Днями урядова команда реагування на компʼютерні надзвичайні події CERT-UA зафіксувала нові кібератаки проти українських оборонних підприємств: йдеться про непоодинокі випадки здійснення цільових кібератак у відношенні представників Сил оборони України. Так, у месенджері Signal було виявлено факти розповсюдження повідомлень з архівами, в яких, нібито, містився звіт з результатами наради.
А ще нещодавно гаряча лінія з цифрової безпеки для українців Nadiyno дослідила методи компрометації Telegram-акаунтів та назвала найпоширеніші схеми зламу: фішингові атаки через підроблені повідомлення від "служби підтримки", друзів чи улюблених каналів. У межах дослідження фахівці також дійшли висновку, що використання ШІ для персоналізації атак набирає обертів, а шахрайські повідомлення стають ще переконливішими.
11-12 березня 2025 року відбувся Київський міжнародний форум кіберстійкості, який зібрав понад 1000 відвідувачів — лідерів кібербезпеки, урядовців, кібердипломатів, бізнес спільноту, інвесторів, профільних експертів, аналітиків та медіа. Ми побували на події. Тож, розповідаємо про еволюцію протистояння між Україною та рф у кіберпросторі, нові підходи у кібербезпеці, які вже сьогодні впроваджує український бізнес, і про кібервиклики, що чекають на нас у найближчому майбутньому.
Від диверсій до шпигунства: еволюція кібервійни
За останні вісім років український ринок кібербезпеки зріс у чотири рази й у 2024 сягнув $138 млн: найшвидше зростання продемонстрували хмарна безпека, захист даних та захист кінцевих точок. Як свідчать дані дослідження консалтингової компанії DataDriven Research & Consulting, аналітики прогнозують, що український ринок кібербезпеки протягом наступних п'яти років зросте ще на 50% і сягне $209 млн. Ключовим сегментом ринку кібербезпеки в Україні, за даними експертів, є мережева безпека. Повномасштабна війна, розв'язана рф, спричинила сплеск кібератак в Україні, підвищивши попит на автоматизовані рішення та інноваційні технології. Наразі найбільша кількість кібератак у світі здійснюється на США, Україну, Південну Корею, Китай, а найбільш поширеними видами кібератак є DDoS, Ransomware, Phishing. В Україні постійні кібератаки з боку хакерів рф частіше за все відбуваються на держустанови, ОПК, телекомунікації, фінустанови та енергетику.
За результатами 2024 року очікується, що світовий ринок кібербезпеки сягне $186 млрд. Частка України на цьому ринку поки становить менш як 1%, але фахівці вважають, що наша країна є трендсеттером ринку, випереджаючи інші країни в кіберекспертизі завдяки роботі у R&D сегменті. Так, основними рушійними силами ринку в Україні є: впровадження цифрових рішень у бізнесі та державному секторі; постійні російські кібератаки; зростання фінансової та репутаційної шкоди від кібератак; ріст використання ШІ; стимулювання ринку проєктами та програмами міжнародної технічної допомоги.
Керівник управління забезпечення діяльності Національного координаційного центру кібербезпеки (НКЦК) профільної служби Апарату РНБО України Сергій Прокопенко, який має 20-річний досвід у сфері кібербезпеки, розповів на форумі, що росіяни наразі активно змінюють свої тактики. "За нашою оцінкою йде сьомий етап кібервійни й, можливо, вже відбувається перехід на восьмий етап. Цей етап характеризують дуже якісно підготовлені фішингові кампанії, що направлені на конкретних людей, в яких зацікавлена росія. Вона використовує теми, фішингові документи, приманки, які безпосередньо стосуються повсякденної роботи. Майже про кожну ціль, яка цікава спецслужбам рф, у них є достатньо інформації, щоб провести таргетовану атаку", — пояснив експерт з кібербезпеки Сергій Прокопенко.
За його словами, атаки відбуваються як на комп’ютери, так і на мобільні телефони, в тому числі із використанням і комерційного шпигунського ПЗ такого як Pegasus.
Довідка: Pegasus — це шпигунське програмне забезпечення, яке можна непомітно встановити на мобільні телефони та інші пристрої, що працюють під управлінням деяких версій мобільної операційної системи Apple iOS і Android; розробка ізраїльської компанії NSO Group Technologies; розробник заявляє, що надає "уповноваженим урядам технології, які допомагають їм боротися з тероризмом і злочинністю"; Pegasus заражає пристрої через SMS, WhatsApp, iMessage і, можливо, інші канали; дозволяє витягувати повідомлення, фото та листування, контакти та дані GPS, а також записувати дзвінки й непомітно включати мікрофон та камеру.
"Ми зустрічались з атаками, в яких атакують високопосадовців і командирів України для того, щоб отримати доступ до їх особистих пристроїв. Ворог залучає до цих кібердій проти України не тільки професійних офіцерів своїх спецслужб, але і кіберзлочинців", — відмітив фахівець. Також він повідав і про інший великий напрямок атак — псевдо активісти чи фейк-активісти. Йдеться про групи, які, нібито, ведуть Telegram-канали і які в інтересах спецслужб рф публікують якісь витоки даних, закликають до кібератак на Україну та на партнерів України.
"Однією із тенденцій стало те, що росія почала більш активно використовувати штучний інтелект. Це стосується не тільки інформаційних операцій. Всі знають про інструменти, які створюють мережі фейкових сайтів, ботів в соцмережах, метою яких є поширення дезінформації, пропаганди в інтересах рф. Окрім цього, стратегічною метою росії є отруєння штучного інтелекту. Деякі країни зав’язують прийняття рішень на основі ШІ й можуть приймати неправильні рішення, тому що дані вже отруєні. Відповідно отруєні й висновки. Також бачимо, що у них покращилася якість фішингу. Росіяни ж не вміють розмовляти українською і не можуть підготувати якісні матеріали. Зараз їм на допомогу приходить ШІ", — зазначив Сергій Прокопенко.
А ще, за словами спеціаліста, масштабною тенденцією є те, що росія дуже активно координує кібератаки з військовими й інформаційними операціями. "Декілька тижнів тому, коли в Україні було похолодання, рф ініціювала серію кібератак на наші об’єкти енергетики й теплопостачання, тобто було вичікувано конкретний момент і всі ці кібератаки супроводжувалися ще і кінетичними атаками. Росія збільшує і кількість деструктивних кібератак. Якщо раніше вони більше намагалися атакувати державні установи, то зараз пріоритетом є бізнес", — відмітив експерт з кібербезпеки.
Нагадаємо, що 12 грудня 2023 року відбулася хакерська атака на найбільшого українського мобільного оператора "Київстар", яка призвела до масштабного збою. Президент компанії Олександр Комаров розповідав пізніше, що під час цієї хакерської атаки інфраструктуру оператора було зруйновано на 40%. А ось в ніч на 22 січня 2025 року хакери здійснили масштабну кібератаку на агрохолдинг МХП, який є найбільшим виробником курятини в Україні. Тоді частина ІТ-інфраструктури компанії не працювала, а хакерська атака стала найбільшою за всю історію холдингу.
"У січні на МХП була здійснена наймасштабніша кібератака за всю історію. Це спричинить певні зміни у наших внутрішніх процесах, про які ми не будемо говорити публічно. Але відверто можу сказати: цей інцидент підтвердив ефективність нашого підходу до моніторингу. Багаторічна робота з розробки політик та процедур безпеки дала свої результати. Сьогодні ми вдосконалюємо цю систему — додаємо нові інструменти для розширення моніторингу нашого периметра та посилюємо процедури резервного копіювання", — розповів нам нещодавно директор з інформаційних та діджитал технологій МХП Тарас Гошовський.
Читайте також: Вибухові пейджери "Хезболли" — технічна сторона цієї спецоперації
Керівник управління забезпечення діяльності НКЦК профільної служби Апарату РНБО Сергій Прокопенко також повідав, що в інформаційному просторі росіяни поступово починають розповсюджувати тезу про те, що Україна є не жертвою кібервійни, не супротивником росії, а є агресором. "Найкращим прикладом є заява Ілона Маска про те, що Україна зламала X (Twitter). Наратив про Україну як агресора йде на досить вузьку, професійну спільноту тих, хто займається кібербезпекою. Але цей же наратив просувається і на глобальному рівні — там, де поширюються повідомлення про те, що Україна готує обстріл прикордонних країн — Польщі, Румунії з метою провокації НАТО для вступу у війну. Це говорить про те, що рф дуже якісно планує всі ці операції й вони підтримують одна одну. Якщо подивитись всі ці тренди, то в більшості випадків фінальною метою є саме інформаційні впливи. Якщо взяти останні три роки, то кібератаки на Україну складають близько 20% від загальної кількості операцій росії. Більшість, а це майже 70%, припадають на наших партнерів. Це і кібератаки, і операції впливу. Вся Європа також є під прицілом", — резюмував Сергій Прокопенко.
У аналітичному огляді за 2024 рік про ключові події, тенденції та виклики у сфері кібербезпеки, який був створений НКЦК за підтримки USAID Cybersecurity Activity, сказано, що у січні минулого року було здійснено декілька особливо потужних кібератак — одна з яких була спрямована на банківський сектор, а інша помітно вплинула на один з найбільших дата-центрів України (йдеться про атаку на дата-центр "Парковий"), що призвело до порушення доступності послуг декількох держорганізацій та інформаційних систем; в II половині 2024 року також було зафіксовано підвищений інтерес з боку ворожих хакерів до українського телекомсектору; серед груп, які здійснюють атаки на Україну, найактивнішими є ті, що наразі не асоційовані зі спецслужбами агресора, хоча діють в інтересах влади рф.
До речі, директор дата-центру "Парковий" (хмарним сховищем якого користується в тому числі й "Дія") Володимир Покатілов розповів на форумі колегам з dev.ua, що атака у січні 2024 року була спрямована на знищення даних, а загалом було стерто два Петабайти даних жорстких дисків віртуальних машин. "А бекапів більше, бо бекап — коефіцієнт 1,5-2", — зазначив топменеджер. Але через те, що частина бекапів дата-центру були також захищені, зловмисникам не вдалося знищити дані повністю. Як виявилося, один із клієнтів "Паркового" був шпигуном. "Це був клієнт, який до війни прийшов до нас, взяв на тест, потім купив послуги", — повідав Володимир Покатілов.
Щодо глобальних трендів, то тут фахівці НКЦК виділили наступне:
▪️загострення конкуренції між США і Китаєм у кіберпросторі;
▪️активізація китайської шпигунської діяльності щодо ЄС;
▪️активне створення різними державами кіберсил;
▪️процес Pall Mall — боротьба із загрозою комерційного кіберрозповсюдження: йдеться про безконтрольне поширення створених різними фірмами інструментів, які можуть використовуватись з протиправною метою для наступальних кібероперацій;
▪️зростання уваги до кібербезпеки космічних об'єктів;
▪️безпека підводних кабелів та конкуренція за них;
▪️особлива увага держав до ролі квантових технологій;
▪️вплив ШІ на кібербезпеку.
"Вибори та втручання у вибори — це вже взагалі фішка росіян. Вони зараз виходять на те, щоб фактично поставити на потік втручання у вибори й намагання досягати потрібних для себе результатів. Можна сказати, що це буде втручання у вироби як сервіс. Є країна, є набір інструментів — ШІ генерує операції впливу, кібератаками знищується інфраструктура, знаходиться популіст і на хвилі протестів він зароблятиме політичні бали й заходитиме у владу. Це досить серйозна загроза. Найскладніший, але один із дуже ефективних інструментів боротьби з рф може бути обмеження для неї доступу до технології, адже все це робиться за допомогою саме західних технологій", — розповів Сергій Прокопенко.
На його думку, Україна все ж таки перемагає у цій кібервійні з росією. "Звітами ФСБ та інших російських суб’єктів непрямо підтверджується, що Україна досить ефективно виносить російську інфраструктуру у своїх атаках. Можна говорити про те, що росія не досягла в кібервійні майже жодної цілі, які вона ставила перед собою. Україна тримається, кібербезпека працює, інформаційні системи працюють. Тут треба подякувати не тільки державним органам, а і співпраці з приватним сектором, кіберволонтерам. Ну і звичайно нашим західним партнерам, які надають допомогу", — підсумував керівник управління забезпечення діяльності НКЦК.
А ще Національний координаційний центр кібербезпеки разом з українською компанією з кібербезпеки Maverits підготував цікавий звіт про діяльність хакерської групи APT28, пов’язаної з військовою розвідкою (гру) рф. Звіт — за лінком.
Кіберстартапи в Україні
Перед панельною дискусією про кіберстартапи на форумі кіберстійкості директорка Google Україна Тетяна Лукинюк розповіла про розрив, який наростає між великими компаніями та середнім і малим бізнесом у протидії кіберзагрозам.
"З одного боку великі компанії досить добре справляються з кібератаками, з іншого кількість кібератак зросла тільки у 2024 році на 44% відносно попереднього року. Понад половина середніх та малих підприємств в Європі стикалися з кібератаками за минулі два роки. За даними світового економічного форуму, в той час, як великі організації демонструють гарну стійкість до кібератак, малі та середні підприємства зазнають втрат і стикаються з викликами, які для них є новими й не зовсім зрозумілими", — зазначила директорка Google Україна Тетяна Лукинюк.
За її словами, компанія Google протягом двох останніх років запустила серію безплатних навчальних програм з основ кібербезпеки для бізнесу з фокусом на малий і середній бізнес і з акцентом на штучний інтелект. Ці програми надають практичні навички для захисту бізнесу від кіберзагроз, знання про кібергігієну, протидію кібератакам, аналіз ризиків та побудову системи кібербезпеки з нуля.
Читайте також: Шукаємо з ШІ — чи може Google програти нову битву за пошук?
Також на події були присутні представники українських кіберстартапів або стартапів з українським корінням, які вже реалізують свої IT-рішення в Україні.
Засновник та генеральний директор компанії Hideez Олег Науменко повідав про рішення щодо безпарольної ідентифікації на базі світового стандарту FIDO (Fast Identity Online). Завдяки співпраці з НКЦК і з Держспецзв’язку стартап Hideez отримав експертний висновок і вже має багато впроваджень в Україні. "Питання ідентифікації — це, напевно, найперше питання, яке потрібно вирішувати сучасним компаніям. Стандарт FIDO дозволяє це робити безкомпромісно між зручністю і безпекою. На ринку змінилася кількість кібератак пов’язаних з підбором паролів, фішингових атак. Це найбільш вразливі атаки, які можуть завдавати найбільших втрат для компаній. Ми розробили нові стандарти — Passkeys (сканування відбитків пальців, розпізнавання обличчя або PIN-код) для входу без пароля та MFA. Це дуже зручно й одночасно безпечно. У нас є досвід впровадження цього стандарту в Україні під час війни, а також досвід використання аутентифікації у військових", — пояснив Науменко.
Олена Степура, співвласниця стартапу Artellence, алгоритми якого ідентифікують людей за фото та перевіряють підозрілих людей, розповіла про те, як її проєкт займається аналізом великих даних із відкритих джерел.
"У нас зараз одна із найбільших баз фотографій у світі з нашого регіону — це Україна, росія, білорусь і ми топ-1 чи топ-2 у світі із розпізнавання облич нашого регіону. Ми глибоко вивчаємо поведінку людей в соцмережах і на основі цього робимо різні висновки, які використовують як силові структури нашої держави, так і інші підприємства. Щодо продукту, то тут ми повинні займатися двома речами: швидко адаптовуватися до змін, використовуючи надсучасні технології, та допомагати нашій державі з автоматизацією", — відмітила Олена Степура.
Директор з розвідки загроз LetsData Роман Осадчук заявив, що сервісом компанії є AI-монітор інформаційних операцій. "Ми моніторимо інформпростір і інформуємо наших клієнтів, що такі операції є. Щоб підготуватись і правильно відповісти в цьому ж інформпросторі. Інформаційні операції — це річ не нова. Головним викликом стало те, що цих кампаній стало набагато більше", — зазначив Роман Осадчук.
А ось керівник українського офісу компанії Osavul (міжнародний стартап з українським корінням) Станіслав Лур'є зазначив, що проєкт вже доволі успішний навіть за мірками українського defense tech: минулого року він залучив близько $3 млн інвестицій. "Ми займаємося пошуком, моніторингом, аналізом та оцінкою усілякого роду інформаційних загроз в сучасному перенасиченому інформаційному середовищі. Зокрема, таких як FIMI (foreign information manipulation and interference) — це іноземне маніпулювання інформацією і втручання в демократичні процеси інших країн. Ми є одним із головних партнерів України в боротьбі з непровокованою агресією рф, з гібридними загрозами", — повідомив Станіслав Лур'є.
За його словами, якісний, згенерований штучним інтелектом текст, складно відрізнити від того тексту, який згенерований людиною; він часто містить не лише галюцинації штучного інтелекту в змісті, але і так само може орієнтуватись на автентифіковані меседжі. "Можливості ШІ значно розвинулись у генеруванні медіаконтенту, відеозображень внаслідок долучення нових каналів сприйняття, користуючись з того, що вони набагато краще звертаються до нашого емоційного складника. Вони надають набагато більше можливостей для маніпулювання як масовою інформацією, так і для поширення точкових загроз типу скам. Наша платформа є одним із прикладів застосування ШІ-реверсінжинірингу такого роду загроз, ми контрольовано використовуємо ШІ для аналізу та оцінки великих масивів даних для того, щоб виявляти ознаки автоматизації в поведінці поширювачів інформації", — підсумував керівник українського офісу Osavul Станіслав Лур'є.
Варто зазначити, що найбільшими комерційними споживачами послуг в українській кібербезпеці, згідно з дослідженням, є фінанси, телеком і енергетика. Домінують же на ринку міжнародні компанії, які надають передові рішення. Дані гравці пропонують комплексні інструменти для бізнесу та держорганізацій, тому розробникам і стартапам доводиться шукати конкурентну перевагу над світовими компаніями.