Кіберстійкість як стратегічний актив
Чому бізнесам варто будувати антикризові команди.
23 березня хакери зламали онлайн-сервіси "Укрзалізниці". Хоч персональні дані користувачів залишилися в безпеці, а поїзди продовжували рух, інцидент перевантажив каси і вплинув на прибутки від вантажних перевезень.
Атака на "Київстар" коштувала компанії 100 млн дол. У січні масштабної кібератаки зазнав агрохолдинг МХП. Збої зачепили сервери, email-систему, внутрішні сервіси та ланцюги постачання. У Великій Британії Marks & Spencer через кібератаку втрачав по 3,8 млн фунтів щодня, а за тиждень – понад 700 млн ринкової вартості.
Євросоюзівські країни вже запровадили законодавчі вимоги до бізнесу щодо антикризового планування на випадок кібератак. Україна лише починає впроваджувати державну систему кіберстійкості і в цій ситуації саме бізнесу доводиться брати на себе відповідальність за захист і репутацію. Як підготуватися до інциденту, щоб не лише відновити технічну спроможність, а й утримати довіру?
Спостерігаючи за міжнародними кібербезпековими форумами, я не раз помічала: ця сфера досі існує в паралельному вимірі з комунікаціями. На технічних подіях не вистачає голосів PR-фахівців, а піарники часто не мають уявлення про алгоритми реагування на інциденти. Це проблема.
Коли трапляється атака, реагує не лише ІТ-відділ. До справи залучені юристи, фінансисти, комунікаційники, топменеджмент. Скоординована комунікація в момент кризи – це не бонус, а базова умова мінімізації збитків. Вона допомагає зберегти довіру, стабілізувати ситуацію і захистити фінансову модель компанії.
Як у Євросоюзі
У 2025 році в ЄС почали діяти ключові нормативні акти: Digital Operational Resilience Act (DORA), який вимагає від фінансових установ та ІТ-підрядників мати готові сценарії реагування на кібератаки, і NIS2 Directive, що охоплює 18 критичних секторів (від енергетики до охорони здоров’я) та зобов’язує компанії розробити кіберстратегії, запровадити звітність, визначити відповідальних осіб у керівництві.
У ЄС більше не залишають питання кібербезпеки на розсуд компаній. Стрімке зростання атак і їх руйнівні наслідки змусили уряди закріпити вимоги законодавчо.
Як в Україні
У березні Верховна Рада ухвалила законопроєкт, що передбачає створення державної системи реагування на кіберзагрози. Його ухвалення – одна з умов програми фінансової допомоги Ukraine Facility Plan від Євросоюзу. Згідно з нею, Україна має адаптувати своє законодавство до вимог NIS2.
Однак цей закон охоплює переважно державні структури. Приватний сектор залишається в зоні саморегулювання і, відповідно, високих ризиків. Тим часом кількість атак зростає: у 2024 році – на 70% порівняно з попереднім. Під прицілом – органи влади, об’єкти критичної інфраструктури, бізнес будь-якого масштабу.
Що впливає на відновлення
Коли стається кібератака, компанія часто опиняється в інформаційному вакуумі. Вона не розуміє, хто має комунікувати, через які канали, що говорити клієнтам і партнерам. Тим часом, згідно з дослідженням, 75% користувачів готові відмовитися купувати в бренду, який зазнав кібератаки.
Недавнє опитування українських бізнесів показало, що 62% компаній не мають чіткої стратегії дій на випадок атаки, 39% не мають жодного антикризового комунікаційного плану, а третина компаній ніколи не проводила оцінки ризиків.
При цьому бізнеси, які зазнавали кібератак, демонструють вищу готовність. Вони регулярно проводять тренінги і мають антикризовий комунікаційний план.
Під час атаки клієнтам потрібні не вибачення, а впевненість, що їх дані в безпеці, що ситуація контрольована, що компанія вживає заходів. У комунікаційній кризі перемагає той, хто визнає проблему, чітко формулює дії та демонструє прогрес.
Як підготуватися до кіберінциденту
Кіберстійкість має стати частиною стратегії на всіх рівнях бізнесу: технічному, фінансовому, комунікаційному. Побудова кіберстійкої організації має починатися з навчання персоналу, регулярних тренінгів з розпізнавання фішингових листів, симуляції кібератак і кризових ситуацій. Раджу вдатися до таких кроків.
1. Провести оцінку ризиків, продумати можливі загрози та розписати комплексні антикризові плани реагування на кожен із них.
2. Сформувати антикризову кросфункціональну команду. Важливо не лише відновлювати систему після кібератаки силами технічної команди, а й комунікувати прогрес назовні. Тож до команди варто включити представників усіх ланок: керівництво компанії, фахівців з ІТ та кібербезпеки, юридичний відділ, PR.
3. Визначити канали комунікації. Якщо хакери зламають сайт, варто продумати, як ви донесете користувачам інформацію про перебіг кризи, ваші дії для її вирішення та рекомендації з безпеки, якщо під загрозою опиняться персональні дані.
4. Визначити перелік спікерів, які коментуватимуть ситуацію: писатимуть про це у власних соцмережах, комунікуватимуть з партнерами та медіа.
5. Сформувати набір повідомлень для стейкхолдерів. Хоча кібератака може відрізнятися від сценарію, який ви опрацьовували на внутрішніх тренінгах, завжди краще мати чорновий варіант, ніж писати все з нуля під тиском кризи.
6. Памʼятати про посткомунікацію. Коли криза мине, потрібно проінформувати стейкхолдерів про наслідки; інвесторам чи раді директорів слід надати детальні звіти, провести внутрішню комунікацію з командою для роботи над помилками.
Не менш важливо регулярно симулювати кризи, як навчальні тривоги в школах чи пожежні навчання в ТЦ. Сценарії потрібно переглядати та оновлювати відповідно до нових загроз. Військові порівнюють це з мʼязовою памʼяттю: під час сильного стресу люди діють рефлекторно. В інтересах вашої компанії, щоб цей рефлекс був відпрацьований до того, як станеться кібератака. Питання не в тому, чи станеться кібератака. Питання – коли це станеться і чи буде ваша компанія до неї готова.