Кібербезпека України. Що покращилося за рік після прийняття євроінтеграційного закону

15 квітня 2026 р. 22:17

15 квітня 2026 р. 22:17

Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, за 2025 рік опрацювала близько 6 тис. кіберінцидентів. Тоді як у 2022 році їх було близько 2,5 тис. Натомість кількість значних кіберінцидентів, які впливають на національну безпеку України та забезпечення життєдіяльності об'єктів критичної інфраструктури, навпаки торік зменшилась на 70%, що свідчить про покращення культури кібербезпеки в Україні. Позитивній динаміці сприятиме й імплементація нових західних стандартів у сфері кібербезпеки. Про це повідомив на брифінгу виконувач обов’язків директора департаменту кіберзахисту Адміністрації Держспецзв'язку Дмитро Пахольченко, передає кореспондентка « Главкома ».

Як нагадав Пахольченко, у 2025 році був прийнятий закон № 4336-IX «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури». Зокрема, зміни внесено в основний закон у сфері кіберзахисту – «Про основні засади забезпечення кібербезпеки України». За словами очільника департаменту, це найбільш значні зміни в цьому законі від моменту його прийняття у 2017 році. Нововведення покликані імплементувати норми європейської директиви з кібербезпеки NIS2. Торік імплементація цієї директиви вже сягнула 80%, стверджує Пахольченко.

Посадовець нагадав ключові нововведення у сфері кібербезпеки. Одна з них – перехід на ризикоорієнтовану модель, яку використовує Європейський Союз. «Ми впроваджуємо ці підходи для державних органів та операторів критичної інфраструктури, щоб вони впроваджували заходи з кіберзахисту на основі управління ризиками – визначали свої критичні моменти і закривали їх, відповідно до того каталогу, який ми їм запропонували», – розповів він.

Наступне нововведення – це створення інституції керівників та підрозділів з кіберзахисту. «Тепер у кожному державному органі має бути окрема посада – керівник з кіберзахисту (CISO – Chief Information Security Officer). Відповідно, і в органах місцевого самоврядування та операторів критичної інфраструктури також повинні бути відповідальні особи за кіберзахист. Окрім того, можуть створюватися підрозділи з кіберзахисту», – зазначив Пахольченко.

На його думку, ще одне важливе нововведення – створення масштабної національної системи реагування на кіберінциденти й кібератаки. «На виконання закону Кабінетом Міністрів України прийнятий національний план реагування на кіберінциденти та кібератаки. Тобто усі процедури стосовно того, як реагувати, яка класифікація кіберінцидентів, кого повідомляти про них і в які терміни, які в кого ролі і відповідальності – це все вже прописано», – наголосив посадовець Держспецзв’язку.

За його словами, у 2026-му головною задачею залишається імплементація нових норм. Для цього вже працює низка ініціатив: освітні платформи, навчальний тренінговий центр Держспецзв’язку, заходи з кібергігієни та проєкт CISO Campus, покликаний підвищувати кваліфікацію керівників та фахівців з кіберзахисту.

Пахольченко наголосив, що з завершенням війни і припиненням кінетичних атак ворог перейде в кіберпростір, тож держава вже готується до збільшення кількості кібератак у майбутньому.

Як пояснив директор департаменту захисту інформації Адміністрації Держспецзв'язку Андрій Головенко, попередня система захисту інформації, якою послуговувалася Україна (КСЗІ – комплексна система захисту інформації), починала своє існування ще на початку 2000-х років. Нині вона вже не відповідає сучасним вимогам і загрозам, через що й виникла потреба в змінах. Розбудова нової системи почалася ще у 2020-2021 роках. За словами Головенка, відтоді були проведені відповідні науково-дослідні роботи, вивчена світова практика та найкращі її результати. Оновлена система кібербезпеки України ґрунтується на американських стандартах та, як запевняє фахівець, дозволяє ефективно захищати державні інформаційні ресурси. Зокрема, з’явилися чіткі критерії і вимоги до захисту інформації в державних інфоресурсах.

По-друге, нова система «стала більш гнучкою». «Власники, розпорядники або суб'єкти господарювання, які впроваджують системи захисту, можуть користуватися різними технічними стандартами. Ми прибрали дуже багато бюрократичних аспектів. Якщо раніше у нас було багато етапів погодження, розгляду технічної документації, прийняття відповідних рішень, то нова система дозволила це зробити значно швидше: немає проміжних погоджень і якихось тривалих процедур. Рішення про авторизацію системи з безпеки ухвалює власник, і до адміністрації Держспецзв’язку він надсилає лише авторизаційний лист, який розглядається тільки з точки зору коректності та повноти його заповнення. Протягом 10 діб приймається рішення щодо внесення тієї чи іншої системи до переліку авторизованих систем. Таким чином, ми скоротили час на ухвалення рішення, дали гнучкий підхід до впровадження заходів захисту», – пояснив Головенко.

За його словами, у 2026-му році закінчуються терміни, коли ще можна було впроваджувати систему захисту за старими правилами. У цьому ж році Держспецзв’язку хоче оцінити, наскільки нові прийняті нормативно-правові документи коректні, ефективні та чи не містять недоліків.

Зараз відомство проводить моніторинг авторизованих систем безпеки (сьогодні на сайті Держспецзв’язку розміщені відомості щодо більш ніж 100 авторизованих систем) з погляду технічної ефективності впровадження нових підходів. «Ми запитуємо у наших суб'єктів господарювання або в розпорядників інформації відповідну документацію, оцінюємо яким чином вибирались заходи захисту, відповідно до вибраного профілю, наскільки повно вони реалізовані і наскільки ця система ефективно впроваджена. Це не заходи державного контролю, як я постійно повторюю, це направлено саме на те, щоб ми всі разом навчилися ефективно працювати в нових реаліях і з новими підходами», – акцентував фахівець.

Директор департаменту державного контролю у сфері захисту інформації та кібербезпеки Адміністрації Держспецзв'язку Ігор Стельник зазначив, що ті заходи державного контролю, що вже проведені, «показали, мабуть, максимальну ефективність, якої можна досягти на сьогоднішній день». «Є, звичайно, певні недоліки, які обумовлені і необхідністю скоригувати трошки курс, і провести наукову і профілактичну роботу, а також надати роз'яснювальну і консультативну допомогу суб'єктам господарювання, що проводять відповідні роботи, і власникам систем, і розпорядникам інформації», – додав експерт.

До слова, Служба безпеки створила регіональні центри забезпечення кібербезпеки в усіх областях України. Їхнє завдання – завчасно виявляти вразливості місцевих об’єктів критичної інфраструктури, попереджати та нейтралізувати кібератаки на ці об’єкти.

Політика