top of page

Cyber resilience 2025

Згідно з Global Risks Report 2024 від WEF, кіберзагрози увійшли до п’ятірки найбільших глобальних викликів року. Кібератаки, зокрема із застосуванням ШІ, посіли 4 місце серед загроз для бізнесу та суспільства. Водночас у прогнозах на 2025 рік кіберризики вже не увійдуть навіть в десятку світових загроз.


Однак ситуація з кібератаками на інформаційні системи підприємств державного та приватного сектору в Україні досі є вельми складною. З 2022 до 2025 кількість атак на корпоративні інформаційні системи лише зростає.


Щоб допомогти підприємствам оцінити свою кіберстійкість, експерти Центру кібермоніторингу компанії Accord Group та члени Підкомітету з кібербезпеки Європейської Бізнес Асоціації розробили анкету-дослідження «Cyber resilience 2025».


Ключові задачі проведеного дослідження, які вдалося досягти в результаті:


  • Кожен респондент отримав безплатне самотестування рівня корпоративної готовності до сучасних кіберзагроз.

  • Технічна команда інтегратора резюмувала рівень обізнаності експертів з кібербезпеки, власників та керівників підприємств України щодо впливу кіберрезильєнтності на загальну стійкість бізнесу.

  • Національна академічна спільнота отримала узагальнені дані для порівняння в розрізі періодів.


Дослідження, підготоване за методологією Надії Омельченко, членкині Підкомітету з кібербезпеки Європейської Бізнес Асоціації, тривало з 27 січня по 30 квітня 2025, охопивши всі регіони України. Участь в конфіденційному опитуванні взяли власники, СЕО, СІО, СISO та керівники структурних підрозділів українських підприємств.


Більша частина респондентів цього дослідження представляє сферу торгівлі, аграрної промисловості, освітніх послуг, енергетичної, оборонної та будівельної галузі – загалом понад 73% учасників.


  • Понад 79% опитаних підприємств є малими та мікропідприємствами.

  • Понад 53% респондентів є професіоналами у сфері кібербезпеки, а ще 23% є топменеджерами компаній.

Примітно, що дві третини опитаних експертів відмітили значне зростання кількості та інтенсивності кіберзагроз на власні підприємства та підрозділи. При цьому тільки 8% опитаних висловили своє незадоволення поточним рівнем корпоративної кібербезпеки.


Серед найбільш популярних сьогодні технологій учасники назвали:


  • Штучний інтелект

  • Хмарні обчислення

  • Великі дані


Поміж основних кіберризиків, які впливають на щоденну роботу респондентів, були названі в рівних долях: фішингові атаки, витік даних та атаки на мережу.


Важливо, що ці відповіді збігаються як серед фахівців з кібербезпеки, так і користувачів інформаційних систем, наприклад, фінансових менеджерів, маркетологів, керівників середньої та вищої ланки.


Дослідження також показало, що більшість фахівців довіряє міжнародному стандарту ISO/IEC 27001 та знайома з рекомендаціями NIST Cybersecurity Framework. Серед іншого, було досліджено частоту використання компаніями різноманітних технологій та інструментів кіберзахисту.


  • NGFW – міжмережеві екрани та обмеження доступу користувачів до певних ресурсів мережі Інтернет.

  • CPK – централізоване резервне копіювання та відновлення даних.

  • MFA – багатофакторна автентифікація.

  • EPP – централізований антивірусний захист.

  • EDR – просунутий захист від шкідливого коду із поведінковим аналізом і моніторингом мережевої активності.

  • UBA – аналіз поведінки користувачів.

  • РАМ – контроль та протоколювання усіх адміністративних дій.

  • SIEM – збір, аналіз та зберігання подій безпеки.


В організаційній структурі підприємств здебільшого функцію загального керівництва процесами безперервності бізнесу та аварійного відновлення після зламів покладено на позицію СЕО та CIO. Натомість функціонал директора з інформаційної безпеки або ж CISO в українських компаніях все ще недооцінено.


Примітно також, що майже чверть з опитаних підприємств не проводять щомісячних дій, пов’язаних з перевіркою процесів аварійного відновлення, що є неприйнятним в умовах постійного удосконалення кіберзагроз. Більшість з опитаних респондентів зазначили, що мають високий або середній рівень контролю за кібербезпекою та мають керівний орган, на який покладено дану функцію.


Майже 40% опитаних підприємств при цьому не користуються послугами сторонніх лабораторій з кібербезпеки, інші звертаються за аутсорс послугами на різних рівнях контролю.


Зокрема, 18% загальної вибірки тестують силами зовнішніх підрядників окремі пристрої та вузли, 24% – готову продукцію, 29% – хмарні платформи, а 33% – мережу. При цьому 39% опитаних не користуються послугами аутсорсингових компаній.


Якщо ж казати про бізнес складову управління стійкістю компанії в умовах зростаючих кіберзагроз, то більша частина респондентів відмітила, що ознайомлена та використовує або частково використовує підходи Business Resilience Management.


Зокрема, 24% опитаних підприємств тримає в актуальному стані стратегії стійкості бізнесу, стільки ж – проводять навчання з ринкової резильєнтності бізнесу, а 31% розуміє важливість регулярного оновлення планів безперервності бізнесу та аварійного відновлення.


Проте, на питання «Чи використовуєте ви оцінку зрілості кібербезпеки для прийняття рішень?» більша частина респондентів відповіла негативно. Не використовує таку оцінку 37% учасників дослідження, не використовують, але планують використовувати – 17%.


Відповідно, майже така сама доля респондентів не порівнює власні витрати на кібербезпеку з іншими учасниками ринку. І лише 3% учасників дослідження регулярно проводять поглиблений аналіз необхідного рівня витрат на кібербезпеку в цілому по ринку.


Вірогідно, з цим пов’язаний фактор, за яким понад 58% опитаних підприємств вказали, що несуть середній рівень витрат на кібербезпеку, який достатній для відповідності стандартам, нормативній базі та базовому навчанню персоналу. Тобто – не мають потреби в порівнянні власних витрат з ринком, оскільки вважають вимоги стандартизації достатніми для прийняття рішення про обсяги інвестицій в кібербезпеку, і не планують їх збільшення.


Примітно також, що більшість підприємств вже мають розроблену Стратегію чи Політики з кібербезпеки та регулярно навчають персонал питанням, пов’язаним з інформаційною та кібербезпекою.


Серед найефективніших методів підвищення кіберстійкості компанії називають навчання персоналу, побудову власного або підключення до аутсорсингового SOC, дотримання політик та вчасне реагування на кіберінциденти, використання MFA.


Серед найбільш постраждалих галузей від дій кіберзлочинців протягом минулого року респонденти називають державний сектор, енергетику, фінансову сферу, ІТ та телекомунікації. Серед найбільш ефективних постачальників ринку кібербезпеки виділяють бренди Cisco, Fortinet, Microsoft, а також організації ДССЗЗІ, CERT-UA та Кіберполіцію України.


Проведене дослідження в цілому показало високий рівень обізнаності та готовності до впровадження методів та підходів Business Resilience Management з урахуванням сучасних вимог забезпечення захисту інформаційного периметра підприємств від зловмисних дій в кіберпросторі. Зокрема, як наслідок, рекомендовано підсилити інформаційну роботу з підприємствами малого бізнесу України в даному напрямку.

bottom of page