти держструктур та військових об’єктів. Складний багаторівневий malware, тривале перебування в мережі без виявлення. Співпраця з Gamaredon для первинного доступу.
Кейс атаки на Київстар (грудень 2023 року)
Атака InvisiMole (СВР) на найбільшого телекомоператора України призвела до повного відключення послуг для мільйонів користувачів — як цивільних, так і військових. Наслідки: зупинка телекомунікацій, відключення військово-цивільного зв’язку (військовий злочин), витік даних у Telegram-каналі «Солнцепек» (ГРУ). Висновок: атаки на критичну інфраструктуру завжди координуються спецслужбами рф, незалежно від публічних заяв про «хактивістів».
Supply Chain атаки
Компрометація ланцюга постачання ПЗ, обладнання чи послуг. Типові сценарії: зараження репозиторіїв (npm, PyPI, Maven), компрометація CI/CD pipeline, атаки через підрядників, підміна оновлень. Приклади: SolarWinds (2020), Kaseya (2021).
Захист: верифікація підписів оновлень, сканування залежностей (Software Composition Analysis), контроль доступу до CI/CD, security audits постачальників, перевірені репозиторії.
Insider Threats: загроза зсередини
Загроза від осіб з легітимним доступом: співробітників, підрядників, партнерів. Типи: зловмисний (помста, фінансова вигода), недбалий (порушення політик, халатність — найчастіший), скомпрометований (викрадені облікові дані, соціальна інженерія).
В умовах війни ризик зростає через: перехід на бік ворога, шантаж через родичів на окупованих територіях, ідеологічну мотивацію, фінансовий тиск.
Захист: принцип найменших привілеїв, моніторинг через UBA/UEBA, контроль критичних дій, регулярні аудити доступу, Security Awareness навчання, системи DLP.
Сучасний бізнес функціонує в умовах постійної кіберзагрози, і це вже не питання ймовірності атаки, а питання часу. Ефективна кібербезпека вимагає комплексного підходу: розуміння ландшафту загроз, впровадження відповідних технічних та організаційних заходів, постійного моніторингу та готовності до швидкого реагування, а найголовніше — інтеграції безпеки у стратегію розвитку бізнесу на найвищому рівні управління.
