Кібератаки на критичну інфраструктуру: кейси і рекомендації з досвіду впровадження захисту

5 Серпня 2025

За даними Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку) та CERT-UA (Урядова команда реагування на комп’ютерні надзвичайні події України), кількість кібератак на Україну значно зросла. У 2024 році кількість кіберінцидентів збільшилася майже на 70% порівняно з 2023 роком, досягнувши 4 315 інцидентів (проти 2 541 у 2023 році). Прогнозується, що ця тенденція збережеться і в 2025 році.

Основні цілі атак:

  • Енергетичний сектор: Залишається пріоритетною мішенню. Атаки спрямовані на дестабілізацію енергосистеми, спричинення відключень та психологічного тиску.
  • Урядові установи та місцеві органи влади: Цілі атак включають викрадення чутливої інформації, отримання доступу до даних, компрометацію облікових записів та систем.
  • Сектор безпеки та оборони: Хакери намагаються отримати розвідувальні дані, інформацію про плани ЗСУ, дані підприємств оборонно-промислового комплексу.
  • Телекомунікації: Атаки спрямовані на порушення зв’язку, що може мати значні наслідки для координації. Приклад – масштабна атака на «Київстар» у грудні 2023 року.
  • Комерційні організації: Викрадення інформації та руйнівні атаки.

Найбільш поширені типи атак:

  • Розповсюдження шкідливого програмного забезпечення (ШПЗ): Це включає програми-вимагачі, шпигунське ПЗ, вайпери.
  • Фішинг: Створення підроблених електронних листів або вебсайтів для викрадення облікових даних. Часто використовується для поширення ШПЗ.
  • Компрометація облікових записів/систем: Отримання несанкціонованого доступу до систем через скомпрометовані облікові записи.
  • Зловмисні підключення: Несанкціонований доступ до мереж.

Кібератаки в Україні:

  1. Атака на «Київстар» (грудень 2023 року): Одна з наймасштабніших кібератак, яка призвела до значного порушення роботи найбільшого телекомунікаційного оператора України, залишивши мільйони користувачів без зв’язку та інтернету на кілька днів. Це був руйнівний вайпер-атака з метою психологічного тиску.
  2. Атаки на державні реєстри (кінець 2024 – початок 2025 року): Зловмисники цілеспрямовано атакували державні реєстри, зокрема, пов’язані з Міністерством юстиції. Метою було знищення даних та резервних копій.
  3. Використання вразливостей в програмному забезпеченні (2024 рік): CERT-UA відзначала використання зловмисниками експлойтів для низки вразливостей, таких як GeoServer (CVE-2024-36401), HFS HTTP File Server (CVE-2024-23692), Adobe Acrobat Reader (CVE-2023-21608), Roundcube (CVE-2023-43770), WinRAR (CVE-2023-38831). Це вказує на постійний пошук нових точок входу та використання відомих, але не виправлених вразливостей.
  4. Атаки з використанням WRECKSTEEL Malware (з осені 2024 року по березень 2025 року): CERT-UA зафіксувала активність групи UAC-0219, яка використовує шкідливе ПЗ WRECKSTEEL для викрадення конфіденційної інформації з комп’ютерів урядових установ та об’єктів критичної інфраструктури. Атаки здійснювалися через скомпрометовані облікові записи шляхом розсилання шкідливих електронних листів з посиланнями на публічні файлообмінники.
  5. Зміна тактики російських хакерів (2024-2025): CERT-UA відзначає перехід російських хакерів до більш тривалих і складних операцій, підготовка яких може тривати 6-8 місяців. Пріоритетним вектором проникнення стають атаки на ланцюги поставок, зокрема компрометація постачальників спеціалізованого програмного забезпечення, що використовується на об’єктах критичної інфраструктури.

Основні рекомендації з впровадження захисту включають:

  1. Посилення інституційної та законодавчої бази:

Постійний перегляд та адаптація законодавства до умов воєнного стану та нових технологій. Застосування міжнародних стандартів кібербезпеки  та галузевих стандартів для критичної інфраструктури.

2. Технічні заходи захисту:

  • Мережевий захист: Системи виявлення та запобігання вторгнень (IDS/IPS), міжмережеві екрани нового покоління (NGFW), сегментація мережі для ізоляції критичних систем.
  • Захист кінцевих точок (Endpoint Protection): Рішення EDR (Endpoint Detection and Response) та XDR (Extended Detection and Response) для виявлення та реагування на загрози на пристроях.
  • Безпека електронної пошти: Посилені фільтри для виявлення та блокування фішингу та ШПЗ.
  • Моніторинг та реагування: Системи управління подіями безпеки та інформацією (SIEM) для агрегації та аналізу логів, постійний моніторинг аномалій. Створення та посилення центрів операцій безпеки (SOC).
  • Резервне копіювання та відновлення: Регулярне створення резервних копій критичної інформації та систем, а також розробка та тестування планів аварійного відновлення. Розміщення резервних копій у географічно розподілених та захищених сховищах.
  • Управління вразливостями: Регулярне сканування на наявність вразливостей та своєчасне застосування оновлень та патчів.
  • Багатофакторна автентифікація (MFA): Обов’язкове впровадження MFA для всіх облікових записів, особливо для доступу до критичних систем.
  • Контроль доступу: Принцип найменших привілеїв, строгий контроль доступу до критичних систем та даних.

3. Організаційні та людські фактори:

  • Навчання та підвищення обізнаності: Постійне навчання персоналу, особливо працівників критичної інфраструктури, щодо розпізнавання фішингових атак, правил безпечної роботи з інформацією та реагування на інциденти.
  • Команди реагування на інциденти: Розробка та регулярне тестування планів реагування на кіберінциденти, включаючи процедури комунікації, аналізу та відновлення.
  • «Культура кібербезпеки»: Створення в організації середовища, де кібербезпека є пріоритетом і відповідальністю кожного співробітника.
  • Залучення експертів: Співпраця з внутрішніми та зовнішніми експертами з кібербезпеки, проведення аудиту та пентестів.

4. Проактивний підхід:

  • Threat Intelligence: Активне використання актуальної інформації про загрози (Threat Intelligence) для прогнозування та запобігання атакам.
  • Мисливство на загрози (Threat Hunting): Проактивний пошук зловмисної активності в мережах та системах, яка могла залишитися непоміченою традиційними засобами захисту.
  • Участь у кібер навчаннях: Регулярна участь у національних та міжнародних кібер навчаннях для відпрацювання навичок реагування на широкомасштабні атаки.

    Захист критичної інфраструктури не обмежується технічними засобами. Це багаторівневий процес, що охоплює стратегію, технології, політики, навчання персоналу та взаємодію з державними органами кіберзахисту.

    Джерело новини: CERT-UA минулого року опрацювала 4315 кіберінцидентів

    📷
    Тенденції розвитку систем накопичення електроенергії: виклики, технології та перспективи 📷
    📷
    Читати більше новин
    UA