Кіберзахист став критично важливою частиною безпеки українського бізнесу в умовах війни. / Depositphotos
Кібератаки, здійснені російськими хакерами проти українських компаній, давно вийшли за рамки простої крадіжки інформації. Сьогодні вони є повноцінним інструментом економічного руйнування. Поки український бізнес намагається втриматися під вогнем, ворожі сили місяцями тихо досліджують внутрішні мережі підприємств, очікуючи найбільш вразливого моменту для удару. Від енергетичного гіганта ДТЕК до агропромислового лідера МХП та мобільного оператора “Київстар” – під загрозою опинилося кожне підприємство, яке досі вважає себе “нецікавим” для хакерів або наївно вірить у повну ізоляцію своїх ІТ-систем.
Російські хакери завдають ударів по українській економіці
Кібератака на компанію вже давно не обмежується витоком даних. Її наслідками може стати припинення виробничих процесів, виведення з ладу енергетичного обладнання та багатомільйонні збитки, особливо для підприємств, чиї ключові операції керуються цифровими системами.
Енергетичний сектор залишається головним полем для застосування цієї тактики. Лише у 2023 році росіяни здійснили близько 55 кібератак на українську енергосистему, кожна з яких коштує їм мільйони доларів. Водночас, інтенсивність атак на приватний енергетичний холдинг ДТЕК з початку повномасштабної війни зросла на 20%.
Найвідомішою спробою такої скоординованої атаки було вторгнення російського хакерського угруповання Sandworm у 2022 році. Тоді шкідливе програмне забезпечення Industroyer2 мало на меті відключити електропостачання одного з обленерго на вихідні. Однак, завдяки спільним зусиллям кіберзахисту Держспецзв’язку CERT-UA та приватного бізнесу, атаку вдалося нейтралізувати.
Проте, за кілька місяців російським хакерам вдалося досягти свого: кібератака на підстанцію в жовтні 2022 року відбулася одночасно з ракетними ударами по енергетичній інфраструктурі.
Росіяни продовжують спроби знеструмити Україну, і кібератаки все ще супроводжують їхні обстріли. В умовах швидкого розширення сонячних електростанцій (СЕС), промислові СЕС, які все частіше інтегруються в інфраструктуру підприємств, опиняються в зоні ризику. Інвертори та системи моніторингу зазвичай підключені до мережі для віддаленого обслуговування, що створює додаткові вразливості.
“Приблизно 30% запитів до нашої сервісної служби пов’язані з програмним забезпеченням. Зазвичай клієнти повідомляють про некоректну роботу обладнання або його нездатність належним чином виконувати певні функції. У переважній більшості випадків проблему вирішують шляхом перепрошивки обладнання або оновлення програмного забезпечення”, — зазначає технічний директор Atmosfera Олександр Ковпак.
За його словами, компанія не пригадує прямих випадків зовнішнього втручання, але такий сценарій теоретично можливий, якщо програмне забезпечення СЕС інтегроване в скомпрометовану корпоративну мережу.
Енергетика — не єдина ціль. У 2024 році CERT-UA зафіксував 4 315 кіберінцидентів, що на 70% більше, ніж у попередньому році. Під ударом опинилися органи місцевої влади, телекомунікаційні компанії та комерційні організації. Атаки на промисловість, банки та навіть аптечні мережі вже стали звичною справою.
У січні 2025 року хакери атакували агрохолдинг МХП, одного з найбільших виробників харчових продуктів в Україні. Частина ІТ-інфраструктури вийшла з ладу, а відвантаження продукції було обмежено. Метою атаки було зупинити роботу компанії, щоб вимагати гроші або просто завдати шкоди. У компанії назвали це найбільшою атакою в їхній історії, але підприємства МХП продовжили функціонувати, лише внесши зміни в деякі процеси. Мережі магазинів холдингу обслуговували клієнтів у звичному режимі.
Схожі методи — приховане проникнення, тривале перебування в системі та удар у найкритичніший момент — застосовуються й проти інших підприємств. Так, під час атаки на “Київстар” у грудні 2023 року, зловмисники перебували в системі оператора щонайменше з травня, а в листопаді вже мали повний доступ. Внаслідок цього близько 24 мільйонів абонентів залишилися без зв’язку на кілька днів, було знищено тисячі віртуальних серверів і комп’ютерів, а збитки сягнули приблизно 3,6 мільярда гривень.
Сценарій типової кібератаки
Хакерська атака, як правило, розпочинається з фішингового листа або підробленого посилання. Якщо співробітник компанії відкриває підозрілий лист і переходить за гіперпосиланням, шахраї отримують його облікові дані. Фахівці з кібербезпеки фіксували випадки, коли шкідливі листи маскувалися під матеріали відомих українських медіа. Нещодавно зловмисники почали видавати себе за благодійні фонди в месенджерах.
“Після отримання облікових даних, зловмисник аналізує, до чого має доступ цей обліковий запис, створює приховані канали для повернення та починає досліджувати мережу”, — пояснює CISO MODUS X Роман Ярошенко.
Після підготовчого етапу хакери переходять з корпоративного сегмента до виробничого та отримують доступ до систем, що контролюють конвеєри, насоси, котли або підстанції. Це може призвести як до зупинки обладнання, так і до маніпуляцій з його налаштуваннями. Таким чином, хакер може вивести підприємство з ладу, і в найкращому випадку воно простоюватиме до відновлення ІТ-інфраструктури. У найгіршому сценарії така кібератака може навіть спричинити фізичне руйнування обладнання.
Хто в зоні ризику кібератак
Для захисту виробничих систем компанії часто вдаються до ізоляції мереж — відокремлення виробничої інфраструктури від офісної та інтернету. Однак, це одна з найпоширеніших помилок. На практиці така ізоляція часто є лише формальною.
“Фраза ‘наша виробнича мережа ізольована’ часто означає лише те, що вона не має прямого доступу з інтернету. Однак, ізоляція — це не відсутність публічної IP-адреси”, — зазначає CEO H-X Technologies Володимир Булдижов.
Інженери підключаються до обладнання через VPN, підрядники використовують власні ноутбуки для налаштування контролерів, а сервісні спеціалісти отримують віддалений доступ до систем — кожен такий канал може стати точкою проникнення. До цього додається людський фактор: компанії не навчають співробітників розпізнавати фішинг, тому вони відкривають шкідливі вкладення, не усвідомлюючи небезпеки.
За оцінками H-X Technologies, незалежно від галузі, підприємства найчастіше стикаються з п’ятьма типовими проблемами:
- виробнича мережа формально відокремлена, але фактично пов’язана з офісною через спільні облікові записи або підрядників;
- віддалений доступ було налаштовано за принципом зручності, а не безпеки;
- використовується застаріле обладнання, яке складно оновлювати без зупинки виробництва;
- керівництво не має повної інформації про підключені системи та сторонніх підрядників;
- наявні засоби захисту, але відсутній чіткий план реагування на інциденти.
Як захистити бізнес від кібератак
За оцінками фахівців, 62% українських компаній досі не мають стратегії дій на випадок кіберінциденту, тобто вони просто не знають, як діяти під час атаки.
Булдижов рекомендує розпочати з комплексного аудиту: перевірити реальний рівень ізоляції виробничих мереж, створити карту всіх підключень і підрядників, оцінити потенційні сценарії ризиків. “Такий аудит має враховувати не тільки класичну ІТ-безпеку, але й логіку технологічного процесу. Лише так можна зрозуміти, де саме кіберризик може трансформуватися у простій або фінансові втрати”, — зазначає Булдижов.
Не менш важливим є навчання персоналу. Фахівці з кіберзахисту стверджують, що регулярне навчання співробітників знижує ймовірність кіберінцидентів на 80%. Наприклад, латвійська компанія Tet щокварталу проводить тестування персоналу за допомогою імітаційних фішингових листів, а тих, хто їх відкрив, направляє на додатковий інструктаж.
Для українського бізнесу в умовах повномасштабної війни ризик атак з боку російських хакерів залишається надзвичайно актуальним. Поки підприємство вважає, що його організацію це не торкнеться, зловмисник може вже місяцями досліджувати його мережу.