Кіберзагрози для критичної інфраструктури: захист від нових тактик зловмисників

Цього року кібербезпека для українських лікарень, органів місцевого самоврядування та операторів FPV стала ще більш пріоритетною. За даними CERT-UA, протягом березня-квітня 2026 року зафіксовано інтенсифікацію кібератак на органи місцевого самоврядування та комунальні заклади охорони здоров’я, зокрема клінічні лікарні та лікарні екстреної медичної допомоги (cert.gov.ua, moz.gov.ua, zor.gov.ua). Ці інциденти підкреслюють не лише зростання кількості загроз, а й зміну тактики зловмисників, що вимагає перегляду існуючих стратегій захисту.

Тактика довготривалого закріплення: нова загроза для критичної інфраструктури

Традиційні кібератаки, спрямовані на швидке викрадення даних, поступово відходять на другий план. Ще у другому півріччі 2025 року хакерські угруповання змінили тактику, переходячи від одноразового викрадення до отримання довготривалого несанкціонованого доступу та закріплення в інформаційних системах (cip.gov.ua). Це означає, що зловмисники прагнуть не просто викрасти інформацію, а залишитися непоміченими в мережі протягом тривалого часу, щоб здійснювати постійний моніторинг, збирати дані або готувати масштабніші диверсії.

Для лікарень та органів місцевого самоврядування така зміна тактики особливо небезпечна. Довготривалий доступ може призвести до компрометації медичних даних пацієнтів, фінансової інформації, персональних даних співробітників та громадян, а також до порушення критично важливих операційних процесів. Це створює ризики не тільки для конфіденційності, а й для безперервності надання послуг.

Загалом, за період з 1 липня 2024 до 30 червня 2025 року ENISA проаналізувала 4 875 інцидентів, що свідчить про глобальний масштаб проблеми та постійну еволюцію кіберзагроз (ENISA Threat Landscape 2025).

Оператори FPV під прицілом: специфіка загроз та їхні наслідки

Сектор FPV-технологій також стикається зі зростаючими кіберзагрозами. Хоча прямі атаки на операторів FPV можуть бути специфічними, загальний контекст телеком-шахрайства створює суттєві ризики. За даними CFCA Global Fraud Loss Survey, глобальні втрати від телеком-шахрайства у 2025 році оцінено приблизно у 41.82 мільярда доларів, що значно більше, ніж 38.95 мільярда у 2023 році (CFCA Global Fraud Loss Survey 2025). Це свідчить про зростаючу привабливість телекомунікаційних систем для зловмисників.

Для операторів FPV, які часто використовують телекомунікаційні канали для передачі даних та управління, це означає підвищену вразливість до атак, спрямованих на перехоплення сигналів, компрометацію управління або викрадення чутливої інформації. Наприклад, системи, що відповідають за управління дронами, логістику постачання або обробку даних з FPV-систем, можуть стати мішенню для атак, спрямованих на дестабілізацію операцій або отримання розвідувальних даних.

Захист у цьому секторі вимагає не лише стандартних заходів кібербезпеки, а й специфічних рішень для захисту радіоканалів, шифрування даних у польоті та на землі, а також забезпечення цілісності програмного забезпечення FPV-систем.

Коментар експерта

Юрій Сивицький Засновник Softline, член Наглядової ради Intecracy Group

Щодо спроб швидкого впровадження Zero Trust, часто недооцінюється складність інтеграції з існуючими системами. У проєктах такого класу, де критична інфраструктура залежить від legacy-систем, типовий патерн провалу — це створення нових точок входу, які не враховують специфіку взаємодії, наприклад, з SCADA-системами, де протоколи типу Modbus можуть бути не повністю сумісні з сучасними механізмами автентифікації.

Типова помилка: чому спроба швидкого переходу до Zero Trust може провалитися

Концепція Zero Trust, що передбачає «ніколи не довіряти, завжди перевіряти», є потужним інструментом для захисту від сучасних загроз. Проте спроба швидкого та всеосяжного впровадження Zero Trust без належного планування часто призводить до провалу. Типова помилка полягає у спробі одночасно впровадити всі компоненти Zero Trust, ігноруючи поточний стан інфраструктури та операційні процеси.

Ефективне впровадження Zero Trust вимагає поетапного підходу, починаючи з фундаментальних елементів. Першим кроком має бути посилення управління ідентифікацією та доступом (IAM), включно з багатофакторною автентифікацією (MFA) для всіх користувачів та систем. Це дозволяє забезпечити, що лише авторизовані особи та пристрої можуть отримати доступ до ресурсів. Наступним етапом є впровадження мікросегментації мережі, що обмежує рух трафіку між окремими сегментами та додатками, мінімізуючи потенційну шкоду від компрометації одного вузла. І лише після цього можна переходити до більш складних аспектів, таких як довіра пристроям (device trust) та безперервна оцінка ризиків.

Без такого поетапного підходу впровадження Zero Trust може створити більше проблем, ніж вирішити, призводячи до перебоїв у роботі, складнощів з управлінням та відсутності реального підвищення рівня безпеки.

Архітектурний приклад: побудова стійкої системи захисту для телеком-оператора

Розглянемо архітектурний приклад побудови стійкої системи захисту для великого телеком-оператора, що може бути адаптований і для операторів FPV або критичної інфраструктури. Основний фокус тут — на захисті систем OSS/BSS (Operational Support Systems / Business Support Systems) та профілів замовників.

У типовій архітектурі захист починається з централізованої системи управління ідентифікацією та доступом (IAM), яка інтегрується з усіма критично важливими системами, включно з CRM, білінговими системами та платформами управління мережею. IAM забезпечує єдину точку контролю для автентифікації та авторизації, використовуючи MFA для всіх привілейованих облікових записів та доступу до чутливих даних. Для моніторингу та виявлення аномалій впроваджується система SIEM (Security Information and Event Management), яка збирає та корелює події безпеки з усіх систем, включно з мережевими пристроями, серверами та додатками. SIEM може бути доповнений AI-агентами, які, наприклад, розробляє компанія Softengi для виявлення складних, довготривалих атак, що імітують нормальну поведінку користувачів.

Для захисту даних замовників та запобігання їх витоку використовується DLP-система (Data Loss Prevention), яка контролює рух конфіденційної інформації як всередині, так і за межами організації. Мікросегментація мережі забезпечує, що навіть у разі компрометації одного сегмента, зловмисники не зможуть легко переміщатися по всій інфраструктурі. Наприклад, OSS/BSS системи ізолюються від зовнішніх мереж та інших внутрішніх сегментів, а доступ до них суворо контролюється.

Такий підхід дозволяє не лише ефективно протистояти сучасним загрозам, а й забезпечити готовність до зовнішнього аудиту та швидке реагування на інциденти в межах нормативних 24/72 годин, що є ключовим бізнес-результатом для забезпечення безперервності операцій та відповідності регуляторним вимогам, таким як NIS2.

Практичні кроки до стійкості: рекомендації CERT-UA та експертів

Щоб ефективно протистояти зростаючим кіберзагрозам, організаціям критичної інфраструктури необхідно вжити конкретних практичних кроків:

1. Посилення моніторингу та виявлення: Впровадження або оптимізація SIEM-систем для збору, аналізу та кореляції логів з усіх критичних систем. Використання AI-систем для виявлення аномалій та довготривалого несанкціонованого доступу.
2. Управління ідентифікацією та доступом (IAM): Впровадження багатофакторної автентифікації (MFA) для всіх користувачів, особливо для привілейованих облікових записів. Регулярний перегляд та оновлення політик доступу.
3. Мікросегментація мережі: Розділення мережевої інфраструктури на малі, ізольовані сегменти. Це обмежує поширення атаки у разі компрометації одного сегмента.
4. Захист кінцевих точок: Використання сучасних рішень EDR (Endpoint Detection and Response) для виявлення та реагування на загрози на робочих станціях та серверах.
5. Навчання персоналу: Регулярне проведення тренінгів з кібергігієни та підвищення обізнаності щодо фішингових атак, соціальної інженерії та інших загроз.
6. План реагування на інциденти (IRP): Розробка та регулярне тестування детального плану реагування на інциденти, що дозволяє мінімізувати час простою та шкоду від атаки. Готовність до реагування в межах 24/72 годин є критичною.
7. Оцінка ризиків ланцюга постачання: Перевірка постачальників програмного забезпечення та обладнання на відповідність стандартам безпеки, оскільки атаки на ланцюг постачання стають все більш поширеними.
8. Готовність до аудиту: Забезпечення відповідності міжнародним стандартам, таким як ISO/IEC 27001, та національним вимогам щодо кібербезпеки. Це не лише підвищує рівень захисту, а й демонструє готовність до співпраці з європейськими партнерами.

Такі проєкти реалізують, зокрема, компанії Softline, IQusion та SL Global Service, допомагаючи організаціям будувати стійкі та адаптивні системи кібербезпеки, що відповідають сучасним викликам.

Чекліст готовності до сучасних кіберзагроз для критичної інфраструктури

• Чи визначено відповідальних осіб за кібербезпеку для кожного критичного сегмента (медицина, органи влади, FPV-операції)?
• Чи проведено аудит існуючих систем на відповідність вимогам щодо швидкого реагування на інциденти (24/72 години)?
• Чи впроваджено механізми моніторингу та виявлення довготривалого несанкціонованого доступу (SIEM, UEBA)?
• Чи розроблено та протестовано план реагування на інциденти (IRP), що враховує специфіку кожного сектора?
• Чи існує політика управління ідентифікацією та доступом (IAM), яка включає багатофакторну автентифікацію (MFA) для всіх критичних систем?
• Чи проведено оцінку ризиків ланцюга постачання (supply chain security) для критичних послуг та обладнання?
• Чи розроблено стратегію поетапного впровадження Zero Trust, починаючи з управління ідентифікацією та доступом?