Кіберреанімація: як бізнес виживає після атаки
Коли зашифровані сервери і зупинений конвеєр, не потрібен SIEM. Потрібна команда, яка приїде швидко — КІБЕРРЕАНІМАЦІЯ
Уявіть: понеділок, 7:43 ранку. Фінансовий директор великого дистриб'ютора відкриває ноутбук і бачить чорний екран із текстом англійською: «Your files have been encrypted. Pay 50 BTC within 72 hours or all data will be published.» Сервери ERP не відповідають. Склади стоять. Водії чекають маршрутних листів, які ніхто не може роздрукувати. Колл-центр паралізований. Щогодини компанія втрачає умовний «пульс».
Так виглядає звичайний (незвичайний) ранок для сотень компаній по всьому світу і дедалі частіше для українських.
Цифри, від яких стає некомфортно
У 2025 році кількість підтверджених жертв ransomware у світі перевищила 7 500 організацій — це на 58% більше, ніж роком раніше. Атаки на промислові підприємства зросли на 46% лише за перший квартал 2025 року. Середня вимога викупу в першій половині 2024 року перевищила $5,2 млн за інцидент, а деякі атаки коштували жертвам до $25 млн.
Найпоказовіша статистика — не про гроші. Лише 22% компаній, що зазнали атаки, повністю відновлювали роботу протягом тижня. У 2023 році таких було 47%. Тобто за два роки середній час «перебування на підлозі» майже подвоївся.
Україна не виняток, а полігон. У першому півріччі 2024 року кількість кіберінцидентів зросла на 54% порівняно з аналогічним періодом 2023-го: 276 зафіксованих атак проти 179. Атакують банки, логістику, агросектор, держустанови — всіх, у кого є залежність від IT-систем і є що втрачати.
Анатомія паніки: що відбувається в перші хвилини
Більшість управлінських команд, які потрапляли під атаку вперше, допускають одні й ті ж п'ять помилок і кожна з них ускладнює відновлення.
Помилка перша: вимикають техніку. Інтуїтивно здається, що якщо вимкнути сервер, то атака зупиниться. Насправді разом із сервером знищуються логи, дані оперативної пам'яті і сліди атакувальника. Криміналістам потім нема з чим працювати.
Помилка друга: платять викуп. У 2024–2025 роках лише 23–28% жертв погодились заплатити — і це рекордно низький показник. Причина проста: оплата не гарантує ні відновлення даних, ні того, що вкрадена інформація не буде опублікована. Часто після оплати приходить другий запит.
Помилка третя: комунікують з атакувальником самостійно. Без розуміння тактик ведення переговорів будь-яке слово може погіршити ситуацію або розкрити критичну інформацію про резервні копії та стан систем.
Помилка четверта: публічно розповідають про інцидент до завершення локалізації. Передчасне розголошення може стимулювати додаткові атаки або зашкодити репутації до того, як є що сказати на свій захист.
Помилка п'ята: чекають на «своїх IT». Штатний системний адміністратор — не фахівець з цифрової криміналістики. Він може щиро намагатися допомогти і при цьому знищити всі сліди атаки.
Кейс перший: Київстар і $90 млн уроку
12 грудня 2023 року сталося те, що назвуть «однією з найбільших кібератак в історії глобального ринку телекомунікацій». Київстар — найбільший мобільний оператор України з аудиторією понад 24 мільйони абонентів — ліг повністю. Не окремий регіон, не окремий сервіс. Весь.
За підозрою СБУ, за атакою стояла група Solntsepyok, пов'язана з російською військовою розвідкою. Точкою входу став скомпрометований акаунт співробітника — класична схема, яку використовують у 90% атак.
Що відрізнило Київстар від типових жертв — це швидкість реакції. Вже за 8 годин відновили фіксований зв'язок. Ще за чотири дні безперервної роботи команди — голосовий зв'язок і мобільний інтернет. До відновлення підключились Microsoft DART (Detection and Response Team) і Cisco Talos Incident Response — буквально «приїхали на виклик», щойно дізнались про інцидент. «Як тільки вони почули, що ми постраждали одразу запропонували підтримку», — розповідав CTO компанії Володимир Лученко.
Загальна вартість відновлення склала близько $90 млн. Але Київстар вижив і став сильнішим саме тому, що мав ресурси і партнерів для швидкого реагування.
Підписуйтеся на наші соцмережі
Висновок, який зробила компанія після інциденту: ізольована кібербезпека не працює. Потрібна екосистема реагування.
Кейс другий: державні реєстри і місяць без нотаріусів
19 грудня 2024 року відбулася масштабна атака на інфраструктуру державних реєстрів Міністерства юстиції України. Зникли доступ до реєстру нерухомості, реєстру юридичних осіб, реєстру актів цивільного стану. Тисячі нотаріусів зупинили роботу. Угоди з купівлі-продажу квартир завмерли в очікуванні. Суди відклали засідання. Частина даних, за словами міністерки Стефанішини, була знищена — включно з одним із найзакритіших реєстрів.
Відновлення тривало понад місяць: повноцінний доступ повернули лише 20 січня 2025 року. «Дія» поступово відновлювала послуги хвилями: спочатку бронювання, потім нотаріальні реєстри, потім інше.
Запитання до бізнесу: якщо публічна інфраструктура відновлюється місяць — скільки часу займе відновлення у вашій компанії без спеціалізованої команди реагування?
Кейс третій: Starbucks і ручка з папером
Листопад 2024 року. Постачальник програмного забезпечення для управління ланцюгами поставок Blue Yonder зазнав атаки групи Termite. Серед постраждалих мережа Starbucks з 11 000 кав'ярень у США. Система управління графіками співробітників перестала працювати. Менеджери тисяч кав'ярень перейшли на ручку і папір, щоб вручну прорахувати зміни і не затримати виплату зарплатні.
Starbucks не атакували напряму — атакували ланцюг поставок. Але наслідки відчули 11 000 точок продажу одночасно. Сукупні втрати автодилерів CDK Global від подібної атаки роком раніше оцінили в $1 млрд.
Тут ключовий урок інший: кібератака рідко буває «лише цифровою». За нею йдуть фізичні, операційні, репутаційні і юридичні наслідки.
Як виглядає справжнє реагування
Найкращі команди кіберреагування у світі: - Mandiant (частина Google), CrowdStrike Services, Palo Alto Unit 42, працюють за схожою логікою, адаптованою до стандарту NIST SP 800-61. Спрощено це виглядає як п'ять переходів стану: паніка → діагностика → локалізація → відновлення → стійкість.
Перші 0–30 хвилин: стабілізація паніки. Прийом виклику, тріаж ситуації, перші інструкції клієнту (не вимикати, не платити, не комунікувати з атакувальником, зберегти логи, ізолювати мережу від інтернету за можливості). Мета -зупинити некеровані дії, які погіршують ситуацію.
Перші 1–4 години: діагностика і локалізація. Оцінка масштабу атаки, критичних активів під загрозою, вектора проникнення. Ізоляція заражених систем, блокування поширення. Паралельно проводиться збір та фіксація цифрових доказів із дотриманням chain of custody (ланцюжка зберігання доказів), необхідного для подальшого судового переслідування.
День 1–7: відновлення пріоритетних процесів. Не «все одразу», а за принципом медичної тріажності: що без чого компанія не може існувати? Платіжна система, виробничий конвеєр, логістика? Спочатку повертають це. Решта — потім.
Паралельно: кризові комунікації. Одна з найбільш недооцінених частин реагування. Що і коли сказати клієнтам, регулятору, медіа, від цього залежить репутаційна вартість інциденту. Погано побудована комунікація може завдати більше шкоди, ніж сама атака.
Після інциденту: імунітет. Розслідування кореневої причини, runbook для майбутніх інцидентів, навчання персоналу, перехід до програми кіберстійкості. Компанія, яка пережила атаку і зробила правильні висновки, стає значно стійкішою до наступної.
Хто це робить у світі і як
Ринок кіберреагування глобально оцінюється в десятки мільярдів доларів. Серед лідерів: Mandiant (Google Cloud), CrowdStrike Services, Palo Alto Unit 42, Accenture Cyber. Всі вони пропонують дві базові моделі:
Emergency Response — одноразове реагування на конкретний інцидент. Дорожче за годину, але без попередніх зобов'язань. Для компаній, які «не встигли» підготуватись. В Україні таку послугу надає SHERIFF CYBER і вона має назву КІБЕРРЕАНІМАЦІЯ.
IR Retainer — підписка на готовність. Команда зарезервована, SLA гарантовано, ціна години реагування нижча. Саме цю модель обирає більшість великих корпорацій і регульованих індустрій — банки, страхові, енергетика. Вони розуміють: питання не «чи станеться атака», а «коли».
Mandiant у своєму звіті M-Trends 2025 оцінив 450 000 годин реагування на інциденти протягом 2024 року. Одна цифра звідти особливо красномовна: медіанний час перебування атакувальника в системі до виявлення 10 днів. Десять днів хакери ходять по вашій мережі непомітно, перш ніж щось відбувається.
Тому паніка після виявлення — це вже запізнення. Справжня перевага виявити раніше.
Чому метафора реанімації — точна аналогія
Є причина, чому кращі команди реагування у світі все частіше використовують медичну термінологію. Не заради ефекту, а заради точності.
Швидка допомога → Incident Response Team. Реанімація → Crisis Cyber Response. Діагностика → Forensics. Зупинка кровотечі → Containment. Стабілізація → Isolation. Відновлення → Recovery. Реабілітація → Cyber Resilience Program.
Медичні терміни знайомі кожному CEO. Технічні - тільки CISO. А рішення про бюджет і підписання контракту приймає CEO.
Ще точніше можна сказати так: у медицині є відома статистика - виживання при зупинці серця кожну хвилину без допомоги знижується на 10%. У кібербезпеці аналогічна залежність між часом реагування і масштабом збитків підтверджується кожним звітом індустрії. Чим пізніше починається реагування, тим більше систем заражено, тим більше даних вкрадено, тим довше відновлення.
Від паніки до моніторингу: як виглядає зріла позиція
Пройшовши через кризу, більшість компаній проходять один і той же шлях трансформації мислення.
Стадія перша: «З нами такого не станеться». Класична передатакова позиція. «Ми невеликі», «ми не цікаві хакерам», «у нас є антивірус».
Стадія друга: «Рятуйте!» Момент атаки. Паніка, хаотичні дії, телефонні дзвінки всім підряд.
Стадія третя: «Більше не повториться». Після відновлення настає усвідомлення. Закупівля інструментів, навчання команди, впровадження резервного копіювання.
Стадія четверта: «Ми готові». Зріла позиція. Компанія заздалегідь підготувалася до кібератаки: має команду швидкого реагування, цілодобовий моніторинг загроз, відпрацьовані сценарії дій та чіткий план кризових комунікацій. Тому під час інциденту вона не імпровізує, вона діє за планом.
Різниця між стадією два і чотири — це різниця між $90 млн відновлення і керованим інцидентом.
Що SHERIFF CYBER рекомендує зробити вже сьогодні
Незалежно від того, чи є у вас зараз бюджет на повноцінну підписку кіберреагування, є речі, які можна зробити зараз і безкоштовно.
По-перше, перевірте резервні копії. Реально. Прямо зараз. Більшість атак ransomware першим ділом знищує резервні копії, бо атакувальники знають, що це головна альтернатива викупу.
По-друге, призначте відповідального за кризовий протокол — людину, яка знає, кому дзвонити в першу хвилину інциденту. Не в IT відділ. А до фахівців з реагування.
По-третє, проведіть відпрацювання сценарію кібератаки (tabletop exercise) — уявний «пробний» інцидент з топ-менеджментом. Більшість компаній не розуміють своїх вразливостей, поки не спробують відіграти кризу на папері.
По-четверте, перевірте страховку — чи покриває ваш кіберстраховий поліс витрати на реагування, втрачений прибуток від простою і витоку даних? Більшість полісів мають обмеження, про які власники дізнаються тільки під час страхового випадку.
Кібератака — це медична надзвичайна ситуація для бізнесу. І як у медицині: не той виживає, хто здоровіший, а той, поруч із ким виявився хороший лікар у потрібний момент.
Питання не «чи атакують». Питання — хто підніме трубку, коли це станеться о 7:43 ранку в понеділок.
Матеріал підготовлено на основі відкритих даних Mandiant M-Trends 2025, GuidePoint Security, Coveware, IBM X-Force, публічних заяв компаній-жертв та матеріалів CERT-UA.