У всьому світі продовжує зростати кількість кібератак, й Україна не є винятком. Атаки на державні установи, бізнес і критичну інфраструктуру стають дедалі складнішими та тривалішими. За нещодавнім повідомленням Державної служби спеціального зв'язку та захисту інформації, торік кількість кібератак зросла на 69,8%. CERT-UA зафіксувала 4315 кіберінцидентів проти 2541 у 2023 році.

У Європі кібербезпековий контур теж напружений. «Ми бачимо цю закономірність: щойно латвійські чиновники публічно висловлюють підтримку Україні, спостерігається зростання кількості та інтенсивності DDoS-атак», — пояснює Улдіс Лібієтіс, Chief Information Security Officer Tet. Найбільша кількість атак за чисельністю і тривалістю у Латвії відбулася у червні 2024 року. Ймовірно, це було пов'язано з публічними заявами латвійських посадовців.

Статистика показова: у Латвії за 2024 рік зафіксовано зростання кількості DDoS-атак на 5% проти 2023-го. Загалом зареєстровано 1372 атаки потужністю понад 1 Гбіт/с. У приватному секторі збільшуються випадки крадіжки даних, фінансового шахрайства та вторгнення в інфраструктуру, що часто провокує серйозні збої у роботі компаній. Про ці та інші негативні тенденції свідчать дані технологічної компанії Tet за 2024 рік.

«Кіберзлочинці використовують різні методи для досягнення своєї мети: торік ми стали свідками масштабних DDoS-атак, атак на додатки та DNS-інфраструктуру. В окремих випадках спостерігалися DDoS-атаки, які тривали від 5 до 7 днів», — говорять в Tet.

Бізнеси готуються до законодавчих змін

Tet уже давно посилює кібербезпекові заходи та активно впроваджує нові принципи роботи, щоб відповідати оновленим стандартам кібербезпеки ЄС, викладеним у Директиві про мережеві та інформаційні системи (NIS2) від 2024 року. Ці зміни поширюються на основні важливі суб'єкти господарювання та ще більше секторів, зокрема на бізнеси у сферах критичної інфраструктури, енергетики, транспорту, охорони здоров'я та фінансів.

Оскільки значна частка бізнес-даних українських компаній зберігається та обробляється за кордоном, місцевим організаціям теж варто бути готовими до цих вимог. І хоча вони не зобов'язані повністю дотримуватися вимог NIS2, у разі важливої співпраці з європейськими партнерами їм буде необхідно впроваджувати відповідні стандарти ЄС, підвищувати рівень ІТ-безпеки, а також мати можливість звітувати про впровадження процесів безпеки.

Варто пам'ятати, що навіть якщо ваша організація не підпадає під дію Директиви, її положення можуть поширюватися на ваших клієнтів.

Також викликом є залучення відповідних фахівців. NIS2 вимагає, аби компанії призначали менеджерів із кібербезпеки, проте нестача спеціалістів вже створює проблеми для виконання цієї вимоги. Улдіс Лібієтіс говорить, що у великих компаніях часто не вистачає кадрових ресурсів для підтримки безпеки наявної ІТ-інфраструктури. В Україні також спостерігається нестача професіоналів із кібербезпеки — ємність ринку зараз набагато більша, ніж наявна кількість спеціалістів.

Превентивні дії мають значення

«За нашими спостереженнями, чимало компаній вживають запобіжних заходів уже після того, як зазнали кібератаки. Часто це тягне за собою збільшення витрат і впливає на репутацію бізнесу. Водночас ми спостерігаємо й позитивну тенденцію: все більше підприємств цікавляться аудитами ІТ-безпеки та превентивними рішеннями», — підкреслює Улдіс Лібієтіс.

Аудити кібербезпеки, навчання та впровадження технічних рішень є важливими кроками для зменшення ризиків. Хоча перевірки ІТ-безпеки часто виявляють суттєві невідповідності, наприклад, недостатній захист мережі, слабкі паролі та застаріле програмне забезпечення, рекомендації експертів допомагають компаніям зрозуміти, з чого почати і як організувати роботи.

Tet закликає компанії не відкладати кроки з посилення кібербезпеки, оскільки витрати та наслідки атак значно більші, ніж впровадження превентивних заходів.