Від початку повномасштабного вторгнення в Україні паралельно триває велика кібервійна з РФ. Упродовж трьох останніх років українці чули про масштабні кібернапади хакерів, які заважали роботі “Укрпошти”, “Монобанку”, атакували Єдину державну електронну базу з питань освіти (ЄДЕБО), а також ресурси Міноборони.

При цьому мета і фокус роботи ворожих кіберзлочинців поступово змінились. У 2024 році хакерами РФ було здійснено масштабну атаку на систему захисту мережі зв’язку “Київстар”, а пізніше виведено з ладу Єдині державні реєстри Міністерства юстиції.

Щоб розібратися, яким чином Україні слід протидіяти кіберзагрозам у 2025 році, Укрінформ поспілкувався з головою Державної служби спеціального зв’язку та захисту інформації Олександром Потієм.

ОСНОВНІ ВИКЛИКИ ПОВНОМАСШТАБНОЇ ВІЙНИ

— Ви були призначені заступником голови Служби ще до початку вторгнення  – у 2020 році. Чи передбачали ви тоді, що Держспецзв’язку постане перед такими викликами?

— Звичайно, тоді ніхто не міг точно знати, що відбудеться у лютому 2022-го. Однак тоді ми всі вже бачили, що відбувалося в Криму та на Донбасі, тому чітко усвідомлювали, що з боку нашого сусіда можна очікувати будь-яких дій.

Тому ми мали в максимально короткий термін забезпечити підготовку тих напрямів, за які ми відповідаємо, до найбільш кризових варіантів розгортання подій, включно з воєнними діями.

Ми забезпечили значні зміни у кіберзахисті, розробили нові підходи та інструменти, спираючись на передовий світовий досвід.

Тоді ми посилили та модернізували нашу складову роботи, яка стосується забезпечення керівників держави урядовим зв’язком.

І, значною мірою, завдяки зробленій напередодні повномасштабного вторгнення роботі, ми допомогли українським військовим утримати стабільний зв’язок у перші дні війни.

— Якими стали основні виклики під час повномасштабної війни?

— Ця війна принесла кілька моментів, які виразилися значно більшою мірою, ніж всі очікували. Перш за все вони стосуються кіберскладової. Про це говорили, і говорили чимало, і навіть до 2022 року.

Але далеко не всі вірили у важливість кібербезпеки, у те, що кібердомен стане настільки важливою складовою.

У те, що ми побачимо реальну кібервійну, яку веде одна держава проти іншої. Агресію, яку здійснюють хакери, що працюють у відповідних службах російської федерації або фінансуються країною-агресором.

Фактично агресивні дії у кіберпросторі стали початком цієї фази війни. Адже перша значна кібератака з боку російських хакерів почалася більше ніж за місяць до фізичного вторгнення – у ніч з 13 на 14 січня – і після цього атаки у кіберпросторі не стихають донині.

І друга характерна новація цієї війни – широкомасштабне застосування дронів. Можливо, російсько-українська війна не стала першою, в якій були залучені безпілотні літальні апарати. Але вона точно стала першою, коли дрони стали тим інструментом, який змінив ведення війни. І не лише на суходолі.  

— До слова, вже після початку війни держава запустила програму забезпечення військових безпілотними системами. У межах цієї ініціативи Держспецзв’язку активно закуповує дрони для українських захисників. Чого вдалося досягти у цьому напрямку?

— Від початку війни дрони показали свою ефективність на полі бою. Тому питання створення механізму для забезпечення сил безпеки було серед пріоритетних. У 2022 році ми знайшли тимчасове рішення та почали закуповувати дрони, використовуючи благодійні кошти – внески, які на придбання дронів робили люди.

А у 2023 році Кабінет Міністрів України ухвалив постанову №256 «Про реалізацію експериментального проєкту щодо здійснення оборонних закупівель безпілотних систем, засобів радіоелектронної боротьби та активних засобів протидії технічним розвідкам вітчизняного виробництва». Вона запустила державну програму із закупівель безпілотних систем. Це дало не тільки можливість забезпечувати дронами українських військових, а й запустило процес формування ринку українських дронів та збільшення кількості виробників.

— Чи є уточнені цифри щодо кількості дронів, які вдалось закупити з початку повномасштабного вторгнення РФ в Україну?

— За три роки війни Держспецзв’язку уклала договори з понад 150 компаніями на закупівлю майже 1,8 мільйона безпілотних систем різних типів.

ПЛАНИ З ВІДНОВЛЕННЯ ПОКРИТТЯ ТА ЗВ’ЯЗКУ ПІСЛЯ ДЕОКУПАЦІЇ

— В перші дні повномасштабного вторгнення Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) при Держспецзв’язку також заборонив українським операторам обмежувати можливості отримання послуг мобільного зв’язку та інтернету громадянам на окупованих територіях. Проте росіяни відключали зв’язок. Як довго триватиме його відновлення у разі деокупації наших територій?

— Це було принципове рішення, яке дало можливість багатьом українським громадянам залишатися на зв’язку, мати контакт із рідними, отримувати правдиву інформацію. Нагадаю, що в тимчасово окупованих районах Херсонщини українці могли користуватися послугами мобільного зв’язку аж до травня, поки ворог фізично не знищив інфраструктуру.

Водночас мобільним операторам доручили не блокувати сім-картки, які довгий час не використовувалися та не оплачувалися, зокрема й на окупованих територіях.

Такою самою була мотивація, коли НЦУ видавав розпорядження про запровадження національного роумінгу, який давав змогу у разі знищення базових станцій одного з операторів здійснювати дзвінки через мережу іншого оператора.

Під час деокупації наших територій є чіткі плани щодо відновлення покриття та мереж звʼязку. Саме НЦУ здійснює координацію дій операторів щодо взаємодії з військовими, які забезпечують розмінування територій, та енергетиками, без роботи яких неможливо запустити базові станції.

Встановити, скільки триватиме відновлення у конкретних місцях, можливо тільки після аналізу ситуації та стану інфраструктури, адже ми були свідками, коли при відступі ворожі війська цілеспрямовано знищували телекомунікаційну інфраструктуру, заміновували територію навколо неї.

Однак ми маємо практику першочергового відновлення зв’язку з використанням  пересувних базових станцій та обладнання супутникового зв’язку, застосуванням генераторів та інших засобів, яка допомогла доволі швидко повернути зв’язок на деокупованих територіях Київської, Чернігівської, Сумської, Харківської та Херсонської областей.

— Пам’ятаємо, ще до повномасштабної війни Держспецзв’язку впроваджувала ініціативу з покращення сигналу українського телебачення. Мова йшла про посилення сигналу передавачів на телевізійних вежах. Чи вдалось тоді в якихось районах досягти поставленої мети?

— На момент, коли я прийшов служити до Держспецзв’язку, ми мали єдиного приватного монополіста на ринку надання послуг із трансляції цифрового телесигналу для мовлення загальнонаціональних та регіональних телеканалів.

Така ситуація уповільнювала розвиток цього ринку послуг, оскільки монополіст не мав стимулу покращувати щось у своїй роботі, адже не відчував тиску конкурентів. Приватні мультиплекси покривали великі населені пункти, що є найбільш економічно рентабельним. Фактично в державі залишалися великі площі, які взагалі не були покриті сигналом цифрового мовлення.

Особливо критична ситуація з доступом до українського телебачення складалася на прикордонних територіях, жителі яких вимушено споживали контент сусідніх країн, включно з пропагандою, яку транслювали російські канали. Тому зміни у цій сфері були питанням національної інформаційної безпеки.

Від весни 2021 року Концерн радіомовлення, радіозв’язку та телебачення, який належить до сфери управління Держспецзвʼязку, дав старт будівництву інфраструктури для державного мультиплексу МХ-7.

Незважаючи на складні часи війни, фахівці Концерну, хоч і з певним запізненням, першого червня 2023 року запустили тестову експлуатацію мережі.

Завдяки цьому, а також реалізації низки ініціатив зі збільшення охоплення території країни сигналом, удалося забезпечити охоплення мовленням понад 90% підконтрольної території. Зокрема і прикордонних районів, де українського мовлення ніколи не було.

— Чи вже відновлені ті об’єкти, що були зруйновані країною-агресором?

— Варто зазначити, що нас досі очікує масштабна робота з відновлення інфраструктури Концерну. Лише на підконтрольній території пошкоджені або зруйновані 34 об’єкти.

Частину об’єктів удалося відновити хоча б частково, щоб забезпечити трансляцію сигналу. Однак повне відновлення потребуватиме тривалого часу та коштів, адже телевізійна інфраструктура – це складні інженерні споруди. Для прикладу, тільки на відновлення київської телевежі потрібно 195 мільйонів гривень.

Ми забезпечували трансляцію українського телебачення та радіо там, де це було можливо. У нас були реальні випадки, коли фахівці Концерну радіомовлення, радіозв’язку та телебачення після ракетних обстрілів із пораненнями відновлювали роботу передавальних станцій.

Та наскільки важливим є питання забезпечення наших громадян доступом до сигналу українських мовників, ми добре побачили вже у 2022 році. Адже саме тоді трансляція українського телебачення та радіо стала для багатьох українців на прифронтових та тимчасово окупованих територіях єдиною можливістю отримати доступ до правди.

— Чи є можливість зараз в українців на тимчасово окупованих територіях дивитися українське телебачення?

— У перші дні війни було ухвалене рішення про розкодування супутникових телеканалів. Наразі трансляція понад 50 українських телеканалів доступна, зокрема й на окупованих територіях, зі супутника Астра 4А. Також українські телеканали присутні у відкритому доступі на супутнику Hotbird 13G.

Окрім цього, можна дивитися українське телебачення в інтернеті, але краще це робити через VPN. Та й взагалі на тимчасово окупованих територіях треба бути максимально обережним та зайвий раз не наражати себе на небезпеку.

— А чи триває боротьба з російським сигналом сьогодні у прифронтовій зоні?

— Так, держава вживає відповідних заходів із блокування і на прикордонні, і в прифронтовій зоні. Однак це – доволі чутлива інформація, тому без деталей.

ЗАГАЛЬНА КІЛЬКІСТЬ КІБЕРІНЦИДЕНТІВ ЗРОСТАЄ

— Ви вже зазначали, що зараз у кіберпросторі триває повноцінна кібервійна, де Росія фактично атакує українські інформаційні ресурси. Кого представляють ці хакери, і які державні органи найбільше їх «цікавлять»?

— Українські інформаційні системи атакують угрупування хакерів, які фактично є структурними підрозділами російських спецслужб: ФСБ – UAC-0010 (Armageddon), UAC-0036 (Calisto), головне управління ГШ збройних сил РФ – UAC-0002 (Sandworm), UAC-0001 (APT28). Або інші групи, які однаково контролюються спецслужбами РФ.

Серед останніх – доволі велика кількість груп хактивістів, наприклад, XakNet, CyberArmyofRussia, Zarya тощо. Такі групи спеціалізуються здебільшого на DDoS-атаках, поширенні пропаганди, інформаційному тиску, проте деякі з них також є контрольованими російськими спецслужбами, і використовуються для публічного висвітлення «досягнень» у кібератаках.

Крім того, деякі приватні хакерські угрупування почали працювати на країну-агресора. Наприклад, UAC-0050, яке оголосило про припинення «професійної» діяльності під «брендом» DaVinci Group за декілька діб до російського вторгнення у 2022 році, сьогодні є одним із найактивніших угрупувань.

Російські хакери найбільше атакують організації, що відіграють ключову роль у функціонуванні держави та забезпеченні національної безпеки. Це – сектор безпеки та оборони, місцеві органи влади, критична інфраструктура, зокрема енергетичний сектор.

Особливу увагу кіберзловмисників привертають органи влади, де ймовірно розміщена інформація, яку вони зможуть використати для досягнення політичних і військових цілей та для організації подальших кібератак. Це можуть бути і дані про бюджетні витрати, і про постачальників або навіть персональні дані співробітників установ, компаній чи військових. Також значну увагу за ці роки приділяли медіасектору, адже через нього можна впливати на громадську думку, поширюючи дезінформацію, та дискредитувати державні органи.

— У 2022-му Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, лише за пів року зафіксувала 1350 кібератак. Як змінився цей показник станом на початок 2025-го?

— Ми протягом цих років спостерігали тенденцію до збільшення загальної кількості кіберінцидентів. Якщо порівнювати перше півріччя минулого року з аналогічним періодом 2022 року, то цей показник зріс до 1739, але водночас  зменшується кількість інцидентів високого та критичного рівнів.

Однак за ці роки ми побачили, наскільки динамічною є війна у кіберпросторі. І це – не стільки про кількість атак (хоча й кількісні характеристики вражають), скільки про здатність ворожих кіберзловмисників змінюватися.

Російські хакери продемонстрували значну адаптивність. Здатність швидко перебудовувати свою роботу, змінювати цілі, підходи, вдосконалювати інструменти. Це – надзвичайно важливий досвід, який потрібно детально аналізувати. Адже він дає можливість усвідомити не лише, наскільки важливим є захист інформаційних систем у кіберпросторі, а й те, що процес посилення кіберзахисту не можна зупиняти ні на мить. Будь-яка найменша зупинка дасть фору ворогу, який уже працює над новими шляхами обходу тих систем захисту, які у нас є.

Що стосується 2025-го року, то ще рано робити прогнози, проте ми припускаємо, що кількість інцидентів залишиться на тому ж рівні, що й у 2024 році.

— Чи змінилися підходи та стиль атак ворога у кіберпросторі за роки війни?

— У перший рік повномасштабної війни серед ключових цілей ворожих хакерів було знищення інформаційної інфраструктури, зокрема для досягнення швидкого пропагандистського ефекту, а також отримання всіх можливих баз даних. Водночас «ламали» системи за принципом максимального охоплення та швидкого результату – йшли туди, куди могли дотягнутися, шукаючи тих, хто був максимально слабким із погляду безпеки інформації.

Вже у 2023 році значно зросла сфокусованість атак та їхня складність. Ми спостерігали активність російських хакерських груп із деструктивних кібератак. Жертвами були ІТ-компанії, інтернет-провайдери та компанії, які надають сервіси телекомунікації. Як мінімум 11 інтернет-провайдерів постраждали від деструктивних кібератак впродовж 2023 року. І фіналізацією цього була кібератака на Київстар у грудні 2023-го.

Всі ці кібератаки супроводжувалися «зливами» та публікаціями в російських соцмережах. Також ми бачили поступову зміну фокусу. Російські хакери більше уваги стали приділяти закріпленню в інформаційних системах для збору інформації.

Попередній рік зберіг цей фокус, однак ворога імовірніше цікавила саме інформація, пов’язана з театром бойових дій. Цілями тут були сектор безпеки й оборони України та компанії, які безпосередньо пов’язані з їх підтримкою (особливо оборонно-промисловий комплекс).

Крім того, в 2024 році значно підвищилась активність російських фінансово мотивованих груп, які займаються викраденням коштів як шахрайськими методами, так і таргетованими кібератаками на великі організації.

КІБЕРРЕФОРМА Й ОНОВЛЕННЯ ЗАХИСТУ У КІБЕРПРОСТОРІ

— Через тиждень після російської кібератаки на Єдині державні реєстри Мін’юсту Верховна Рада України проголосувала законопроєкт щодо кіберзахисту державних інформаційних ресурсів, які є об’єктами критичної інформаційної інфраструктури. Що, на вашу думку, змінить цей документ?

— Так, 8 січня Верховна Рада вже прийняла законопроєкт 11290 у першому читанні. Завдяки ухваленню цього закону відкриється шлях до формування мережі команд реагування на кіберінциденти.

Так, після ухвалення документа будуть введені штатні посади фахівців із кібербезпеки в державних установах, міністерствах, на підприємствах тощо, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом.

Це значно знизить ризики негативного впливу кібератак та підвищить оперативність реагування на кіберінциденти.

— Згідно з документом, виконавцем закону буде Держспецзв’язку. Розкажіть детальніше, що зміниться з прийняттям закону?

— Впроваджується система професійної сертифікації та формується реальний кадровий кіберпотенціал країни. Також закон сприятиме розвитку ринку послуг кібербезпеки для приватного сектору.

А окрім того, проєкт містить положення, які забезпечують імплементацію норм європейських директив із кібербезпеки до національного законодавства та до практики роботи основних суб’єктів системи кібербезпеки.

Отже, ступінь гармонізації українського законодавства з законодавством ЄС у цьому напрямі сягне майже 80 відсотків. А це – реальне наближення нашої системи до кращих європейських практик.

— Другого січня Президент підписав закон, завдяки якому буде вдосконалено Національну систему конфіденційного зв’язку (НСКЗ). Що він дасть державі?

— Насамперед він приводить нормативну базу до сучасних вимог, адже чинна редакція Закону «Про Національну систему конфіденційного зв’язку» була розроблена ще у 2002 році й не відповідала сучасним реаліям.

Ухвалення цього документу дасть змогу створити шлюз для обміну інформацією з обмеженим доступом із відповідними підходами до захисту. Тобто державні органи зможуть більш ефективно захищати дані та здійснювати безпечну комунікацію між собою.

Крім того, цей закон також враховує вимоги норм Європейського Союзу. Тому він є не лише відповіддю на сучасні виклики, а й складовою приведення українського законодавства до вимог ЄС у межах євроінтеграційного процесу.

— До Держспецзв’язку було багато питань щодо побудови захисту, який базується на застарілій “Комплексній системі захисту інформації” (КСЗІ – ред.). Говорили про те, що очікуються зміни в цьому напрямі. Що вдалося зробити?

— Ми потроху відходимо від епохи КСЗІ. У травні 2024 року був запущений експериментальний проєкт із декларування безпекових рішень за новими принципами. Проєкт запроваджує цільовий профіль безпеки інформації.

За основу ми взяли ризикоорієнтований підхід американського Національного інституту стандартів і технології – NIST RMF (Risk Management Framework), адаптувавши його до вимог українського законодавства та врахувавши кращі світові практики.

Модель ризиків дає можливість визначити, виконання яких заходів є першочерговим, що потребує фінансування для досягнення максимального ефекту.

Замість того щоб намагатися захиститися від усіх можливих порушників, організація фокусується на мінімізації найбільших ризиків. Що важливо, міжнародні стандарти з кібербезпеки, наприклад ISO 27005, та нормативні акти, такі як уже згадана Директива ЄС NIS2, вимагають застосовувати саме ризик-орієнтований підхід.

Цей експериментальний проєкт триватиме впродовж двох років та стане основою для подальшого вдосконалення підходів до кіберзахисту.

Окрім цього, кілька тижнів тому Держспецзв’язку видала наказ, яким впроваджує норми одного з найкращих фреймворків у сфері кіберзахисту – Cybersecurity Framework (CSF) 2.0. Це – так само розробка Національного інституту стандартів та технологій США.

Саме таким чином ми продовжуємо удосконалювати підходи.

— З якими ще інститутами та профільними світовими компаніями співпрацює Держспецзв’язку України?

— Наприклад, ми плідно співпрацюємо з Агенцією США з кібербезпеки та безпеки критичної інфраструктури CISA, за підтримки якої були запроваджені “Цілі Кібербезпеки в планах кіберзахисту об’єктів критичної інфраструктури та промислових систем”. До слова, відповідні форми планів затверджені в 2023 році та нещодавно оновлені спільним наказом із СБУ.

Загалом, ми вже стали прикладом для інших країн, які оновлюють підходи до захисту у кіберпросторі, орієнтуючись на ті реалії, в яких зараз перебуває Україна.

Ми постійно посилюємо співробітництво як усередині країни, так і на міжнародній арені, залучаючи і державні установи, й бізнес.

Держспецзв’язку тісно співпрацює з профільними установами фактично усіх провідних країн світу. Нашими партнерами є такі світові ІТ-лідери як Microsoft, Amazon, Cisco Talos, Eset, CrowdStrike, Mandiant та багато інших.

Усе це допомагає нам протидіяти кіберзагрозам в умовах повномасштабної війни, в якій кібердомен став одним із ключових. В цих непростих умовах українські фахівці набули унікального досвіду протидії ворожим хакерським угрупуванням, який цінують наші партнери.

— Як ви оцінюєте запроваджену Президентом Володимиром Зеленським «Кіберреформу UA30», яку Держспецзв’язку втілює з 2021 року? Чи  вдасться досягти мети до 2030-го року?

— У 2025-му році Держспецзв’язку завершує тривалу роботу згідно з Концепцією реформування служби. Будучи одним із суб’єктів національної системи кібербезпеки ми запровадили низку системних змін.

Так, під час реалізації Стратегії кібербезпеки вперше проведено комплексний огляд стану кіберзахисту об’єктів критичної інфраструктури та державних інформаційних ресурсів.

Запроваджено скоординоване розкриття вразливостей BugBounty. Це дало можливість визначити пріоритетні напрями для посилення захисту.

Наразі ми ставимо перед собою завдання розширити мережу команд реагування на кіберінциденти та забезпечити створення регіональних центрів протидії кіберзагрозам.

— Цікаво, як готують фахівців з кібербезпеки для виконання таких задач та чи існує потреба у додаткових кадрах?

— Звичайно, ми чітко розуміли, що без рук, які впроваджуватимуть ці зміни, всі реформи так і залишаться на папері. Тому ми взялися за оновлення системи професійної підготовки. Запроваджено рамку кваліфікацій та комплексну реформу професійної підготовки у сфері кібербезпеки, що базується на стандартах США та ЄС.

Розроблено та затверджено 21 професійний стандарт, запущено перший в Україні Кваліфікаційний Центр, який сертифікує фахівців у сфері кібербезпеки та захисту інформації.

Наразі ми закликаємо наукові установи, державні структури та бізнес отримувати акредитацію і відкривати такі самі кваліфікаційні центри. Адже держава потребує значної кількості фахівців, які повинні мати підтвердження своїх вмінь та навичок, своєї високої кваліфікації та здатності виконувати поставлені перед ними завдання.

Анастасія Світлевська

Фото: Олександр Клименко