Масштабні кібератаки змінили все: як бізнесу вижити і захиститися в епоху ШІ-атак

Кібератаки дедалі частіше переходять у побутову площину – зупиняють доставку, ламають онлайн–платежі, паралізують сервісні центри й стають видимими мільйонам людей у найгірший можливий момент. Українці зрозуміли це під час кібератак 2020–х років на реєстри та мобільний звʼязок. Ключова зміна останніх років – не лише зростання кількості інцидентів, а їхня швидкість і масштаб. Нові інструменти роблять атаку схожою на конвеєр, а не на штучну "операцію одиночки". Серед інших інструментів – штучний інтелект.

Показовий епізод стався у Франції напередодні Різдва: 22 грудня 2025 року оператор звʼязку La Poste повідомив про мережевий інцидент, через який збоїли його інформаційні системи – постраждали й сервіси La Banque Postale та сайт laposte.fr, а робота відділень могла бути тимчасово порушена. Це означало не лише незручності, а й конкретну затримку логістики та онлайн–платежів у піковий сезон.

На цьому тлі дедалі чіткіше проявляється геополітичний вимір кіберризиків: держави інтегрують кібероперації у воєнне та політичне планування, поєднуючи класичне шпигунство з руйнівними сценаріями та інформаційними впливами. У західних оцінках прямо описується, як КНР нарощує здатність "передрозміщуватися" в критичній інфраструктурі, а Росія використовує суміш державних і недержавних акторів, доповнюючи кібератаки дезінформацією та впливовими операціями.

24 Канал поговорив із експертами у сфері бізнесу та юриспруденції про те, як компаніям захиститися від новітніх атак з ШІ.

Від інцидентів до системної загрози: в чому відмінність останніх великих кібератак?

У своєму матеріалі Bloomberg про зміни у кібератаках каже про знайому для кіберфахівців логіку – злочинці постійно змінюють тактику і швидко приручають нові технології. Колись це були криптовалюти та ransomware, тепер на перший план виходить штучний інтелект.

Найгучніша ілюстрація цього зсуву – кейс, який у листопаді 2025 року оприлюднила Anthropic. Компанія заявила, що виявила й зупинила шпигунську кампанію, де, за її оцінкою, китайська держпідтримувана група намагалася використовувати agentic можливості інструмента Claude Code для проникнення приблизно до 30 цілей у світі (від великих технологічних компаній і фінсектору до хімпрому та держустанов), і в окремих випадках їй вдалося досягти результату. Anthropic назвала це першим задокументованим прикладом великомасштабної атаки, виконаної без суттєвого людського втручання, підкресливши: мова вже не про "підказки" моделі, а про напівавтономне виконання ланцюжка дій.

Французька ситуація із La Poste показала іншу сторону тієї ж медалі – кібератака може й не красти дані, але здатна зупиняти сервіс. 22 грудня 2025–го компанія заявляла про збої у своїх системах і затримки доставки та онлайн–платежів. У медіа цей інцидент описували як DDoS, що зробив онлайн–сервіси недоступними; при цьому La Poste публічно запевняла, що дані клієнтів не постраждали.

Далі – типова для "гібридної" реальності надбудова. 24 грудня у медіа з’явилася інформація, що проросійське угруповання Noname057(16) заявило про причетність; французькі правоохоронці розслідували інцидент, а спецслужба DGSI долучалася до справи. Водночас офіційна сторінка La Poste з оновленнями повідомляла, що станом на 26 грудня атаку стримано, сервіси відновлено, а доставка працює нормально; компанія наводила й показові цифри навантаження – зокрема, 5,5 млн доставлених посилок від понеділка до 24 грудня.

У сумі ці кейси складаються в одну тенденцію – коли інструменти прискорюють і здешевлюють напад, а політична мотивація додає йому "сюжету" та цілей, межа між кіберінцидентом і суспільною катастрофою стирається.

ШІ вже змінює правила: чого остерігатися від нових кібератак?

Ігор Пуць, завідувач ІТ–Центру у КП "Волиньпроект", описує зміну у парадигрім кібератак таким чином: Штучний інтелект вже змінив правила гри.

Водночас Пуць наголошує, що навіть зі зростанням витрат на залізо та софт головною вразливістю залишається людина. Фахівець називає це "ілюзією технічної безпеки", коли дорогий фаєрвол сприймається як захист. За оцінкою Пуця, 90% успішних зламів починаються з фішингового листа, який співробітник відкрив через неуважність. Друга помилка – відсутність культури "нульової довіри" (Zero Trust): у багатьох організаціях, каже він, якщо зловмисник уже "всередині" мережі, система починає йому довіряти, і хакер місяцями може рухатися всередині системи.

Серед найуразливіших сфер Пуць виокремлює фінансовий сектор, енергетику та логістику – там, де ціна простою найвища. Але окремо підсвічує медіа й держсектор: у таких випадках мета атаки часто не гроші, а дестабілізація, маніпуляція даними та ефект в інформаційній війні. ШІ, за його словами, дає змогу "штампувати" фейкові новини й документи у великих обсягах так, що без ретельної перевірки їх дедалі складніше відрізнити від справжніх.

Найнебезпечнішим прикладом еволюції соціальної інженерії Пуць вважає діпфейки голосу й відео. Якщо раніше фішинг "видавали" помилки та кострубата мова, то тепер повідомлення можуть бути ідеально грамотними й стилістично схожими на листи конкретної людини

Найболючіше, додає він, що малий і середній бізнес часто живе хибною думкою: "Ми маленькі, ми нікому не цікаві". Але для автоматизованих атак "розмір" не має значення – вони "пилососять" усіх, у кого є вразливості.

Критично необхідні кроки вже зараз:

• Двофакторна аутентифікація (2FA) всюди, де це можливо. Це зупиняє 99% автоматизованих атак на акаунти.
• Регулярні бекапи (резервні копії), які зберігаються окремо від основної мережі. Коли вірус–шифрувальник заблокує дані, бекап – єдиний спосіб не платити викуп.
• Оновлення софту. Більшість атак використовують вразливості, для яких вже давно випущені "латки", але їх просто не встановили.

Що робити малому та середньому бізнесу, щоб убезпечитися?

ШІ дуже швидко змінює баланс в кібератаках, і неприємна частина в тому, що швидкість тут не технологічна, а економічна, каже у коментарі 24 Каналу Олена Нусінова, директорка Smart Corporate Service LTD, докторка економічних наук, MBA, DBA з корпоративного управління.

"Провали не в технологіях, а в управлінні", – вважає Нусінова:

• Перше – відсутність дисципліни доступів. Надмірні права, спільні акаунти, слабкі паролі, відсутній MFA. Це банально, але саме через банальне й заходять.
• Друге – латання замість системи. Купують рішення, ставлять "коробки", пишуть політики. Але не будують процес: хто відповідає, як контролюється, що вважається критичним, як швидко реагують.
• Третє – резервні копії як міф. Вони "десь є", але ніхто не перевіряє відновлення. А потім виявляється, що відновлювати нічого або відновлення займе тижні. У війні це розкіш.
• Четверте – у державі особливо: формальна наявність процедур, але розмита відповідальність. У результаті інцидент стає "нічий".

Найуразливішими галузями співрозмовниця вважає ті там, де висока ціна простою і багато довіри в ланцюгу рішень:

• фінанси – бо гроші швидкі, процеси масові, а помилка коштує одразу;
• енергетика й інфраструктура – бо системи часто старі, оновлюються повільно, а зупинка недопустима;
• логістика – бо будь–який збій множиться по ланцюгу постачання;
• медицина – бо дані чутливі, а "лежати" система не може.

"Чому саме ШІ тут небезпечний? Бо він дає дешеве таргетування: під конкретну людину, під конкретний підрозділ, з правдоподібною мовою і контекстом. І робить це масштабно", – каже Нусінова.

Соціальна інженерія ж стає жорсткішою, бо руйнується базова опора корпоративного життя – "я довіряю голосу, обличчю, статусу".

Що міняти в процедурах, на думку експертки? Не "навчанням про дипфейки", а правилами, які не залежать від емоцій:

• для платежів і зміни реквізитів – обов’язково підтвердження в іншому каналі (не там, де прийшов запит);
• правило двох осіб для критичних операцій;
• жорстка заборона "розпоряджень на швидкість" без перевірки, навіть якщо дзвонить перша особа;
• простий принцип: голос і відео більше не є доказом. Доказ – це процедура.

Малі та середні компанії переважно не готові до цих викликів. І не тому, що вони легковажні, вважає експертка, а тому що вони живуть без запасу міцності – у них немає людей, часу і бюджету на складні конструкції.

Але мінімум, який має бути, інакше це гра в рулетку:

• MFA на пошту, банкінг, адмінки, хмарні сервіси. Без дискусій;
• резервні копії з перевіркою відновлення. Не "ми бекапимо", а "ми відновлювались і це працює";
• прибрати зайві адмінправа, навести лад у доступах;
• оновлення критичних систем і зовнішнього периметра – за пріоритетом, а не "коли руки дійдуть";
• процедури фінансового контролю: зміна реквізитів і платежі лише з подвійним підтвердженням.

Новітні кібератаки: юридичний погляд

Кібератака на бізнес вже давно перестала бути форс-мажором сама по собі, тепер це, в першу чергу, юридично зафіксований випадок відповідно до наявної документальної бази в компанії, вважає у коментарі 24 Каналу Сергій Дзіс, партнер Syrota Dzis Melnyk & Partners. "А отже, якщо справа про кібератаку дійде до суду чи до розгляду регулятором, можуть оцінювати не сам факт атаки, а чи діяла компанія в межах управлінських і правових обов’язків до інциденту та під час нього. І таким чином саме на сторону, що постраждала, може лягти ще й тягар відповідальності", – каже фахівець.

Крім того, у багатьох організацій відсутній актуальний і робочий план реагування на інциденти. Як наслідок — втрата доказів, порушення строків повідомлення регуляторів та хаотичні дії, які лише погіршують позицію. "В Європі за такі помилки можна отримати штрафні санкції незалежно від масштабу витоку, приміром, через порушення 72-годинного строку повідомлення за GDPR", – зауважує експерт.

За словами Дзіса, в Україні діяльність у сфері кіберзахисту регулюється Наказом Держспецзв’язку від 03.12.2025 №798, який встановлює вимоги до підрозділів кіберзахисту та CISO, по суті встановлює нові правила того, як треба організовувати безпеку. Якщо підрозділ відсутній, повноваження розмиті або відповідальна особа призначена формально, то у випадку вдалої кібератаки на бізнес, особливо, коли ми говоримо про держпідприємство, дії відповідальних осіб можуть бути кваліфіковані як службова недбалість (ст. 367 КК України).

Як би ми не уявляли собі кібератаки з застосуванням чи без застосування ШІ, усе зупиняється на юридично правильно оформленні документації, яка може підтвердити, що управлінці та посадові особи зробили все можливе, аби уникнути можливих втрат, а також зрозуміла відповідальність за порушення цих політик, підсумовує експерт.