Головна Спільнота

Вас зламали? Це може бути початком двох кримінальних історій

Засновник охоронного холдингу SHERIFF

12 червня 2026 12:05 8 хвилин читання

Уявіть: понеділок, сьома ранку. Ваш системний адміністратор телефонує і каже, що сервери зашифровані, дані витікли, гроші зникли. Ви — директор, фінансовий директор або керівник з IT великого підприємства, банку, енергетичної компанії. Перша думка: «Нас атакували хакери. Ми жертви».

Можливо. Але є нюанс, про який мало хто думає в ту саму хвилину: слідство шукатиме не одного підозрюваного. Воно шукатиме двох.

Вас зламали? Це може бути початком двох кримінальних історій зображення 1

Закон 4336 та персональна відповідальність CISO і керівництваЗакон 4336 та персональна відповідальність CISO і керівництва

Як це працює: логіка двох проваджень

Читайте також: Як захистити фінансові дані компанії: інтерв'ю з експертом з кібербезпеки

Коли трапляється кіберінцидент, кримінальна машина запускає два паралельних двигуни одночасно.

Перший — очевидний. Хтось несанкціоновано проник у систему, вкрав гроші, зашифрував дані, вивів інформацію. Це злочин, передбачений Кримінальним кодексом. Правоохоронці відпрацьовують атрибуцію: IP-адреси, сліди у мережі, транзакції криптовалюти, взаємодія з іноземними партнерами. Хакера шукатимуть.

Другий двигун запускається тихіше, але не менш невблаганно. Слідчий або інспектор Держспецзв'язку задає собі зовсім інше питання: «А чи виконала ця організація те, що зобов'язана була виконати за законом до того, як її зламали?»

І ось тут починається ваша особиста кримінальна або адміністративна проблема — навіть якщо ви не знали жодного хакера і ніколи не бачили шкідливого коду.

Закон 4336: коли держава написала список ваших обов'язків

17 квітня 2025 року в Україні набрав чинності Закон № 4336-IX. Медіа про нього писали мало. Корпоративні юристи здебільшого відклали «на потім». А даремно.

Цей закон зробив із кібербезпеки не технічну функцію IT-відділу, а персональний службовий обов'язок конкретних посадових осіб. Він зобов'язав держоргани, операторів критичної інфраструктури та постачальників цифрових послуг для держави:

— призначити керівника з кіберзахисту (постанова КМУ № 1516 від листопада 2025 року навіть прямо заборонила суміщати цю роль із посадою відповідального за цифрову трансформацію, щоб не було «номінального CISO для галочки»);

— щороку проводити самооцінювання стану кіберзахисту, а раз на два роки зовнішній аудит;

— зберігати результати цих оцінювань три роки і надсилати звіти до Держспецзв'язку протягом 30 днів;

— забезпечити моніторинг 24/7 і реагування на інциденти;

— у встановлені строки повідомляти CERT-UA про кіберінциденти і за несвоєчасне повідомлення закон прямо передбачає адміністративну відповідальність.

Підписуйтеся на наші соцмережі

Це не рекомендації. Це обов'язки. З іменами, строками і підписами.

Що відбувається після атаки: доказовий пакет проти вас

Ось де стає по-справжньому цікаво. Коли Держспецзв'язку або слідчий приходить після інциденту, він не питає про технічні деталі атаки. Він питає про документи, які мали існувати до атаки.

Наказ про призначення керівника з кіберзахисту. Є?

Плани кіберзахисту та реагування на інциденти. Є?

Результати останнього самооцінювання. Є?

Висновки зовнішнього аудиту. Є?

Докази того, що ви виконали попередні приписи Держспецзв'язку. Є?

Якщо ні — у слідства вже є майже готовий доказовий пакет проти вас. Не проти хакера. Проти вас.

Порядок державного контролю у сфері кіберзахисту (постанова КМУ № 1668) дає інспекторам право складати протоколи, видавати приписи, опитувати посадових осіб і, найважливіше, «ініціювати службові розслідування та звертатися до правоохоронних органів, якщо у виявлених порушеннях є ознаки кримінального правопорушення».

Це готовий конвеєр: регуляторне порушення → службове розслідування → кримінальна справа.

Правові важелі: що вам загрожує

В українському праві вже зараз є три рівні відповідальності.

Адміністративний. Стаття 188-31 КУпАП — невиконання законних вимог Держспецзв'язку. Стаття 212-2 - порушення вимог захисту інформації. Це найменш болісний сценарій, але він лише перший крок.

Дисциплінарний. Службове розслідування, звільнення, втрата права обіймати посади. Для посадовця державного органу це часто важче, ніж штраф.

Кримінальний. Стаття 367 КК України — службова недбалість. Для її застосування потрібно довести: службовий обов'язок існував; посадова особа його не виконала через несумлінне ставлення; це спричинило істотну шкоду; між бездіяльністю і шкодою є причинний зв'язок. Сам злам не автоматична підстава. Але злам разом із відсутністю документів, невиконаними приписами і нефункціонуючим CISO — це вже дуже серйозна конструкція.

Приклади зі світової практики, коли директори вже сиділи на лаві підсудних

Хто думає, що «це Захід, у нас так не буває», варто подивитися на конкретні кейси і подумати, чи не рухається Україна тим самим шляхом.

Вас зламали? Це може бути початком двох кримінальних історій зображення 2

Кримінальні справи на посадових осіб по кібербезпеці

Справа Джозефа Салліван (США, 2022–2023). Колишній директор з інформаційної безпеки Uber приховав від регулятора злам 2016 року, виплативши хакерам $100 000 під виглядом «винагороди за знайдену вразливість». Вирок: 3 роки пробації та $50 000 штрафу. Показово: його судили не за те, що Uber зламали. Його судили за те, що він це приховав.

Справа SolarWinds (США, 2023–2024). SEC подала позов проти компанії та її CISO Тімоті Брауна особисто за оманливі публічні заяви про стан кібербезпеки до і після атаки. Частину позовних вимог суд у 2024 році залишив у силі. CISO ж не абстрактна посада. Це конкретна фізична особа з конкретним ризиком особистої відповідальності.

Британія, Interserve. Компанія отримала штраф £4,4 млн за неналежний захист персональних даних співробітників. І це лише один із кейсів у все довшому списку.

Загальний знаменник усіх цих справ у різних юрисдикціях, від Естонії до Ізраїлю, від Німеччини до Британії, один: правоохоронці та регулятори карають не просто за слабку безпеку як таку, а за конкретне порушення конкретного обов'язку. Там, де закон назвав відповідального по імені і поклав на нього обов'язок — там і з'являється персональна відповідальність.

Закон 4336 зробив саме це.

Головна помилка, яку роблять зараз

Більшість організацій в Україні, які підпадають під дію Закону 4336, досі сприймають його як «IT-документ». Щось для технарів. Щось, про що можна поговорити на технічній нараді і забути до наступного кварталу.

Це фатальна помилка.

Бо регулятор перевіряє не «чи є у вас гарний антивірус». Він перевіряє управління ризиком на рівні керівництва. І якщо ваш CISO призначений «для галочки», якщо самооцінювання не проводилось, якщо приписи лежать у шухляді, якщо у вас немає плану реагування, тоді у разі інциденту ви стаєте не просто потерпілим.

Ви стаєте другим підозрюваним.

Юридично точна формула, яку варто запам'ятати: «Якщо організацію зламали — це не звільняє від переслідування хакера. Але й не виключає окремої справи проти посадовця. Питання в іншому: чи був у нього визначений законом обов'язок забезпечити кіберзахист, чи порушив він цей обов'язок і чи допомогло це порушення перетворити кіберінцидент на реальну втрату грошей, даних або працездатності систем.»

І я не лякаю. Бо це логіка, яка вже закладена в українське законодавство і підтверджена роками міжнародної практики.

Хакер отримає свою справу. Питання лише в тому, чи буде вона єдиною.

SHERIFF CYBER допомагає організаціям пройти шлях від «нас поки не перевіряли» до реальної відповідності вимогам Закону № 4336-IX — від аудиту і призначення CISO до SOC 24/7 та юридичної документації, яка захистить керівництво у разі інциденту.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.