Нема закону — нема сучасної кіберзброї
Пане Єгоре, коли почалася кібервійна Росії проти України? Ще в часи АТО/ООС, коли запрацював Sandworm (підрозділ кібервійни Служби воєнної розвідки Росії)?
Мабуть, у 2013–2014 роках. Перша велика кібероперація — NotPetya (вірус, який заблокував комп’ютерні системи компаній; постраждала третина банків, «Нова пошта», енергетичні компанії тощо. — Ред.).
Кібервійни у світі відбувалися й до того. У 2007 році російські хакери атакували Естонію. Класичну найвідомішу кібероперцію у 2010 році провели США з Ізраїлем. Програма під назвою Stuxnet безшумно зупиняла центрифуги зі збагачення урану в Ірані, доки вони не самознищилися. Відтоді стала зрозумілою сила кіберзброї.
Чи змінилося щось принципово у тактиці росіян з початком великої війни?
Після 2022 року росіяни структурували свої спецоперації й беруть постійним тиском. Не провели операцію і відійшли, а тиснуть і додають до кібернападів когнітивні атаки. Знижують дезінформацією рівень довіри до, скажімо, держоргану, а потім атакують.
Основна зміна тактики: використовують ШІ у 95 % атак. Росіяни швидко адаптують нові технології. І будь-яку атаку скоро масштабують. І тут нам можуть допомогти західні партнери. Так, як обмежили використання Starlink для росіян і надали нам перевагу на полі бою. Якщо вони обмежать використання ШІ, це дасть нам перевагу в кібероперціях.
А його можливо обмежити?
Не так просто, як Starlink, але, думаю, можна. У військовій доктрині НАТО кіберпростір офіційно визнали п'ятим доменом операцій (разом із сушею, з морем, повітрям і космосом). У ньому вже тривають бойові дії, час думати, як створювати альянси в кіберпросторі, обмежувати ворогів і шукати шляхи домінування в ньому.
Нам треба створювати власні технології й дипломатичні мости з державами-партнерами, щоб ефективно діяти. Є чимало різної кіберзброї, але в Україні її поки небагато. Свою створюємо, але не світового рівня, а партнери надають обмежено і для конкретних цілей. Це питання, які теж треба пропрацьовувати, зокрема, через закон про кіберсили.
Читайте такожСтратегічна нейтралізація: нова парадигма позбавлення противника стратегічних можливостей у контексті війни Росії проти України
Кіберзброя — це умовний вірус, який виведе з ладу ворожу систему?
Те, що може вплинути на пристрій в офлайн-світі або на перебіг бойових дій. Наприклад, доступ до екрана чийогось смартфона. Пригадуєте, як NSO Group читала листування в гаджетах чотирьох президентів (скандал 2021 року: кілька світових лідерів, зокрема французький президент Емманюель Макрон, стали потенційними цілями стеження через шпигунську програму Pegasus від ізраїльської компанії NSO Group. — Ред.)? Унікальна інформація теж зброя. Мати доступ до телефона президента чи короля — це суперперевага в переговорах чи бойових діях. Як і доступ до телефонів російських генералів, наприклад.
Кіберзброя не новинка, але в Україні немає чіткої координації в наступальних кіберопераціях. Не достатньо ефективно використовують партнерські ліцензії або власні інструменти. Бо це поки що сіра зона. У складі українських спецслужб займатися цим можна, але процес не надто координують на державному рівні.
Захист посилюють, але купа дірок
Наскільки Україна захищена в кіберпросторі? Раніше нас вважали полігоном для російських кібератак. Щось змінилося за останні роки?
У захисті країни ми суттєво виросли. Бо частина фахівців високого рівня мобілізувалася і працює в Держспецзв'язку й інших структурах. Зараз будують державні й регіональні операційні центри безпеки (централізовані підрозділи, які відстежують, аналізують і захищають ІТ-інфраструктуру. — Ред.), працюють команди реагування, кіберпідрозділи СБУ, кіберполіція. У ЗСУ теж розвивають ці напрямки.
Але це все відбувається нерівномірно. Центральні осередки суттєво зміцнюють (об’єкти критичної інфраструктури, центральні органи влади тощо) завдяки західним партнерам і зусиллям мобілізованих фахівців. Приватний сектор теж задіяний, зокрема, наша ГО «Інститут дослідження кібервійни» постійно щось робить для держсектору безкоштовно. Але на рівні громад, міських адміністрацій це все у слабкому стані. І про те, що в якійсь системі сидить хакер, дізнаються, коли вже щось зламали. Регіональна інфраструктура набагато вразливіша, а для хакерів це ідеально. Вони не йдуть через броньовані двері, а лізуть у відчинене вікно. Лікарні, регіональні підприємства — вразливі ланки; їх використовують, щоб потрапляти в центральні структури.
У держсекторі є добре захищені місця, а є такі, де ще непочатий край роботи. І більш ніж половина атак зараз іде на регіони і на приватні сектори. Росія нарощує зусилля, створює приватні угруповання, які прикриваються спецслужбами: ФСБ, ГРУ. Одні фокусуються на фінансовому секторі, інші на енергетичному. Їм байдуже, кого ламати. Проникли і сидять, чекають, поки створять загальну ціль проникнення й активують їх там. Наприклад, під зустріч президента з НАТО абощо, щоб покласти систему і показати нашу вразливість. Поки росіяни можуть уражати ракетами, вони готуються до великих кібероперацій. Коли не зможуть обстрілювати, більше активуватимуть свої напрацювання в кіберпросторі.
Це багатомісячна робота?
У середньому кібероперацію готують три-шість місяців і можуть виконати за день. Зазвичай хакери до року сидять у системах, не показуючи своєї роботи, — і ніхто не здогадується, якщо немає регулярного аудиту. Світ так швидко рухається, що все, що може робити технологія — сканери, аудити, замінюватиме ШІ. Маємо навчити людей використовувати його й розуміти ризики застосування технологій. Усі, від керівника до рядових працівників, повинні розуміти, які можливі витоки інформації і як застосовувати ШІ. Це вміння робитиме нас стійкішими. Саме цього навчаємо на нашому кіберполігоні.
Центральні осередки, про які згадували, — це, наприклад, Укрзалізниця? Понад рік тому вона пережила потужну кібератаку, але зараз уже у всеозброєнні?
Туди прийшли технічно сильні люди. Але кібербезпека, кіберстійкість — це постійно нові виклики. Перемагає той, хто швидше біжить: зловмисники чи захист. Нові технології прискорюють процес, і треба адаптуватися під їхнє використання. У США, наприклад, у раді директорів публічних компаній, які виходять на IPO (первинна публічна пропозиція, перший публічний продаж акцій приватної компанії широкому загалу. — Ред.) має бути хоча б одна людина з бекграундом у сфері кібербезпеки. І ці практики мусимо застосовувати в диджиталізації. Якщо не впевнені, що можемо безпечно диджиталізуватися, краще це відкласти на потім. Краще залишити щось в аналоговому світі, аніж у не цілком безпечному цифровому. Треба багато працювати, щоб цифровізована система навіть теоретично не допускала втрати даних.
Ви про платформи на кшталт Дії?
Щоб не породжувати паніку, краще не будемо про це. Можна було збудувати навколо неї якусь кіберкомпоненту, але я не бачу, щоб за останні кілька років щось суттєво змінили в інфраструктурі, залучили етичних хакерів для тестування абощо. Це процес, який потребує вдосконалення. Кібербезпеки не буває мало, особливо коли маєш справу з персональними даними. Сподіваємось побачити там зміни.
Читайте такожСліпота і параліч ППО і флоту РФ
Кіберсили зможуть нападати, а не тільки захищати
Про власні кібервійська. Чому потрібне окреме командування, окремий рід військ, якщо вже є відповідні структури при СБУ, Держспецзв’язку і не тільки?
Інститут дослідження кібервійни збирав кілька тижнів тому всіх, кого стосується це питання. Представників Міноборони, СБУ, Держспецзв’язку, ГУР, Служби зовнішньої розвідки, Ради національної безпеки і оборони, Офісу Президента, прикордонників. Це була зустріч на високому рівні. Людей, які розбираються в темі. Дехто брав участь у написанні законопроєкту, який пройшов перше читання у Верховній Раді (законопроєкт № 12349 «Про Кіберсили Збройних сил України», у жовтні 2025 року підтриманий та ухвалений за основу; створює правову базу для формування окремого роду військ відповідно до стандартів НАТО. — Ред.).
Майже кожен стейкхолдер має самостійні ініціативи в цьому напрямку. Ми зійшлися на тому, що це добре, коли є мінімальна конкуренція, але мають з’явитися кіберсили, які будуть проводити кібероперації-атаки. Захист і напад — це різні світи, різна культура, компетенції. І кожному, хто обороняє, треба розуміти, як атакувати. А щоб ефективно провести операцію, потрібна координація вищого рівня з розподілом ролей і контролем. Для цього і має з’явитися кібервійсько у юридичній площині.
Певні напрацювання є, і це круті речі. Будуть і результати, але таким фахівцям потрібен статус. Щоб не вийшло, як на самому початку повномасштабної війни.
Я особисто збирав кіберармію в лютому 2022 року — до тисячі суперфахових сертифікованих людей. Частина працювала як волонтери, частина мобілізувалася. Але не існувало рамок, у яких вони могли б діяти. Попрацювали кілька місяців, а потім їм дали в руки автомати. Багатьох уже немає в живих. А справжніх хакерів мало, їх складно навчити — на це йдуть десятки років. Вони унікальні. Якщо хочемо, щоб цей напрямок розвивався, для них мають бути чіткі правила служби. А не так, що їм якийсь сторонній дядько каже: не бійся, ламай, а я тебе прикрию. Бо того дядька завтра змістять на іншу позицію, а хакер залишиться без прикриття, нічий, не захищений.
Поки що їм офіційно не можна використовувати і розробляти певне програмне забезпечення. Кіберсилам, які не існують офіційно, не можуть щось передати або замовити. Офіційна зарплата не може бути високою: сидять у тилу й отримують близько 20 тисяч гривень, хоча легко могли б заробити 100 навіть за часткової зайнятості. Тобто з них треба зробити людей з важелями впливу і захищеними правами. Але певним силам було невигідно, щоб так сталося. Бо поки робота кіберфахівців — сіра зона, непрозора історія, можна забрати їх під себе, розформувати, натиснути на них…
З тих, хто зібрався тоді з столом, ніхто не був проти кіберсил. Нарешті про щось домовилися, і треба, щоб ВР проголосувала законопроєкт у другому читанні.
Хай ці сили будуть не ідеальні, змінюватимуться ще, але якщо не дамо їм офіційного статусу, нові кваліфіковані люди туди не прийдуть. Їх можна хіба що заганяти. Але ж можна зробити елітний підрозділ, який виконуватиме круті місії проти ворога. Маючи так багато фахових людей, ми просто зобов’язані це зробити. Вони передадуть свої знання, напрацювання — і все розвиватиметься.
==
Людей вистачає? Відтік мізків не позначився?
Головна перевага цього напрямку в тому, що сюди можна залучати 18–20-річних. У них мозок працює найкраще. Це нашому поколінню треба перевчатися, а для їхнього ШІ — це звичний шлях подолання труднощів. Тому саме ця молодь може мобілізуватися, працювати, демобілізуватися… Що прозорішими будуть правила входу-виходу, то більше зайде крутих людей і технологій.
Скільки треба платити такому спеціалісту, щоб йому це було цікаво?
Вигода може бути непряма. В Ізраїлі система побудована так, що люди, які працюють у подібних підрозділах, потім стають стартаперською елітою. Кожен продукт, який вони створюють, уже відпрацьований у реальному житті. Знаються на операціях нападу як ніхто. Так виникає ціла екосистема. І наші відставні кіберофіцери формуватимуть українську кіберіндустрію.
Платити стільки, скільки й військовослужбовцям, але тим, хто проводить активні бойові дії. Бо це і є активні дії, тільки в інтернеті. А після служби я, наприклад, із задоволенням візьму фахівців з таким досвідом у свій бізнес.
Чи може одна кібератака переламати перебіг війни? На яку сферу тоді мали б бути скеровані наші зусилля? Що в Росії вразливого в цифровому світі?
Не будемо їм підказувати, вони уважно все читають. Найкраща кібероперація та, про яку ворог ще не знає, а вона вже триває. Якщо ворог довго не знаходить своєї вразливості — це ідеально. І не тільки щоб знищувати щось, а й отримувати інформацію. Або підміняти інформацію, і це навіть краще, ніж знищити, бо ворога можна заплутати, а він не помічає, що є витік.
Звісно, одна кібератака може переламати перебіг війни. Але росіяни тримають тактику постійної кібероперації, і нам теж треба тиснути на них когнітивними й кіберопераціями, які заважатимуть працювати ефективно.
Читайте такожВадим Скібіцький: «Кремлівська еліта боїться дестабілізації режиму й розпаду Росії»
А участь живих людей (зрадників) потрібна в таких операціях?
Живі люди потрібні для ефективного використання технологій. Можна дірочку в стіні зробити ручним інструментом, а можна лазерним — так, що й шва видно не буде. Наша задача — використовувати максимум лазерних.
Звісно, інсайдери іноді потрібні. Соціальну інженерію теж застосовують. Це як колись флешки розкидали на парковках: людина знаходила, вставляла в гаджет і заражала його. Може знадобитися або інсайдер (зрадник), або людина, яка сама не знає, що завдає шкоди своїй компанії. А часом усе роблять під ключ ззовні, без таких учасників. Найкраще — це комбінація старих добрих методів із ШІ. Усе найкраще відбувається в поєднанні людини й технологій.
Битва за кадри і кібермайбутнє
Яких фахівців потребуватимуть кіберсили майбутнього?
Можна створити вже сьогодні такі умови, що люди хотітимуть до них долучатися. Влаштувати відбір, як на хорошу роботу. Поки нема чіткого закону, правил, у кіберзахисті держави працюють і круті фахівці, і ті, кого туди просто приписали. Якщо навести лад, це значно полегшить створення кіберсил.
Як готувати таких людей? Інвестувати у відповідні напрямки освіти? Недавно соцмережі обговорювали необхідність НМТ з математики: то треба дітям вчити математику чи хакерам геть інші знання потрібні?
Математика й англійська — це основа. Коли мене знайомі питають, на які курси дітей віддати, кажу, що якісна фундаментальна база математики плюс англійської відкривають шлях у різних напрямках у технологічному світі. Звісно, освіта важлива. Я викладаю в КАІ й бачу, що цьому поколінню випав ковід і війна, тобто не найкращий період для навчання, але слід його мотивувати. Ми в КАІ створили команду, яка бере участь у хакерських змаганнях. Мотивація — це не крейдою по дошці малювати, а залучати до таких процесів. Є ж український кіберполігон, і є безкоштовні світові хакерські тренування. Тобто безліч шляхів мотивувати, навчатися. Інвестиція в кадри — це наш захист майбутнього.
Чи реально залучати до українських кіберсил іноземців?
Це залежить від нашої політики. Мені писало багато іноземців з цього приводу. На одній конференції я запропонував: ось є окуповані території, на них є окупований кіберпростір (реєстри, хмарні сховища) — приходьте в Україну і допомагайте в кіберзвільненні цих земель. Ви навіть закону цим не порушите, не треба заходити сюди солдатами. Ми як держава просто кажемо, що в Криму проведемо наші кібернавчання — і відпрацьовуємо. І ніхто не порушує законів, бо це територія України й іноземці можуть брати участь у таких операціях. І до мене підходили люди, яким це цікаво. Треба побудувати такий механізм на рівні держави. Немає нічого неможливого в кіберпросторі.
Умовний індієць може сидіти в Делі й бути частиною кіберсил?
Так, але за сучасного законодавства він цим порушує міжнародне право. А якщо це буде на території України і ми створимо для нього спеціальний статус міжнародного кіберкомбатанта, наприклад, — то це можливо. Ця тема у світі ще не відпрацьована, але цікава багатьом.
А росіяни вербують іноземних хакерів?
Вони багато використовують у кіберпросторі і китайців, і білорусів, і північних корейців.
Ви казали, що ШІ прискорює і масштабує операції. Наведіть, будь ласка, приклади.
Нещодавно росіяни реалізували дипфейк в одному українському міністерстві. Відбулась атака через відеодзвінок: керівник (насправді картинка, згенерована ШІ) давав команду підлеглому зробити певні речі. Раніше треба було ще щось вимальовувати, а зараз обличчя і голос підміняють за дві секунди.
Читайте такожКібератаки, пропаганда, вербування: як захиститись від інформаційних загроз ворога
Інший момент — дистрибуція інформації. Я ще й засновник Kyiv International Cyber Resilience Forum. Нещодавно ми проводили на конференції хакерські змагання. Там були 30 кращих українських команд, серед них одна без людей, самі ШІ-агенти. І вона посіла друге місце! З-поміж крутих команд СБУ, НБУ тощо, завдяки тому, що агенти ШІ швидко підбирають, аналізують, коли треба знайти вразливість або розігнати інформацію. Поширюють її одночасно в тисячі, сотні тисяч місць, вразливості шукають одночасно в мільйонах ресурсів і одночасно закладають у них фейкову інформацію або віруси. Виходить, 28 команд уже відстають від ШІ-агентів. І це було пів року тому. Наступного року повторимо, і, думаю, ШІ-команда буде на першому місці з відривом. ШІ швидко діє, особливо коли ним керує розумна людина.
Якими будуть основні кіберзагрози в наступні 5–10 років і де буде місце України в глобальній кібербезпеці?
На нас ідуть дві величезні хвилі: ШІ і квантових комп’ютерів (можуть одночасно тримати безліч станів і розв’язувати надскладні математичні задачі за секунди. — Ред.). Ці пристрої з’являться вже за два-три роки, і це буде справжній виклик. Фахівці говорять про наступний етап — постквантову еру. Коли квантовий комп’ютер відкриватиме будь-яку криптографію (добиратиме паролі до електронної поштової скриньки, наприклад) за частки секунди.
Ці дві хвилі йдуть на нас, і їх треба або осідлати, або вони змиють нас як країну.
Головні виклики в майбутньому, думаю, будуть пов’язані з протистоянням ШІ та ШІ по різні боки барикад. Наша задача — вчити людей якісно використовувати ШІ, взаємодіяти з ним. Треба вкладатися в підготовку кадрів, відпрацьовувати ШІ-моделі, інфраструктури, щоб не відстати.