«Вакцинації» від кібератак не існує: тож чи можливо бізнесу зменшити витрати на захист та діяти на випередження, а не гасити пожежі
Та який вигляд має карта кіберзагроз – 2025
Повномасштабна війна змусила Україну по-новому подивитися не лише на оборону, а й на цифрову безпеку. Кіберзагрози стали постійними, а ризики – частиною щоденного життя не лише державних органів, а й бізнесу та звичайних користувачів.
Чи може українська кіберекосистема встояти перед новими викликами? Що має знати бізнес про нові загрози та як діяти, якщо атакують не сервер, а співробітників? Які нові «інструменти» взяли на озброєння хакери?
Про це та багато іншого говорили експерти дискусійної панелі «CyberTech. Кібербезпека: тренди у загрозах і як з ними боротися» в рамках Mind WinTech Summit 2025.
Mind зібрав головне з дискусії.
Олег Полігенько, головний спеціаліст з інформаційної безпеки в Nova Digital (група компаній NOVA (розробка технологічних рішень для бізнесу):
«Кібербезпека – це про людей. Тут потрібна щоденна, послідовна робота: навчання персоналу, розуміння ризиків, сценарії дій у разі інцидентів».
Про карту найпоширеніших кіберзагроз у 2025 році. Щодня ми стикаємося з новими викликами та загрозами у сфері кібербезпеки. Ці загрози напряму пов’язані як із державним сектором, так і з приватним бізнесом та суспільством загалом. Я б хотів умовно розділити цю реальність на п’ять основних векторів:
- Атаки на критичну інфраструктуру – оборону, виробництво, транспорт, логістику. З початку 2025 року станом на середину квітня вже скомпрометовано понад 840 компаній – це статистика лише з відомих кейсів.
- Ланцюгові атаки, коли через одну компанію атакують її партнерів, постачальників або клієнтів.
- Цілеспрямовані фішингові атаки. Вони становлять особливу небезпеку. Злочинці надсилають повідомлення з легітимних поштових скринь, використовують техніки підміни, OpenID Redirection, інші методи соціальної інженерії – все, щоб отримати доступ до внутрішніх систем компанії.
- APT-групи (Аdvanced persistent threat – різновид складних кібератак для отримання несанкційованого доступу до інформаційних систем жертви та встановлення прихованого доступу до неї з метою використання або контролю в майбутньому. – Mind). Особливо активні проросійські угруповання, вони діють точково, майже не залишаючи слідів.
- Атаки з використанням штучного інтелекту. Сьогодні ШІ застосовується для генерації персоналізованого фішингу й інших типів таргетованих атак. І якщо раніше зловмисники орієнтувались на компанії, то тепер вони все частіше переходять до індивідуальних користувачів.
Про ключові правила «гігієни». Кібербезпека – не одноразовий проєкт. Це постійний процес: робота зі співробітниками, інформаційними активами, системами. І цей процес має бути безперервним, тому що ландшафт загроз змінюється буквально щодня.
Не можна залишатися в «режимі очікування». Це не про те, що один раз зробив і забув. Це не ремонт – це системна щоденна діяльність. Йдеться про підтримку програмного забезпечення в актуальному стані, оновлення налаштувань безпеки, використання перевірених рішень.
Є публікації, рекомендації, чек-листи – все це доступне онлайн і часто безоплатно. Звідти можна дізнатися, як себе перевірити, зробити «фаст-чек» своєї інфраструктури.
Навіть базова самоперевірка або базовий аудит можуть бути дуже ефективними. І знову ж таки – це можна зробити без фінансових витрат.
Далі – впровадження команд і внутрішніх процедур. Адже кібербезпека – це про людей. Тут потрібна щоденна, послідовна робота: навчання персоналу, розуміння ризиків, сценарії дій у разі інцидентів.
Якщо процеси будуть налагоджені, люди розумітимуть, що робити – ви автоматично зменшите витрати на кібербезпеку, бо будете діяти на випередження, а не гасити пожежі.
Сергій Приньов, виконувач обов'язків генерального директора компанії Seeton (системний інтегратор з впровадження IT-практик):
«Основна рекомендація для малого й середнього бізнесу – не чекати, а діяти вже зараз. Не варто виправдовуватися браком ресурсів, часу чи коштів – ринки вже пропонують доступні сервіси для МСБ».
Про ілюзію абсолютного захисту. Завжди існує фактор невідомого. Прикладом є історії моїх друзів, які стикнулися з тим, що ми сьогодні обговорюємо – так звані атаки Zero-Day – загрози, до яких практично неможливо бути готовим. Ні виробники, ні компанії (навіть із найбільшими бюджетами) не можуть передбачити те, чого ще ніхто не виявив.
І тому, коли на конференціях звучать обіцянки на кшталт «Ми захистимо вашу компанію на 100%» – знайте: така обіцянка нічого не варта. Абсолютний захист неможливий.
Про кіберзахист без великих витрат для бізнесу. Будь-яка компанія – чи то малий і середній бізнес, чи то велика корпорація, чи то державна структура – має дуже різний рівень готовності до кіберзагроз. І найперше, що визначає цей рівень, – бажання щось змінити. Це довгий шлях. Ви можете пройти його за місяць, рік, три або навіть п’ять. Але його треба пройти.
Неможливо просто взяти якусь бібліотеку або набір правил, накрити ними інфраструктуру – і сказати: «Моя компанія тепер захищена, як усі найкращі компанії Європи».
Основна рекомендація для малого й середнього бізнесу – не чекати, а діяти вже зараз. Малому бізнесу дійсно часто бракує бюджету, ресурсів, фахівців. Але це не означає, що нічого не треба робити. Такий висновок – хибний. Навпаки – діяти потрібно. І є з чого почати.
Елементарно – користуватися послугами CISO (Chief Information Security Officer – керівник з IT-безпеки). Якщо у вас немає власного спеціаліста, ви можете найняти такого віртуально.
Водночас існують Security Operations Center, які можуть працювати з вашою компанією, моніторити інфраструктуру, попереджати інциденти. SOC – це постійний моніторинг, реагування, підтримка. Він може стати для вас не лише захистом, а й навчальним елементом для працівників. Адже навчання співробітників – це теж частина безпеки. І це теж доступно.
Можливо, все це звучить банально чи навіть примітивно. Але це працює. Не варто виправдовуватися браком ресурсів, часу чи коштів – ринки вже пропонують доступні сервіси для малого й середнього бізнесу.
Роман Сологуб, директор і співзасновник ISSP (спеціалізована компанія з кібербезпеки):
«Все більше атак ґрунтуються саме на соціальній інженерії. Користувач – це найвразливіша ланка, тому ми бачимо перехід до концепції human-centric security».
Про «вакцинацію» від кіберзагроз. У мене дві новини – погана й не така погана. Почну з першої: обсяг інвестицій у кіберзахист, ймовірно, не зросте. Чому? Тому що зростає як сам бізнес, так і кількість користувачів, індивідуальних площ у кіберпросторі. А сам кіберпростір стає дедалі привабливішим вектором для зловмисників – вони використовують його для своєї діяльності. І можуть бути мотивовані як державами-терористами, так і просто фінансовою вигодою.
Але «не така погана» новина полягає в тому, що з появою кіберзагроз зла у світі не стало більше. Просто сам злочин переходить в інший простір – цифровий.
Було б чудово, якби це працювало як з вакцинацією від грипу. Наприклад, «цього року очікуються ось такі атаки – зробіть щеплення, і все буде добре». Але, на жаль, це так не працює. Тут усе накопичується – динаміка зростає і не зменшується.
Про нові кіберзагрози. Зараз серед актуальних трендів – голосовий фішинг. Наприклад, вам може зателефонувати зловмисник із дуже схожим на вашого керівника чи знайомого голосом. Попросить щось зробити або переказати гроші. Аби здійснити таку атаку, достатньо трохи покопатися у відкритих джерелах або соцмережах.
Цим займаються цілі групи людей. І з появою генеративного ШІ їхні інструменти стають ще потужнішими. Тож усе більше атак ґрунтуються саме на соціальній інженерії. Користувач – це найвразливіша ланка, тому ми бачимо перехід до концепції human-centric security.
Паралельно тривають атаки і на інформаційні системи, і на софт із вразливостями. І в умовах війни навіть попри обмежені ресурси enterprise-сектор не завжди встигає за цими викликами.
Про shift-left підхід до захисту. Кібербезпека та IT – це насамперед бізнес-процеси. Управління ними – це менеджерська робота. Якщо хтось пам’ятає класичні книги Пітера Дракера, він говорив про організацію як основу організаційного прориву. І, якщо така думка ще десь живе – це дуже важливо, бо саме вона лежить в основі розуміння кібербезпеки.
Суть у тому, що цікавитися кібербезпекою – це вже правильний крок. І є чимало безплатного контенту, з якого можна почати. Це і про безпечне робоче місце, і про те, як вести документацію, адмініструвати облікові записи й що таке кваліфіковане адміністрування, тощо. Ми повинні ділитися цими «фішками» не як інструкціями, які треба сліпо виконувати, а як практиками, які можна використовувати на рівні здорового розуміння.
Наша головна цінність – це обробка й захист інформації: клієнтської, співробітницької, партнерської. І саме над цим ми й повинні працювати – самонавчанням і впровадженням.
Сьогодні модно говорити про нові підходи. Наприклад, у стартапах, які займаються розробкою, все частіше зустрічається підхід shift-left – коли ще до написання першого рядка коду ти вже вибудовуєш модель безпеки. Тобто, перш ніж щось запускати, ти вже маєш архітектуру захисту, розуміння загроз, можеш враховувати OWASP Top 10 чи інші галузеві стандарти. Тому я наполягаю й навіть раджу: в організаційній культурі має бути місце для кібербезпеки. І почати це впроваджувати можна безплатно.
Якщо ви дочитали цей матеріал до кінця, ми сподіваємось, що це значить, що він був корисним для вас.
Ми працюємо над тим, аби наша журналістська та аналітична робота була якісною, і прагнемо виконувати її максимально компетентно. Це вимагає і фінансової незалежності.
Станьте підписником Mind всього за 196 грн на місяць та підтримайте розвиток незалежної ділової журналістики!
Ви можете скасувати підписку у будь-який момент у власному кабінеті LIQPAY, або написавши нам на адресу: [email protected].
