Хмари під обстрілами: як Україна вчиться перемагати в кібервійні та відбивати хакерські атаки

Навіщо потрібна стратегія кіберзахисту?

Які головні досягнення у зміцненні кіберзахисту та розвитку хмарних сервісів за 2025 рік – наскільки покращились реакція на інциденти та готовність критичної інфраструктури?

Ключова задача, яка мені була поставлена першим віцепремʼєром, – це розробка політики хмарних послуг, або ще можна її назвати національна стратегія. Саме Мінцифра відповідає в уряді за цю політику. Ми маємо задати головні напрямки розвитку хмарних технологій в публічному секторі, встановити правила для ринку, що актуальні на сьогодні.

Мені трохи пощастило, бо в Мінцифрі вже були певні консультаційні матеріали від зовнішніх консультаційних компаній, але цього було не достатньо. Коли пишеш політику рівня держави, яка знаходиться у війні, ти не маєш права просто прийняти чиїсь матеріали.

Кожне твоє рішення має пройти скрізь тебе, ти маєш розуміти його досконало і ретельно зважити кожну деталь. Так було і тут. Я перечитував наявні матеріали, консультувався із різними організаціями інших країн світу, та формував власне бачення крізь свій досвід.

Наразі ми сформували остаточну концепцію, яка мене задовольняє. Ця стратегія має вирішити одразу декілька проблем, але найголовнішою є стійкість цифрової держави. Україна має надавати цифрові державні послуги своїм громадянам попри ракетні обстріли чи проблеми з енергетикою. Вирішуючи одні проблеми ми також маємо не створити нові – просто переїхати в цифрову інфраструктуру інших країн, інфраструктуру, яку держава не контролює на 100%, для нас також не вихід.

Тому головним досягненням за цей час я вважаю завершення формування стратегії з розвитку хмарних послуг. Саме її впровадження дозволить підвищити показники доступності для багатьох цифрових сервісів та стійкість до деяких видів атак, включно з кінетичними.

Щодо вимірювання часу реагування на інциденти, то я вважаю, що буде не зовсім коректно робити певні усереднені показники – це питання більше до команди CERT-UA. Саме вони виконують реагування на кіберінциденти і зменшення часу у черзі більше залежить від спроможностей як цього органу, так і від залученості бізнесу до цієї роботи.

Наразі в Україні всього одна національна команда реагування, але відсутні заборони наймати комерційні структури для виконання цієї функції. Більше з тим, в Україні є дуже просунуті компанії світового рівня, які надають ці послуги. Залучення державними органами приватних компаній дозволило б суттєво покращити показники часу реагування на кіберінциденти, якість їх розслідувань та усунення наслідків.

Про загрози та слабкі місця

Які типи загроз виявилися найнебезпечнішими у 2025-му і де залишилися слабкі місця в обороні (кібератаки, людський фактор, постачальники, технічні рішення)?

Дуже гарне питання стосовно слабких місць.

У кіберпросторі, як окремому театрі бойових дій на рівні із суходолом, морем та небом, спостерігається певна зміна парадигми по аналогії із дронами. Якщо раніше найпотужнішим кіберпідрозділом вважався той, хто мав арсенал із дорогих експлоїтів для zero-day вразливостей, то зараз перемагають ті атакуючі, хто більше налягає на дешевший фішинг та різні види соціальної інженерії.

Нечувану користь приносять доволі прості атаки на пристрої, які історично погано захищені, як-от камери спостереження та інші IoT-девайси. Один вдало переданий в службу підтримки якогось сервісу xlsx-файл із шкідливим "імплантом" здатен причинити ураження аналогічне тому, де дрон за 500 доларів спалює бойову машину за 10 мільйонів.

Це в жодному разі не скасовує цінність дорожчих та складніших атак, включно зі вже згаданими експлоїтами для zero day. Будь-яка команда буде у захваті від такого інструментарію, але масовий вплив роблять не технічно-складні атаки, а атаки із креативним підходом, чітким баченням кінцевої цілі та фокусом на "фруктах, що висять низько" за умов великого масштабу атаки.

Віталій Балашов / Фото Мінцифри

До речі, від великої частини таких атак навіть неосвідченого користувача може врятувати саме базові правила кібергігієни та критичне мислення, а не лише дорогі технічні комплекси.

Які плани на 2026 рік?

Які конкретні ініціативи та метрики на 2026 рік щодо переходу в хмару, запровадження zero-trust або скорочення MTTR ви плануєте реалізувати?

Для мене важливими метриками є час доступності сервісів і рівень їх захищеності. І якщо перше ми можемо виразити через ряд очевидних метрик, в тому числі згаданий MTTR (мовиться про ключовий показник ефективності, що вимірює середній час, потрібний для відновлення системи після збою, – 24 Канал) і не тільки, то у випадку із захищеністю все не так очевидно.

Існують різні підходи до оцінки стану захищеності ІКС, моделі зрілості тощо. Для різних типів систем можуть використовуватися різні підходи. Тут важко узагальнювати. Міряти рівень захищеності кількістю інцидентів також можна, але цей метод має певну валідну критику.

На 2026 рік заплановано декілька ініціатив. Одна із найцікавіших, на мою думку, це впровадження правил безпечної розробки ІКС на рівні регуляторних вимог. Першими, хто буде впроваджувати ці практики будуть проєкти Мінцифри. Ми є офіційним драйвером цифровізації держави й ми просто зобов'язані бути в цій сфері гарним прикладом для інших. Те ж саме стосуватиметься і підрядників. Ми маємо прийти до правила "хочеш продавати ПЗ державі – роби його безпечним". А держава, своєю чергою, має навчитись чітко формувати очікування та перевіряти результат.

Критичний момент у 2025 році

Чи був у 2025 році момент, який змусив переглянути підхід до кіберзахисту або хмарної стратегії – і що саме змінилося після цього?

Скоріше ні, ніж так. Були декілька ситуацій, які привертали увагу, підтверджуючи вже відомі раніше ризики. Але сказати, що вони змусили щось переглянути – то ні. Просто підтвердження, що ризики, які ми приймаємо, можуть іноді реалізуватися. Ми маємо бути готовими й краще їх прораховувати.

Давайте на прикладах: в 2025 році стався цікавий кейс, в якому зловмисники використали популярний публічний ШІ-чат щоб атакувати велику кількість організацій, знизивши поріг входу в реалізацію подібної атаки дуже суттєво. Такий собі вайбхакінг. Чи стало це сенсацією? Ні. Чи розуміли працівники безпеки, що такий ризик існує? Думаю, і не тільки працівники безпеки це добре розуміли. Тут питання більше про відповідальність синіх команд та наявність ресурсів, якими вони можуть оперувати для побудови захисту.

Інший випадок – блокування відомим провайдером хмари певних облікових записів, що могло негативно вплинути на хід бойових дій країни-клієнта. Ризик доволі відомий, правила, за яких він реалізується, також очевидні й виписані, сценарії захисту відомі. То ж ми уважно слідкуємо за світовими новинами у своїй сфері й враховуємо чужий досвід, щоб навчатися не тільки на своєму.

Про кіберграмотність

Як ви плануєте у 2026 році підвищувати кіберграмотність держслужбовців і команд, які працюють з критичними системами?

Наприкінці 2025 року в Україні була прийнята стратегія з кібергігієни. Для широкого загалу ми залюбки ділимося матеріалами на ресурсі Дія.Освіта, а для тих, хто хоче спробувати себе у ролі керівника цифровізації або кібербезпеки, існує CDTO Campus, де майбутні цифрові лідери проходять необхідне навчання.

Але я хотів би підкреслити, що Мінцифра може і буде сприяти й допомагати у підвищенні кіберграмотності, але законодавство України чітко визначає, що відповідальний за безпеку системи - її власник або той, кому він делегував ці обовʼязки згідно з законною процедурою. Тож в першу чергу керівники організацій, власники, розпорядники та адміністратори державних ІКС мають бути ініціаторами підвищення кіберграмотності, захищеності систем та забезпечення їх безперервної роботи.