5 головних кіберзагроз для критичної інфраструктури України

Коли ми говоримо про кіберзагрози для критичної інфраструктури України, йдеться вже не про окремі інциденти, а про стійку й масштабну кампанію тиску на державу. У 2025 році урядова команда реагування опрацювала 5927 кіберінцидентів. Це на 37,4 відсотка більше, ніж у 2024 році, коли було зафіксовано 4315 інцидентів. А 2024 рік, своєю чергою, показав майже 70-відсоткове зростання порівняно з 2023-м. Найчастіше ураження припадали на місцеві органи влади, урядові організації, сектор безпеки й оборони та енергетику. Для тих, хто відповідає за захист ОКІІ, це прямий сигнал: кібератаки на держоргани у 2025 році не зменшилися, а навпаки стали інтенсивнішими й системнішими.  

Ще тривожнішим є не лише обсяг атак, а їхня якість. За підсумками 2024 року державна система виявлення вразливостей і реагування зафіксувала майже 3 мільйони подій інформаційної безпеки, 28 тисяч із них вимагали негайного втручання аналітиків, а в результаті було опрацьовано 1042 кіберінциденти. Переважна більшість цих випадків була пов’язана з поширенням шкідливого програмного забезпечення, а головною метою ставало отримання віддаленого доступу для шпигунства або викрадення коштів. На глобальному рівні загальна ціна витоку даних також зростає: середня вартість одного інциденту у 2024 році сягнула 4,88 мільйона доларів. Для критичної інфраструктури України наслідки часто ще важчі, бо до прямих фінансових втрат додаються зупинка сервісів, управлінський хаос і ризики для безпеки людей.  

Окремо треба підкреслити зміну тактики противника. Державні аналітики прямо вказують, що російські угруповання поступово зміщують акцент від деструктивних разових ударів до розвідки, довготривалого прихованого доступу, компрометації постачальників, атак через месенджери та глибшого закріплення в системах. Це означає, що кіберзахист критичної інфраструктури України більше не може будуватися навколо одного засобу чи однієї закупівлі. Потрібна система, яка одночасно виявляє, стримує, ізолює, відновлює і навчає людей. Саме в такому контексті й треба розглядати головні кіберзагрози для критичної інфраструктури України сьогодні.  

Загроза №1 Цільові атаки з боку державних хакерських угруповань

Найнебезпечнішою загрозою для ОКІІ залишаються цільові атаки з боку державних або пов’язаних із державою угруповань. Серед них офіційні українські джерела регулярно згадують UAC-0001, яке пов’язують з APT28, а також UAC-0002, яке асоціюють з APT44, відомим також як Sandworm. Саме такі групи працюють не за принципом швидкого зламу заради одиничної вигоди, а з довгою метою: кібершпигунство, саботаж, вплив на управління, дезінформація, підготовка до майбутніх руйнівних дій. У 2025 році CERT-UA окремо повідомляла про атаки UAC-0001 на державні органи через месенджер, а в аналітичних звітах Держспецзв’язку Sandworm прямо описується як одна з найнебезпечніших сил, що системно працює проти України.  

Для критичної інфраструктури особливо важливо, що ці групи б’ють по найболючіших вузлах держави. У державних звітах Sandworm згадується у зв’язку з історичними атаками на українську енергетику, з кампаніями проти телеком-провайдерів, а також із діями, що створюють умови для прихованого віддаленого доступу до систем. Урядові аналітики також прямо називають атаку на державні реєстри у грудні 2024 року подією критичного масштабу, співмірною з кібератакою на найбільшого українського телеком-оператора у грудні 2023 року. Тобто мова йде не лише про викрадення даних, а про здатність порушувати роботу цілих секторів, від реєстрів до зв’язку й енергетики.  

Практична відповідь на цю загрозу має бути багаторівневою. По-перше, потрібна якісна аналітика кіберзагроз, щоби бачити не тільки факт атаки, а й логіку угруповання, яке стоїть за нею. По-друге, потрібні засоби виявлення й реагування на робочих станціях і серверах, а також постійний моніторинг підозрілої активності. По-третє, критичні середовища мають бути сегментовані так, щоб навіть після проникнення нападник не міг вільно рухатися мережею. Саме цю логіку вже закріплюють оновлені загальні вимоги з кіберзахисту, постанова № 1470 та наказ № 75, які переводять захист ОКІІ у ризик-орієнтовану, керовану модель.  

Загроза №2 Фішинг і соціальна інженерія

Друга загроза це фішинг і всі сценарії, де точкою входу стає людина. За даними одного з найавторитетніших міжнародних звітів, людський фактор був складовою 68 відсотків витоків. Для державного сектору це особливо болісно, бо достатньо одного необережного натискання, аби нападник отримав листування, службові документи, доступ до облікового запису або перший плацдарм усередині мережі. Українська практика це підтверджує: у 2025 році CERT-UA фіксувала атаки на держоргани через месенджер Signal, а також цілеспрямовані фішингові кампанії проти державних органів та оборонних підприємств, де листи маскувалися під офіційні документи, зокрема під судові повістки.  

Важливо, що сучасний фішинг уже давно не виглядає примітивно. У 2025 році дослідники описували кампанії проти українських установ, де зловмисники імітували повідомлення від Національної поліції України, вкладали шкідливі SVG-файли, після чого жертва завантажувала CHM-файл, а далі ланцюг зараження включав ще й ZIP-архіви з додатковим шкідливим вмістом. Водночас українські офіційні джерела фіксували постійне використання архівів, вкладень, посилань на легітимні файлообмінні сервіси та підроблених офіційних повідомлень від імені державних структур. Тобто фішинг став не просто листом, а цілою інженерією довіри.  

Тому відповідь на цю загрозу не може зводитися до разового інструктажу. Потрібне системне навчання кібергігієни, відпрацювання реальних сценаріїв, контроль вкладень, обмеження запуску скриптів і регулярні перевірки того, як персонал реагує на підозрілі повідомлення. Постанова Кабінету Міністрів № 1281 уже встановила порядок проведення інструктажів і систематичних тренінгів щодо кібергігієни для державного сектору. На практиці це означає, що навчання більше не є факультативом, воно стає частиною обов’язкової оборонної функції організації.  

Загроза №3 Шкідливе програмне забезпечення та програми-вимагачі

Третя загроза це шкідливе програмне забезпечення у всіх його формах: від завантажувачів і викрадачів даних до засобів віддаленого керування та програм-вимагачів. За офіційною аналітикою CERT-UA, у другому півріччі 2024 року кількість інцидентів, пов’язаних із розповсюдженням шкідливого програмного забезпечення, зросла на 112 відсотків, а кількість підтверджених заражень, на 63 відсотки. У 2025 році серед найбільш масових типів інцидентів також домінувало саме поширення шкідливого програмного забезпечення. Окремі офіційні повідомлення CERT-UA описували такі інструменти, як SmokeLoader, Remcos та WRECKSTEEL, а також нові спеціалізовані засоби шпигунства й віддаленого контролю.  

Головна проблема полягає в тому, що шкідливе програмне забезпечення дедалі рідше працює як одиничний файл. Тепер це багатокроковий ланцюг: один компонент доставляє інший, інший закріплюється в системі, далі запускається викрадення облікових даних, збір документів, побудова тунелю, віддалене керування або підготовка до наступного етапу. Саме так працювали і цільові кампанії проти держорганів, і атаки на оборонні структури. Для операторів критичної інфраструктури це означає, що зараження одного комп’ютера не можна сприймати як локальну неприємність — це може бути початок повномасштабного проникнення.  

Що робити на практиці? По-перше, потрібен постійний контроль кінцевих пристроїв, серверів і журналів подій, а не лише захист периметра. По-друге, своєчасне оновлення програмного забезпечення має бути дисципліною, а не рекомендацією: навіть у 2025 році державні й комерційні структури залишалися вразливими до атак через неоновлені сервіси. По-третє, резервне копіювання має регулярно перевірятися на можливість реального відновлення. Інакше програма-вимагач або приховане знищення даних перетворюють інцидент на повноцінну кризу безперервності.  

Загроза №4 Атаки на ланцюг постачання

Четверта загроза - атаки на ланцюг постачання. Для держорганів і критичної інфраструктури це одна з найпідступніших моделей проникнення, бо нападник заходить не «в лоб», а через підрядника, інтегратора, розробника або сервіс, якому вже довіряє організація. Міжнародна статистика підтверджує, що роль третіх сторін зростає: у звіті про витоки даних частка інцидентів, пов’язаних із зовнішніми партнерами та проблемами у сторонньому програмному забезпеченні, сягнула 15 відсотків, що означає зростання на 68 відсотків за рік. Українські державні аналітики при цьому прямо попереджають: хакерські угруповання дедалі активніше шукають нові способи проникнення в мережі ОКІ саме через компанії, які є постачальниками послуг для цих об’єктів.  

Для України ця загроза не є теоретичною. У державних аналітичних матеріалах прямо згадується параліч цілої екосистеми через NotPetya та ланцюг постачання програмного забезпечення. Окремо звіти фіксують компрометацію телеком-провайдерів, втручання в системи щонайменше 11 провайдерів, а також підвищену увагу противника до розробників і спеціалізованих постачальників. Це означає, що традиційні засоби безпеки, які дивляться лише всередину власної мережі, більше не дають повної картини ризику. Слабкий підрядник може обнулити добрий внутрішній захист.  

Саме тому аудит постачальників має стати такою ж регулярною функцією, як аудит власних систем. Потрібно перевіряти, хто і яким чином має віддалений доступ, чи журналюються дії підрядників, які вимоги до безпеки закладені в договори, як проходять оновлення, чи є процедура екстреного відключення доступу. На рівні регулювання держава вже посилила цю логіку: наказ № 75 встановив каталог і базові заходи кіберзахисту, а постанова № 1470 перевела вимоги до кіберзахисту об’єктів критичної інфраструктури в оновлену, більш керовану модель.  

Загроза №5 Атаки на відмову в обслуговуванні та інші удари по доступності сервісів

П’ята загроза це атаки на доступність сервісів: від перевантаження ресурсів до більш складних деструктивних сценаріїв, метою яких є зупинка послуги, реєстру, зв’язку або управлінського процесу. Для критичної інфраструктури саме доступність часто є найболючішою властивістю. Якщо реєстр не працює, якщо телеком-оператор втрачає керованість, якщо енергетичний сегмент або муніципальний сервіс стає недоступним, наслідки виходять далеко за межі кіберпідрозділу. Саме це Україна побачила під час атаки на державні реєстри у грудні 2024 року, після якої уряд окремо зупиняв строки адміністративного провадження, а також під час атаки на найбільшого українського телеком-оператора, яку урядові аналітики віднесли до гібридних ударів.  

Державні звіти також показують, що удари по доступності не існують окремо від інших тактик. В енергетичному сегменті фіксувалися і атаки на відмову в обслуговуванні, і поширення шкідливого програмного забезпечення, і компрометація облікових записів, і спроби використання вразливостей. Інакше кажучи, нападник дедалі частіше не обирає один сценарій, а поєднує кілька, щоб одночасно ускладнити роботу сервісу, приховати реальний масштаб проникнення та збільшити час відновлення. Для керівника об’єкта критичної інфраструктури це означає, що доступність треба захищати не окремо, а як результат загальної кіберстійкості.  

Практична відповідь тут складається з трьох елементів:

1. Технічний захист від мережевого перевантаження та відмова від єдиної точки збою.

2. Плани безперервності діяльності й відновлення, які не лежать у шухляді, а регулярно перевіряються.

3. Резервні канали зв’язку, розуміння пріоритетів відновлення та чітка комунікація під час інциденту.

Держава вже рухається саме в цей бік: ухвалено план заходів з реалізації Стратегії кібербезпеки, оновлено вимоги до кіберзахисту ОКІ та затверджено окремий порядок оцінювання стану кіберзахисту.  

Головний висновок для тих, хто відповідає за кіберзахист критичної інфраструктури України, дуже простий: найбільша помилка сьогодні це сприймати кожну загрозу окремо. У реальній атаці цільове угруповання може поєднати фішинг, шкідливе програмне забезпечення, викрадення облікових даних, компрометацію постачальника та удар по доступності сервісу. Саме тому захист ОКІІ це не набір розрізнених засобів, а єдина операційна система безпеки. І регуляторна рамка це вже підтверджує: наказ № 75, постанова № 1281 та постанова № 1470 формують нову практику, де кіберзахист базується на ризиках, плануванні, навчанні, контролі та постійному вдосконаленні.  

Саме в такій моделі працює ESKA: від аналізу прогалин і оцінки поточного стану кіберзахисту до побудови процесів моніторингу, реагування, контролю доступу, навчання персоналу та підготовки до перевірок і кризового відновлення. Якщо ваша організація хоче зрозуміти, наскільки вона готова до актуальних загроз, найкраща відправна точка — не чергова формальна перевірка, а чесна оцінка реальної стійкості. Безкоштовна консультація або базова оцінка поточного стану кіберзахисту допоможе визначити, де саме ваш об’єкт критичної інфраструктури є вразливим уже зараз.