ESKA

05/05/2026

У 2025 році Кабмін ухвалив Постанова КМУ №1281 про кібергігієну, яка зобов’язує організації системно навчати співробітників правилам безпечної поведінки в кіберпросторі.

Що це означає на практиці:
🔸 Кібергігієна це системне та регулярне навчання співробітників, яке формує реальні навички безпечної роботи в цифровому середовищі.
🔸 Фокус саме на практиці - на навичках співробітників щодо розпізнання та протидії фішингу.
Мета - сформувати реальну поведінку, яка допомагає запобігати інцидентам, виявляти атаки та правильно реагувати.
🔸 Це вимога для широкого кола організацій.
Йдеться не лише про держоргани, а й про підприємства, установи та організації, які працюють з державними процесами або даними.
🔸 Людський фактор - ключова точка ризику.
Навіть найкращі технічні засоби не допоможуть, якщо співробітники не розуміють базових правил кібербезпеки.

Детальніше про кібергігєну персоналу в нашій новій статті

Постанова КМУ №1281 зобов'язала держоргани та держпідприємства проводити навчання з кібергігієни. Читайте: хто зобов'язаний, коли і як проводити тр...

01/05/2026

Критична інфраструктура України залишається однією з головних цілей для кіберзловмисників.
За офіційними даними, у 2025 році урядова команда реагування опрацювала 5927 кіберінцидентів. Це на 37,4% більше, ніж у 2024 році, коли було зафіксовано 4315 інцидентів. Найчастіше під удар потрапляли місцеві органи влади, урядові організації, сектор безпеки й оборони та енергетика.

Найважливіший висновок не лише в тому, що атак стало більше. Змінилася сама тактика. Якщо раніше противник часто діяв за сценарієм швидкого зламу, то тепер усе частіше йдеться про приховане проникнення, довготривале утримання доступу, використання слабких місць у суміжних системах і підготовку до складніших операцій, які можуть тривати місяцями.

Ми виділили п’ять головних загроз для критичної інфраструктури України:
🔸 Цільові атаки з боку державних угруповань.
🔸 Фішинг і маніпуляції через довіру.
🔸 Шкідливе програмне забезпечення та програми-вимагачі.
🔸 Атаки через постачальників і суміжні сервіси.
🔸 Удари по доступності сервісів і безперервності роботи.

Окремо варто пам’ятати: людський фактор і далі залишається одним із ключових ризиків. За міжнародними даними, він був складовою 68% витоків. Саме тому навчання з кібергігієни вже не можна вважати формальністю, тим більше що в Україні діє затверджений порядок проведення інструктажів і систематичних тренінгів щодо кібергігієни.

Що це означає для керівників ОКІІ і державного сектору?
Не варто покладатися лише на окремі технічні рішення. Реальний захист починається там, де є системний підхід: оцінка ризиків, контроль доступу, сегментація мереж, моніторинг подій, готовність до відновлення, перевірка постачальників і регулярне навчання персоналу.

Саме таку логіку сьогодні вимагає сучасний стан кіберзагроз. І саме так має виглядати зрілий кіберзахист критичної інфраструктури.
У новій статті https://eska.global/blog/5-golovnih-kiberzagroz-dlya-kritichnoyi-infrastrukturi-ukrayini ми детально розібрали, які саме загрози сьогодні є найнебезпечнішими для України та які практичні кроки допомагають зменшити ризики.

#кібербезпека #кіберзахист #критичнаінфраструктура #державнийсектор #ОКІІ #кіберзагрози #захистданих

Кіберзагрози для критичної інфраструктури України: п’ять головних ризиків для держорганів та ОКІІ, актуальні дані, приклади атак і практичні кроки ...

30/04/2026

ISO/IEC 42001 це міжнародний стандарт для системи менеджменту штучного інтелекту (AIMS).

Його завдання - допомогти компанії керувати AI не хаотично, а через зрозумілу систему: з правилами, ролями, контролем, оцінкою ризиків, прозорістю та постійним вдосконаленням.

Чому це важливо?
Тому що AI створює не лише можливості, а й ризики: упередженість рішень, проблеми із захистом даних, вразливості безпеки, непрозорість і слабкий контроль.

ISO/IEC 42001 особливо актуальний для компаній, які:
🔸 розробляють AI-рішення
🔸 інтегрують AI у продукти
🔸 використовують сторонні AI-інструменти
🔸 працюють із чутливими даними або автоматизованими рішеннями

З чого почати підготовку:
🔸 визначити, де саме у вас є AI
🔸оцінити ризики та вплив
🔸побудувати систему управління AI
🔸провести gap assessment перед аудитом

ISO/IEC 42001 перщ за все, це про довіру, контроль і зрілий підхід до AI governance.

У статті https://eska.global/blog/iso-iec-42001-ai-management-system розібрали тему детальніше.

Дізнайтеся, що таке ISO/IEC 42001, як стандарт допомагає керувати AI-системами, знижувати ризики та готуватися до аудиту відповідності.

23/04/2026

З 30 січня 2026 року набрав чинності Наказ №75 Адміністрації Держспецзв’язку, який встановлює єдиний обов’язковий стандарт кіберзахисту для державних органів, державних підприємств та операторів критичної інфраструктури України.
Наказ визначає Каталог заходів з кіберзахисту, базові обов’язкові заходи та вимоги до плану кіберзахисту. Охоплює 6 функцій: Управління, Ідентифікацію, Захист, Виявлення, Реагування та Відновлення.

Кожна організація під дією наказу зобов’язана:
🔸 оцінити поточний стан кіберзахисту за Каталогом базових заходів
🔸 розробити план кіберзахисту за затвердженою формою Держспецзв’язку
🔸 щорічно його оновлювати
🔸 бути готовою до перевірок регулятора

ESKA забезпечує комплексне виконання вимог наказу Адміністрації Держспецзв’язку від 30.01.2026 №75 щодо впровадження заходів з кіберзахисту, від первинної оцінки стану до розробки плану кіберзахисту, реалізації заходів і подальшого моніторингу.

🔸 Аудит кіберзахисту за Каталогом наказу №75
🔸 Оцінка ризиків (блок ID.RA)
🔸 Розробка плану кіберзахисту за формою Держспецзв’язку
🔸 Тестування захищеності та аналіз вразливостей
🔸 Навчання персоналу
🔸 vCISO - управління виконанням плану та взаємодія з регулятором
🔸 Повний пакет організаційної документації

Офіційна ліцензія Держспецзв’язку. Команда з сертифікаціями CISSP, CISM, ISO 27001. Досвід у держсекторі та з операторами КІ.
📩 Залишіть заявку на консультацію
👉 https://eska.global/service/building-a-cyber-defense-system-in-accordance-with-order-no.-75

15/04/2026

Цільові профілі безпеки: як впровадити правильно?
Запрошуємо на практичний вебінар для держустанов та критичної інфраструктури.
На вебінарі CISO ESKA розгляне практичний алгоритм розробки та впровадження ЦПБ.

На вебінарі розберемо такі питання:
🔸 як правильно формувати ЦПБ з урахуванням реальних ризиків
🔸 як перейти від класичної моделі КСЗІ до сучасного ризик-орієнтованого підходу
🔸 як уникнути типових помилок при розробці профілів безпеки
Ви отримаєте цілісне розуміння процесу — від вихідних даних і нормативної бази до практичної реалізації.

Вебінар: Цільові профілі безпеки: практичний підхід до розробки та впровадження в держустановах.
📅 23 квітня 2026
🕒 Початок о 15:00
Реєстрація обов’язкова за посиланням https://eska.global/events/webinar-tsilovi-profili-bezpeky

10/04/2026

Шукаємо Cybersecurity Engineer в ESKA 🦸
Хочеш працювати з реальними проєктами кіберзахисту та сучасними технологіями з інформаційної безпеки - приєднуйся до нашої команди. Деталі вакансії 👉 https://eska.global/careers/security-engineer

08/04/2026

Ви здивуєтесь, але паролі на кшталт 123456 досі використовують.
За даними NordPass у 2025 році найуживаніші паролі у світі знову складаються переважно з простих числових послідовностей і базових слів.

Топ-10 найнебезпечніших паролів 2025:
1. 123456
2. admin
3. 12345678
4. 123456789
5. 12345
6. password
7. Aa123456
8. 1234567890
9. Pass@123
10. admin123

Ще важливіше те, що в 2025 році ці паролі не просто “погані теоретично”, а реально зустрічаються у викрадених облікових даних. У звіті Specops за 2025 рік, побудованому на аналізі понад 1 млрд паролів, викрадених malware, топ-5 виглядає так: 123456, admin, 12345678, password, Password. Там же зазначено, що близько 230 млн викрадених паролів формально відповідали типовим вимогам “складності”, тобто наявність великої літери, цифри й символу теж не завжди може вберегти від зламу.

Отже, найнебезпечніші паролі це не лише 123456 і password, а й будь-які передбачувані шаблони: послідовності цифр, букв, локалізовані варіанти слова “password”, а також “ускладнені” форми на кшталт Pass@123, P@ssw0rd, Admin@123.

Для надійнішого захисту краще увімкнути MFA або passkeys, використовувати менеджер паролів, а якщо створювати пароль вручну, то робити його щонайменше на 15 символів.

06/04/2026

Кібератаки б’ють по всіх галузях, але найболючіше їх наслідки відчувають ті, хто працює з великими обсягами чутливих даних і не може дозволити собі зупинку процесів. У 2025 році найбільші фінансові втрати від витоків зафіксовані в галузі охорони здоров’я - в середньому $7.42 млн за інцидент.

Далі йдуть фінансова галузь - $5.56 млн та промисловість - $5.00 млн. Найнижчий середній показник у цьому зрізі має public sector - $2.86 млн за інцидент.

Найболючіше витоки б’ють по сферах, де багато чутливих персональних даних, високі вимоги до безперервності роботи, регуляторний тиск і дорого вартісні наслідки простою. Саме тому медицина та фінансовий сектор стабільно залишаються серед найдорожчих. А нижчий показник у public sector не означає низький ризик - лише те, що середня фінансова оцінка одного інциденту там нижча, ніж у приватних високорегульованих галузях. 

Що саме найбільше цікавить зловмисників?
У 2025 році найчастіше викрадали або компрометували customer PII - 53% усіх інцидентів. Йдеться про персональні дані клієнтів: email, домашні адреси, податкові або ідентифікаційні номери та іншу інформацію, яку можна використати для крадіжки особистості, шахрайства та fraud-операцій із платіжними даними. 

Цікаво, що хоча інтелектуальна власність (IP) викрадалася рідше, саме вона виявилася найдорожчим типом даних у перерахунку на один запис - $178. Тобто для бізнесу загроза полягає не лише у втраті персональних даних клієнтів, а й у компрометації розробок, ноу-хау, внутрішніх моделей, продуктового коду та іншої критично важливої інтелектуальної власності. 

Щодо способу проникнення, у 2025 році фішинг став найпоширенішим початковим вектором атаки - 16%. Також серед найпоширеніших сценаріїв була компрометація постачальників і ланцюга постачання. Більшість витоків спричиняли саме навмисні атаки, а це означає, що кіберзлочинці цілеспрямовано обирають галузі, де можна отримати доступ до цінних даних, фінансових ресурсів або критичних систем.

31/03/2026

Профіль безпеки це узгоджений набір вимог і заходів захисту для конкретної системи. Простими словами, він допомагає визначити, що саме потрібно захищати, від яких загроз і якими саме контролями.

У практиці профільного підходу розрізняють базовий, галузевий і цільовий профілі безпеки. Базовий профіль задає мінімально необхідний рівень захисту, галузевий враховує особливості конкретної сфери, а цільовий профіль безпеки фокусується вже на конкретній системі, її ризиках, функціях і реальних умовах роботи.

Саме цільовий профіль безпеки є ключовим інструментом для побудови захисту відповідно до особливостей системи. У ньому фіксують межі системи, застосовні вимоги, актуальні ризики, перелік заходів захисту, відповідальних осіб, строки виконання та докази реалізації вимог.

Розробка ЦПБ зазвичай починається з:
🔸 визначення конкретної системи, для якої він створюється
🔸 враховуються базовий та галузевий профіль (за наявності)
🔸 враховуються нормативні вимоги, призначення системи та результати оцінки ризиків.
На цій основі формується практичний набір заходів, який має працювати як реальний план управління безпекою.

Оновлювати цільовий профіль безпеки потрібно щонайменше регулярно за результатами перегляду ризиків, а також у разі змін у самій системі або після оновлення базового чи галузевого профілю безпеки.

У статті детально розглянули, що таке профіль безпеки, які бувають профілі, як формується цільовий профіль безпеки, з чого почати його розробку та коли саме його потрібно переглядати 👉

Що таке цільовий профіль безпеки системи, чим він відрізняється від базового та галузевого профілю, як його розробити, оновити і підготувати до авт...

30/03/2026

ISO/IEC 42001 це міжнародний стандарт для системи менеджменту штучного інтелекту (AIMS). Він допомагає організації вибудувати структурований підхід до управління AI: визначити правила, ролі, контроль, оцінку ризиків, прозорість, підзвітність і постійне вдосконалення.

Для чого потрібен ISO 42001?
Сертифікація допомагає компаніям, які розробляють, впроваджують або використовують AI-системи, показати клієнтам, партнерам та аудиторам, що AI у них керується не хаотично, а в межах зрозумілої системи. Стандарт зосереджується на таких питаннях, як управління, відповідальність, прозорість, захист даних, упередженість рішень, вразливості безпеки, спостереження за роботою систем і постійне поліпшення. Це особливо актуально для компаній, які працюють з чутливими даними, автоматизованими рішеннями або готуються до вимог замовників і регуляторів.

Як підготуватися до сертифікації ISO 42001?
З практичної точки зору підготовка зазвичай починається з 4 кроків:
🔸 Визначити, де саме у вас є AI
Які системи, моделі, сервіси або внутрішні процеси реально використовують штучний інтелект.
🔸 Оцінити ризики та вплив
Не лише для компанії, а й для клієнтів, користувачів, даних, безпеки, справедливості рішень і відповідності вимогам.
🔸 Побудувати систему управління AI
Політики, ролі та відповідальність, процедури контролю змін, моніторинг, документування, внутрішні перевірки, коригувальні дії.
🔸 Провести gap assessment перед аудитом
Щоб зрозуміти, чого не вистачає до вимог стандарту, і закрити прогалини до сертифікаційного аудиту.

Наша команда GRC має необхідний досвід та сертифікати щоб якісно підготувати вас до аудиту на відповідність ISO 42001.

Детальніше про послугу підготовки до сертифікації ISO 42001

Послуга впровадження ISO/IEC 42001 (AIMS): аудит використання AI, розробка політик, управління ризиками моделей, підготовка до сертифікації та відп...

27/03/2026

TLPT (Threat-Led Pe*******on Testing) це керована перевірка стійкості критично важливих функцій компанії за сценарієм, побудованим на основі актуальних загроз і дій реального противника. На відміну від класичного тесту на проникнення, TLPT оцінює не лише можливість використання вразливостей, а й здатність організації вчасно виявити атаку, правильно відреагувати на неї та зберегти безперервність роботи.

Таке тестування відбувається поетапно: спочатку визначають критичні функції та межі перевірки, далі аналізують актуальні загрози, після цього моделюють реалістичний сценарій атаки, перевіряють, чи спрацьовують виявлення та реагування. Наприкінці розбирають результати й усувають виявлені недоліки.

За підсумками TLPT формується ширша картина: які засоби захисту спрацювали, де не спрацювали механізми виявлення, як діяла команда захисту, чи була належна координація та що саме потрібно змінити в людях, процесах і технологіях.

Сьогодні про TLPT говорять дедалі більше не лише через розвиток підходів до імітації реальних атак, а й через посилення регуляторних вимог до кіберстійкості, особливо після впровадження DORA та оновлення європейської методики TIBER-EU.

Детальніше про те, що таке TLPT, як він проводиться, чим відрізняється від класичного пентесту та чому ця тема зараз особливо актуальна читайте в нашій нові статті 👉

Що таке TLPT, для чого він потрібен, як проходить threat-led pe*******on testing, де застосовується в DORA та чим відрізняється від класичного pene...