1. Цифровий комфорт і цифрова вразливість

Ми звикли до зручності. До “розумних” систем, що самі нагадують про платежі, підраховують премії, формують звіти й навіть прогнозують ризики. Цифровізація зробила страхування швидшим, точнішим, прозорішим. Але разом із комфортом прийшла нова вразливість — технологічна, системна, людська. Бо будь-яка кнопка “підтвердити” може коштувати більше, ніж здається.

За даними кількох оглядів IBM і KPMG, подібні інциденти у великих європейських фінансових групах нерідко призводять до втрат у десятки мільйонів євро. Один із найтиповіших сценаріїв — видалення даних після помилки під час оновлення CRM, коли тестове середовище плутають із продуктивним. Це не кіберзлам, а класичний операційний ІТ-ризик, народжений із поспіху та відсутності перевірки.

Згідно з KPMG Cyber Survey Ukraine 2024, 64% українських компаній стикалися з ІТ-інцидентами протягом останнього року, а кожна третя зазнала зупинки процесів на понад 24 години. Найчастіші причини — не хакери, а збої систем, людські помилки, або неконтрольований доступ аутсорсерів. Тобто, проблема не лише “ззовні”, а й у тому, як компанія організовує свій цифровий дім.

Межа між ІТ-комфортом і ризиком

Кожна технологія, що полегшує життя, створює нову залежність. Чим глибше бізнес інтегрований у цифрову інфраструктуру, тим болючішою стає будь-яка її несправність. Коли CRM падає — паралізуються продажі. Коли пошта зависає — зупиняється врегулювання. Коли постачальник хмарних послуг оновлює сервер без повідомлення — компанія залишається “в темряві”.

Як показує IBM Security X-Force Threat Intelligence Index 2024, 95% кіберінцидентів у фінансовому секторі починаються з людського чинника — фішингового листа, неправильного пароля, або простого натискання “так”. Технологія не помиляється сама по собі. Вона лише віддзеркалює поведінку користувачів.

Український контекст

Україна живе у стані подвійного цифрового виклику: з одного боку, рекордна швидкість діджиталізації, з іншого — війна, що зробила ІТ-інфраструктуру ціллю. CERT-UA фіксує сотні кібератак щомісяця на державні та фінансові системи. Багато з них не потрапляють у новини — компанії воліють не говорити про інциденти, щоб не втрачати довіру клієнтів. Та ризики від мовчання лише зростають.

Кожен день без навчання, без перевірки резервів, без аналізу прав доступу — це ще один крок до ситуації, коли натискання Enter справді може коштувати мільйон.

У наступному розділі ми подивимось глибше: де саме народжуються ІТ-ризики, чому навіть найсучасніші системи залишають “дірки” у безпеці, і як людський фактор вплітається у кожен етап цифрового процесу.

2. Невидимий фронт: де народжуються ІТ-ризики

Більшість ІТ-ризиків не виглядають як події. Вони починаються з дрібниць — невидимих для звітності, але фатальних для процесів. Усе здається під контролем: система працює, дані зберігаються, резерви формуються. Проте саме в цей момент компанія може бути найбільш уразливою — бо справжня небезпека народжується не у кризі, а у комфорті.

Коли все “працює добре”, ніхто не перевіряє, чому саме. ІТ-команда фокусується на підтримці, а не на тестуванні, менеджери — на ефективності, а не на безпеці. Так з’являються невидимі зони ризику — старі паролі, спільні логіни, відкладені оновлення. Ззовні — порядок, але під капотом накопичується технічний борг, який одного дня “вистрелить”.

Згідно з IBM Security X-Force Threat Intelligence Index 2024, понад 80% інцидентів у корпоративному секторі починаються із простих прорахунків у налаштуваннях або управлінні доступами, а не зі складних атак. Це “операційна рутина”, що не потрапляє у фокус керівництва. Один зайвий дозвіл на сервері, відкритий порт, забутий акаунт співробітника, який звільнився рік тому, — і ось уже створено двері, про існування яких не знає навіть IT-директор.

Ще одна зона ризику — оновлення та міграції систем. Коли компанії переходять на нові CRM чи хмарні рішення, пріоритетом часто стає швидкість, а не надійність. Відділи працюють у паралельних версіях, частина даних переноситься вручну, і в цей момент утворюється “технічна шизофренія”: одна база каже “так”, інша — “ні”, а третя просто мовчить. Саме під час таких перехідних етапів виникають наймасштабніші операційні інциденти.

Окремий пласт проблем — аутсорсинг і постачальники ІТ-послуг. Український бізнес масово передав підтримку, хостинг, резервування стороннім компаніям, але далеко не завжди має прозорі SLA. У результаті навіть невелика затримка з боку провайдера може зупинити бізнес на добу. CERT-UA у звіті за 2024 рік зафіксував, що близько третини інцидентів у фінансових організаціях пов’язані саме з третіми сторонами — хмарними провайдерами, кол-центрами, платіжними шлюзами.

ІТ-ризики мають іще одну рису — вони часто “маскуються” під звичайні операційні збої. Помилка у платіжній системі виглядає як технічна несправність, але насправді може бути результатом неправильно розмежованих прав або втручання підрядника. Поки інцидент не повторюється, він не потрапляє до звітності. А коли повторюється — уже запізно.

Тому найкращі компанії переходять від реакції до постійного моніторингу, де ризик розглядається як живий організм, а не як таблиця у звіті. Вони впроваджують принцип “zero trust” — довіряй лише перевіреному, навіть усередині організації. Бо ІТ-ризики народжуються не у коді, а в припущеннях: “цього не може статися”, “у нас усе захищено”, “так було завжди”.

3. Кіберзагрози: від фішингу до паралічу бізнесу

Кібератака — це вже не сюжет із технотрилера. Вона може початися з електронного листа, який виглядає як звичайне звернення від НБУ чи податкової. Усе, що потрібно зловмиснику, — щоб хтось у компанії натиснув “відкрити вкладення”. І за кілька секунд внутрішня мережа перестає бути внутрішньою.

За даними CERT-UA (2024), кількість цілеспрямованих атак на фінансові та страхові компанії в Україні зросла на 47% порівняно з попереднім роком. Переважна більшість — фішинг, шкідливі макроси у документах, підміна облікових даних. Ворог адаптується швидше, ніж регулятори встигають видавати циркуляри: атаки стають точковими, персоналізованими, часто українською мовою і з “офіційним” дизайном.

Фішинг сьогодні — це не лише електронна пошта. Зловмисники активно використовують месенджери, соцмережі, корпоративні чати. У 2023 році одна страхова компанія втратила доступ до CRM після того, як співробітниця натиснула на посилання, отримане “від ІТ-відділу”. Насправді домен відрізнявся лише на одну літеру. Відновлення системи тривало п’ять днів. Ціна помилки — втрачений тиждень продажів і десятки тисяч гривень компенсацій агентам.

Та фішинг — лише верхівка айсберга. IBM Security X-Force Threat Intelligence Index 2024 зазначає, що понад 30% атак у фінансовому секторі нині пов’язані з ransomware — програмами-вимагачами, які шифрують дані й блокують роботу всієї інфраструктури. Для українського бізнесу ця загроза особливо актуальна, адже часто резервні копії зберігаються на тих самих серверах, що й основні дані. Коли вірус шифрує одне — він шифрує все.

Окремий напрямок — атаки на ланцюги постачання. Зловмисники проникають через партнерів або підрядників, яким компанія довіряє. CERT-UA у 2024 році повідомляв про випадки компрометації українських ІТ-аутсорсерів, які обслуговували фінансові компанії: через оновлення програмного забезпечення клієнти отримали шкідливий код разом із “патчем безпеки”. Таким чином ризик одного постачальника перетворюється на ризик цілої галузі.

Не менш небезпечні інсайдерські кіберінциденти — коли доступи зловживають співробітники або колишні підрядники. Verizon Data Breach Investigations Report 2024 зазначає, що у 19% випадків порушення безпеки відбувається зсередини організації. Мотиви різні: помста, гроші або просто байдужість.І часто компанія навіть не помічає, що працівник завантажив базу клієнтів “на пам’ять”, доки ці дані не з’являться у відкритому доступі.

Український бізнес нині перебуває під подвійним тиском — військових кібератак і комерційного шахрайства. І якщо перші часто мають політичну мету, то другі — виключно фінансову. Тому кіберзахист більше не є справою ІТ-відділу. Це питання управління ризиками, репутації й довіри. Бо в епоху цифрових загроз компанії діляться не на ті, що зазнали атак, а на ті, які про це ще не знають.

4. Запобіжники: технологія, люди і дисципліна

У сфері ІТ-ризиків немає універсального антивірусу. Навіть найдорожча система не захистить від недбалості чи звички “клацати швидше, ніж думати”. Тому кіберстійкість завжди тримається на трьох речах — технології, людях і дисципліні. Саме в цьому трикутнику формується реальний імунітет бізнесу.

Перший шар захисту — контроль доступів. Це просте правило “найменших прав” (least privilege), яке означає: кожен має бачити лише те, що потрібно для його роботи. У багатьох українських компаніях після впровадження автоматичної перевірки доступів кількість “зайвих” користувачів у системах скоротилася на третину. Це не технічна дрібниця — це зниження ймовірності витоку даних або зловживань.

Другий елемент — резервування і сегментація. Резервна копія, збережена в тій самій мережі, що й основна база, — це ілюзія безпеки. Коли шифрувальник “падає” на сервер, він знищує все разом. Тому найкраща практика — географічно розділені резерви, окремі канали для тестових середовищ і чіткий порядок відновлення. Компанії, які відпрацювали процедуру “Disaster Recovery” у реальному часі, відновлюються в рази швидше.

Але технологія — лише половина історії. Без навчання персоналу будь-який фаєрвол перетворюється на декорацію. За оцінкою KPMG Cyber Survey 2024, понад 60% інцидентів в Україні стали можливими через людський чинник — натискання на шкідливе посилання, завантаження невідомого файлу, передання пароля колезі. Найкращі компанії проводять не лекції, а короткі практичні тренінги: фішингові симуляції, “дні кібергігієни”, внутрішні змагання “знайди пастку”. Це не контроль, це спосіб виховати цифрову уважність.

Не менш важлива дисципліна оновлень. Багато систем атакують не тому, що вони слабкі, а тому, що вони старі. У 2024 році CERT-UA відзначила, що 40% кібератак відбулися через використання застарілих версій ПЗ, які вже не підтримувалися виробником. Регулярне оновлення — не формальність, а частина ризик-культури. Компанії, де IT і CRO працюють разом, сприймають апдейт не як клопіт, а як захід контролю.

Четвертий запобіжник — реакція та звітність. У момент інциденту важлива не ідеальна інструкція, а час. Ті, хто має прописаний план реагування (Incident Response Plan), мінімізують наслідки у кілька разів швидше. Головне — щоб цей план знав не лише ІТ-директор, а й усі керівники, від яких залежить прийняття рішень у перші години. Кіберінцидент — не лише технічна подія, це управлінська криза.

І, нарешті, дисципліна комунікацій. Після атаки головна помилка — мовчання. Якщо компанія не коментує, клієнти вірять чуткам. Тому частина стратегії кіберстійкості — прозора комунікація. Чесність у кризі часто рятує більше, ніж ідеальний антивірус.

У підсумку кіберзахист — це не сума технологій, а ритм поведінки. Як і будь-який операційний процес, він вимагає повторюваності, уважності та культури відповідальності. Бо там, де люди і дисципліна працюють синхронно, навіть найскладніша система не буде беззахисною.

5. KRI та ризик-апетит у цифровому вимірі

Кіберризики часто здаються абстрактними — доки не спробуєш їх порахувати. Але саме це й відрізняє зрілий ризик-менеджмент від реактивного: здатність вимірювати навіть те, що не має очевидної грошової форми. І тут на сцену виходять ключові індикатори ризику — KRI.

Для ІТ-ризиків вони перетворюються на нервову систему компанії. Найпростіші приклади: кількість критичних інцидентів за квартал, середній час відновлення систем (MTTR), частота оновлення безпеки, частка успішних фішингових тестів серед працівників. Дещо складніші — відсоток серверів без патчів, кількість користувачів із надмірними правами, час виявлення інциденту (MTTD). Ці цифри не просто заповнюють таблицю — вони показують, чи живе організація в реальному ритмі ризиків.

Коли компанія вимірює KRI регулярно, починає з’являтися “цифровий пульс” — здатність бачити відхилення до того, як вони стануть проблемою. Наприклад, якщо час реакції на інцидент зріс із 4 до 10 годин — це не статистика, це сигнал. І саме такий моніторинг дозволяє CRO пояснити керівництву, де саме болить. Усе, що вимірюється, можна поліпшити.

Другий аспект — ризик-апетит у цифровій площині. Якщо раніше компанії обмежувались формулюванням “допустимий рівень ІТ-ризику — низький”, то тепер дедалі частіше це виражають у конкретних межах. Наприклад: “час простою критичних систем не перевищує 2 години на квартал” або “не більше одного інциденту з порушенням конфіденційності даних на рік”. Такі формулювання роблять ризик-апетит вимірюваним і зрозумілим навіть нефахівцям.

Саме тут ролі CRO та ІТ-директора зливаються. Перший визначає рамку ризику, другий — механіку контролю. І коли вони працюють разом, компанія отримує спільну мову: цифри, які розуміють усі — від технічного спеціаліста до фінансового аналітика. У найзріліших організаціях ці показники потрапляють у дашборди правління поруч із фінансовими KPI.

Нарешті, важливо не просто рахувати, а інтерпретувати. Один і той самий показник може мати різне значення залежно від контексту: 10 кіберінцидентів за місяць — це катастрофа, якщо торік було два, або успіх, якщо минулого року було тридцять. Тому завдання CRO — не зібрати цифри, а розповісти історію, яку вони приховують. Бо KRI — це не звітність, а спосіб мислити у цифрах про те, що раніше здавалося невидимим.

6. Кіберстійкість як нова форма довіри

Кіберстійкість — це не технологічний стан, а спосіб мислення. Її не можна “встановити” разом із програмним забезпеченням чи купити у вигляді сервісу. Це культура, яка народжується на перетині дисципліни, довіри та досвіду. І головне — вона не про те, щоб уникнути атак, а про те, щоб вижити після них і зробити висновки.

Світ уже зрозумів, що абсолютного захисту не існує. IBM Security Cost of a Data Breach 2024 показує: середній час виявлення інциденту — 204 дні, а середня вартість ліквідації — 4,5 млн доларів. І це — для компаній із найкращими системами безпеки. Проте ті, хто має відпрацьований план реагування, скорочують збитки майже удвічі. Тобто кіберстійкість — це не питання “чи зламають”, а питання “як швидко ми відновимося”.

Для українського ринку ця тема особливо чутлива. В умовах війни й постійних атак бізнес змушений бути стійким не теоретично, а буквально. Бекапи зберігають у різних областях, сервери дублюють за кордоном, співробітники тренуються діяти під час відключень і кібератак. І все це формує не просто технічну готовність — це довіра всередині команди, коли кожен знає, що робити у критичний момент.

Кіберстійкість починається не з firewall’ів, а з культури поведінки. З простих речей: не передавати паролі, не натискати поспіхом, не замовчувати інцидент. У компаніях, де ці правила сприймаються як частина професійної етики, рівень втрат знижується в рази. Тому ІТ-безпека дедалі більше схожа на репутацію — її не можна створити швидко, але можна втратити за мить.

У цьому сенсі кіберстійкість стає новою формою довіри — не лише до систем, а й між людьми. Довіри, яка ґрунтується не на припущенні “все буде добре”, а на впевненості “навіть якщо щось станеться — ми впораємось”. Саме ця впевненість відрізняє зрілу організацію від формальної.

І, можливо, головний урок усього цифрового десятиліття полягає саме в цьому: стійкість — це не броня, а здатність рухатись після удару. І компанії, які це зрозуміли, не просто захищають свої дані — вони захищають свою репутацію, своїх людей і свій майбутній день.

Що далі

У наступній статті циклу ми поговоримо про третіх сторін і ланцюги постачання — про ризики, які приходять не через власні помилки, а через партнерів, підрядників і технологічних провайдерів. Розберемо, як один слабкий елемент може зупинити весь бізнес, чому аутсорсинг не знімає відповідальності, і як будувати систему довіри поза межами компанії. Бо в сучасному світі ланцюг постачання — це не просто структура контрактів, а спільна зона ризику, яку треба не лише рахувати, а й розуміти.

Сергій Бабич