Україна є найбільш атакованою країною в Європі у сфері кіберзагроз. З початку повномасштабного вторгнення Росія використовує кіберпростір як повноцінний фронт — паралельно з ракетними ударами.
| РІК | КІБЕРІНЦИДЕНТІВ | ЗМІНА | НОТАТКА |
|---|---|---|---|
| 2022 | 1 563 | базовий рік | початок повномасштабного вторгнення |
| 2023 | 2 541 | +62.5% | рекорд — до 2024 |
| 2024 | 4 315 | +69.8% | новий рекорд; +70% за рік |
| СЕКТОР | АТАК (2023) | РІВЕНЬ |
|---|---|---|
| Уряд та держорганізації | 347 | КРИТИЧНИЙ |
| Місцеві органи влади | 276 | КРИТИЧНИЙ |
| Безпека та оборона | 175 | КРИТИЧНИЙ |
| Комерційні організації | 127 | ВИСОКИЙ |
| Енергетика | 92 | КРИТИЧНИЙ |
| Телекомунікації | 81 | ВИСОКИЙ |
| Освітні установи | 38 | СЕРЕДНІЙ |
| Транспорт | 32 | СЕРЕДНІЙ |
| Медичні установи | 12 | СЕРЕДНІЙ |
Фішинг — обман через підроблений лист, повідомлення або сайт. Зловмисник видає себе за довірену особу чи організацію, щоб змусити вас клацнути небезпечне посилання, відкрити шкідливий файл або ввести облікові дані.
Цільовий фішинг (spear phishing) — персоналізована атака: лист містить ваше ім'я, посаду, назву установи і виглядає абсолютно правдоподібно. CERT-UA фіксує сотні таких атак щомісяця.
Ім'я може бути "МОЗ України", а реальна адреса — [email protected] або [email protected]. Офіційні листи надходять лише з доменів .gov.ua або офіційного домену установи. Клацніть на ім'я, щоб побачити справжній email.
Небезпечні завжди: .exe, .cmd, .bat, .scr, .js, .vbs, .lnk, .iso, .hta, .ps1 — навіть в архіві .zip або .rar. Небезпечні, якщо з невідомого джерела: .docm, .xlsm, .pptm (документи з макросами).
Наведіть курсор — внизу браузера з'явиться справжня адреса. gov.ua.evil.ru — це НЕ gov.ua. Справжній домен — крайній перед .com/.ua/.net. Підозрілий вкорочений URL (bit.ly, t.co) — не клацати без перевірки.
"Підпишіть до 18:00 або буде санкція", "Ваш обліковий запис заблокований", "Керівник вимагає негайно" — класичні маніпуляції. Зловмисники не хочуть, щоб ви думали. Саме тому поспішають.
Акаунт знайомого міг бути зламаний. Зателефонуйте особисто. Не відповідайте на той самий лист і не пишіть туди ж — ви підтвердите, що адреса активна.
❌ Реальність: CERT-UA та СБУ НІКОЛИ не надсилають виконувані файли у листах. Будь-який такий запит — фішинг або кібершпигунство.
❌ Ознаки: нетиповий канал зв'язку, нетиповий запит, тиск часом. Верифікуйте через інший канал — особисто або за відомим номером.
✓ Захист: bookmark'уйте офіційні сайти. Завжди перевіряйте точну адресу домену, а не лише наявність HTTPS.
✓ Захист: після сканування QR — перевірте адресу перш ніж переходити.
Окрім технічних атак, ФСБ та ГРУ активно вербують держслужбовців як агентів впливу. Методи:
- Не публікувати фото робочого місця зі службовими документами в кадрі
- Не вказувати точне місце роботи та посаду у відкритому профілі Facebook/Instagram
- Не обговорювати службові питання в особистих Telegram/Viber-чатах
- Не встановлювати незнайомі Telegram-боти на службовому телефоні
- Не знімати відео та фото в захищених приміщеннях "для пам'яті"
- Перевіряти налаштування приватності профілів хоча б раз на рік
- Не брати участь у підозрілих опитуваннях та "психологічних тестах" у соцмережах
- Не приймати запити в друзі від незнайомих людей, що представляються "колегами"
| ТИП | ЩО РОБИТЬ | ПРИКЛАД / ЖЕРТВА |
|---|---|---|
| Ransomware | Шифрує всі файли, вимагає викуп | WannaCry, Petya — держустанови України |
| RAT (Remote Access Trojan) | Прихований доступ до ПК — зловмисник бачить екран, читає файли, включає мікрофон | AsyncRAT — атаки на нотаріат 2023 |
| Keylogger | Записує всі натискання клавіш — паролі, переписку, документи | використовується в шпигунських кампаніях ГРУ |
| Wiper | Знищує дані безповоротно. Не шифрує — видаляє | AcidRain, WhisperGate — проти України 2022 |
| Infostealer | Краде паролі з браузера, cookies, файли, скріншоти | RedLine, Raccoon — масові кампанії |
| Backdoor | Прихований "чорний хід" — довгострокова присутність у мережі | виявлений у мережі Київстар до атаки 2023 |
| Ботнет-агент | ПК стає частиною мережі для DDoS-атак або розсилки спаму | непомітний для користувача |
Найпоширеніший спосіб. Виконуваний файл, документ з макросом, архів з вірусом — одне подвійне клацання, і ПЗ встановлено.
Перехід на заражений сайт може ініціювати автоматичне завантаження і встановлення вірусу навіть без кліку — якщо браузер або плагіни не оновлені.
BadUSB та автозапуск. Флешка з вірусом, підключена до ПК, може встановити шкідливе ПЗ автоматично, навіть якщо ви нічого не відкривали.
"Зламані" програми, кейгени, активатори Windows — класичний вектор. Шкідливе ПЗ часто вбудовано безпосередньо у пакет встановлення.
Незакрита дірка у Windows, браузері, Adobe Reader — хакер може завантажити вірус без будь-якої дії з вашого боку. Тому оновлення критичні.
- Комп'ютер значно сповільнився без видимих причин
- Незнайомі процеси у диспетчері завдань (Ctrl+Shift+Esc)
- Антивірус вимкнений сам або не запускається
- Файли перейменовані або мають нове незнайоме розширення
- Браузер перенаправляє на незнайомі сайти
- Мишка рухається, вікна відкриваються самостійно
- Колеги отримали від вашого імені листи, яких ви не надсилали
- Різко збільшився мережевий трафік (ПК "щось надсилає")
- Мінімум 12 символів (краще 16+)
- Великі та малі літери, цифри та спецсимволи (!@#$%)
- Не містить ваше ім'я, дату народження, назву установи, "12345", "qwerty"
- Унікальний пароль для кожного сервісу — жодного повторення
- Робочий пароль не використовується для особистих сервісів
- Пароль не записаний на папірці біля монітора чи у відкритому блокноті
- Пароль ніколи не передається колезі, підряднику або "IT-підтримці" по телефону
- 2FA увімкнена на всіх критичних сервісах
- Пароль змінюється при будь-якій підозрі на компрометацію
| МЕТОД 2FA | НАДІЙНІСТЬ | КОМЕНТАР ДЛЯ ДЕРЖУСТАНОВ |
|---|---|---|
| Апаратний ключ (FIDO2 / YubiKey) | ★★★★★ | Найвищий захист, рекомендовано для критичних систем |
| Додаток-автентифікатор (Google Auth, Microsoft Auth) | ★★★★☆ | Рекомендовано для більшості держслужбовців |
| SMS-код | ★★★☆☆ | Краще ніж нічого. SMS перехоплюється через SIM-swap |
| Email-код | ★★☆☆☆ | Небезпечно якщо email теж скомпрометований |
| Тільки пароль | ★☆☆☆☆ | Недостатньо для будь-яких держсистем |
Метод парольних фраз: 4-5 випадкових слів + цифра + символ. Наприклад: Кіт-Сонце-Дніпро-2025! — легко запам'ятати, практично неможливо зламати брутфорсом.
Менеджер паролів KeePass — безплатний, без хмари, дані зберігаються лише локально. Підходить для держустанов. Головний пароль менеджера — найсильніший у вашому арсеналі.
Перевірте, чи не зливались ваші дані: haveibeenpwned.com
19 вересня 2024 року Національний координаційний центр кібербезпеки (НКЦК) при РНБО прийняв рішення:
Причини: засновник Павло Дуров має зв'язки з Росією; сервери частково розміщені у юрисдикціях, підконтрольних РФ; більшість чатів не мають наскрізного шифрування; зафіксовані випадки передачі даних.
- Більшість чатів — без наскрізного шифрування
- Сервери частково в юрисдикції РФ
- Кейси передачі даних силовикам
- Secret Chat — end-to-end, але рідко використовується
- Наскрізне шифрування за замовчуванням
- Відкритий код — перевірений незалежно
- Не зберігає метадані
- Рекомендований Кіберполіцією та МОУ
- Основний робочий месенджер для держустанов
- Шифрування та аудит активності
- Інтеграція з корпоративними системами
- Рекомендований МОУ для службового використання
- Протокол Matrix — відкритий стандарт
- End-to-end шифрування
- Децентралізований
- Дозволений МОУ для використання
- End-to-end шифрування є
- Сервери у різних юрисдикціях
- Збирає більше метаданих
- Для службових питань — небажано
- End-to-end шифрування пошти
- Сервери у Швейцарії
- Підтримує FIDO2/апаратні ключі
- Для особистої захищеної комунікації
Налаштування → Приватність і безпека → Двоетапна перевірка. Встановіть надійний пароль та email для відновлення.
Налаштування → Налаштування чатів → вимкнути "Вбудований браузер". Це зменшує ризик відстеження серверами Telegram.
Telegram прив'язаний до номера. Для службових потреб — лише дозволені платформи (MS Teams, Element). Особистий Telegram — на особистий номер.
Налаштування → Пристрої → перегляньте всі активні сесії. Незнайомі пристрої — негайно завершіть та змініть пароль.
Навіть у "секретних" чатах. Навіть якщо упевнені в адресаті. Службова інформація — лише через корпоративні канали.
- Операційна система та всі програми — завжди оновлені (Windows Update увімкнений)
- Антивірусне ПЗ встановлено, активне та оновлене
- Екран блокується автоматично через 5–10 хвилин та при відході (Win+L)
- Повнодискове шифрування (BitLocker на Windows) — особливо для ноутбуків
- Не встановлювати особисте або неліцензійне ПЗ на службовий комп'ютер
- Не використовувати ПЗ від розробників із РФ та Білорусі
- USB-порти — лише для дозволених пристроїв (не підключати знайдені носії)
- Резервні копії критичних даних — регулярно, на ізольований носій або захищений сервер
- PIN-код або відбиток пальця — завжди активні
- Встановлювати додатки лише з App Store або Google Play
- Не видавати додаткам зайвих дозволів (геолокація — лише за потреби, мікрофон — лише тим, кому потрібно)
- Не підключатись до невідомих Wi-Fi мереж без VPN
- Не заряджати телефон від незнайомих USB-зарядних станцій (атака "Juice Jacking")
- Видалити всі непотрібні додатки — менше додатків, менше вразливостей
- Регулярно оновлювати ОС телефону
Правила роботи з мережами:
Безкоштовні або невідомі VPN-сервіси — небезпечні. Вони можуть самі логувати та продавати ваш трафік. Використовуйте лише VPN, затверджений IT-відділом установи.
Роутер із заводським паролем admin/admin — вразливий. Забезпечте WPA2/WPA3 шифрування, вимкніть UPnP та зайвий віддалений доступ.
4G/5G із власним тарифом набагато безпечніший за публічний Wi-Fi. Використовуйте роздачу зі свого телефону.
- Службова переписка — лише через корпоративну пошту (@gov.ua або домен установи)
- Ніколи не пересилати службові документи на особисту пошту (Gmail, Ukr.net тощо)
- Перед відправкою перевіряти адресата — особливо при роботі з автодоповненням
- Великі файли — через захищений корпоративний файлообмін, не через зовнішні сервіси
- При звільненні або зміні посади — передати доступ до пошти IT-відділу, не видаляти архів
- Листи з підозрілим вмістом — не видаляти одразу, зберегти і повідомити IT-відділ
| ГРИФ / СТАТУС | ЩО ОЗНАЧАЄ | ПРАВИЛА ПЕРЕДАЧІ |
|---|---|---|
| Державна таємниця | Найвищий рівень захисту. Допуск обов'язковий. | Лише через захищені канали зв'язку ДССЗЗІ. Ніяких Email/месенджерів. |
| ДСК (Для службового користування) | Службова інформація з обмеженим доступом. | Лише по корпоративній пошті або захищених каналах. Не надсилати за межі установи без санкції. |
| Конфіденційна | Персональні дані, комерційна таємниця тощо. | Захищені канали, шифрування при передачі. |
| Публічна | Відкрита для всіх. | Без обмежень. |
Ніяких документів із службовою інформацією на столі без нагляду. Перед виходом — документи в шухляду або сейф, екран заблокований.
Службові документи з персональними даними або грифом ДСК знищуються лише механічним шредером. Викидати в кошик — заборонено.
У транспорті, кафе, на нарадах — навіть на хвилину. Крадіжка незашифрованого ноутбука = витік всіх даних.
Розгорнуті документи або відкриті екрани з службовою інформацією не мають бути видні стороннім. Перевертайте документи або блокуйте екран при появі сторонніх.
Вимкнення знищує докази в оперативній пам'яті і може ускладнити розслідування. Ізолюйте: витягніть мережевий кабель або вимкніть Wi-Fi (але не сам ПК).
Телефоном: фото повідомлення, незнайомих вікон, адрес листів. Запишіть: точний час, що саме клацали, назву вкладення, адресу відправника.
Не пишіть з підозрілого ПК. Зателефонуйте на внутрішній номер IT-підтримки або підійдіть особисто. Опишіть що сталось.
З телефону або іншого ПК: насамперед корпоративна пошта, потім держпортали, потім решта. Увімкніть 2FA якщо ще не увімкнена.
Email: [email protected] або телефон: +38 (044) 281-88-25. Повідомлення є обов'язком держустанов згідно законодавства. Чим швидше — тим краще.
Приховування інциденту дає зловмиснику час поширитись на всю мережу установи. Своєчасне повідомлення — захист всіх колег, не лише вас.
Ransomware поширюється по мережі автоматично. Кожна хвилина — нові заражені комп'ютери. Вимкніть мережевий кабель, Wi-Fi, відключіть від корпоративної мережі.
У деяких випадках ключ шифрування зберігається в пам'яті. Вимкнення може знищити останній шанс на відновлення без ключа.
Якщо є актуальні резерви — відновлення можливе без виплати. Перевірте, чи резерви не підключені до зараженої мережі.
ІПСО — інформаційно-психологічні операції: цілеспрямоване поширення дезінформації, фейків та маніпулятивного контенту з метою дестабілізації, підриву довіри до влади та деморалізації суспільства.
Для держслужбовця особливу небезпеку становлять:
Скріншот будь-якого документа можна підробити за 5 хвилин. Перевіряйте інформацію на офіційних сайтах органів влади, а не в Telegram-каналах.
Стара інформація часто подається як нова. Реальні фото і відео видаються за "сьогоднішні" — перевіряйте метадані або reverse image search.
Навіть якщо "виглядає правдиво". Держслужбовець, що поширює дезінформацію — ненавмисний агент ІПСО. Сумнів — не поширюй.
stopfake.org та спеціальні ресурси Центру протидії дезінформації РНБО — офіційні сервіси перевірки фейків в Україні.
Базовий закон. Визначає об'єкти критичної інформаційної інфраструктури, повноваження CERT-UA та НКЦК, обов'язки держустанов щодо кіберзахисту.
Визначає режим службової інформації (ДСК), порядок її обробки та відповідальність за несанкціоноване розголошення.
Несанкціоноване втручання в роботу ЕОМ — до 5 років. Поширення шкідливого ПЗ — до 3 років. Несанкціонований збут інформації — до 3 років.
Перехід від КСЗІ до гнучкої системи профілів безпеки. Нові вимоги до захисту держінформресурсів.
Рішення НКЦК при РНБО. Заборона використання Telegram на службових пристроях держслужбовців, військових, сектору безпеки та критінфраструктури.
Держустанова зобов'язана повідомляти CERT-UA про кіберінциденти. Замовчування інциденту може тягнути дисциплінарну або кримінальну відповідальність.
Службова інформація з грифом ДСК не може передаватись по незахищених каналах, надсилатись на особисту пошту або зберігатись у незашифрованому вигляді на носіях поза установою.
Держслужбовці зобов'язані проходити навчання з основ кібербезпеки. Незнання правил не звільняє від відповідальності за їх порушення.
Передача облікових даних, незакритий сеанс на загальному ПК, спільне використання паролів — порушення, що може призвести до відповідальності.