У січні 2025 року Держспецзв’язку, як ми вже писали раніше, видала наказ № 54 від 30.01.2025. Цим наказом затверджено базові заходи з кіберзахисту та методичні рекомендації щодо їх здійснення, які базуються на Cybersecurity Framework (CSF) 2.0 від американського NIST. Мета наказу — зробити державні та приватні структури більш захищеними від кіберзагроз, наблизити українські стандарти до міжнародних і підлаштувати кіберзахист під нові технології. Але для районних адміністрацій, сільрад і невеликих департаментів впровадження CSF 2.0 ускладнене через низку проблем, які можуть знизити його ефективність у таких органах.
Проблеми реалізації CSF 2.0 на нижчих рівнях державної ланки
Однією з ключових перешкод є відсутність кваліфікованого персоналу. У багатьох органах середньої та нижчої ланки немає не лише спеціалістів із кібербезпеки, а й базових IT-фахівців. Завдання, пов’язані з кіберзахистом, часто перекладаються на юристів, кадровиків чи бухгалтерів, які не мають ні знань, ні досвіду в цій сфері. CSF 2.0 вимагає ідентифікації активів, оцінки ризиків і впровадження захисних заходів — процесів, які неможливо виконати без технічної експертизи. Як наслідок, замість реального аналізу та адаптації до загроз ці органи продукують формальні звіти, що не відповідають меті стандарту.
Друга проблема — формальний підхід до виконання розпорядчих документів. Делегування складних завдань непрофільним співробітникам призводить до створення "відписок" на кшталт "ризиків не виявлено" чи "немає технічної можливості". Такий підхід суперечить основній ідеї CSF 2.0 — адаптивності до нових загроз і реальному підвищенню безпеки. Без належного контролю чи санкцій з боку вищих структур формалізм залишиться домінуючою практикою.
Читайте також: Сонце держкіберу стрімко сходить за спільним наказом СБУ та Держспецзв’язку
Третя перешкода — відсутність технічної бази та фінансування. У багатьох органах нижчої ланки застаріле обладнання, відсутність сучасного програмного забезпечення чи навіть доступу до стабільного інтернету унеможливлюють впровадження інструментів, передбачених CSF 2.0, таких як моніторинг кіберзагроз чи інтеграція з міжнародними стандартами (ISO/IEC 27001, NIST RMF). Фінансування на оновлення інфраструктури чи навчання персоналу в бюджетах таких структур зазвичай не передбачено, а централізована підтримка з держбюджету рідко доходить до цього рівня.
Четвертий фактор — низька обізнаність і мотивація керівництва. У невеликих органах, чия діяльність не пов’язана з критичною інфраструктурою, кіберзахист часто сприймається як другорядна проблема. Без реального тиску згори чи усвідомлення ризиків (наприклад, вивчення уроків атак на державні реєстри та Укрзалізницю) впровадження CSF 2.0 залишиться формальністю.
Можливі шляхи вирішення
Незважаючи на ці виклики, є кілька підходів, які могли б сприяти реалізації CSF 2.0 у таких органах, хоча їхня ефективність залежить від зовнішньої підтримки.
Централізована підтримка від Держспецзв’язку
Держспецзв’язку могло б розробити спрощені шаблони для створення профілів кіберзахисту та базові інструкції, адаптовані для організацій без IT-спеціалістів. Наприклад, у методичних рекомендаціях могли б бути покрокові чек-листи, які навіть непрофільний співробітник зможе заповнити (хоча це все одно не замінить реального впровадження заходів).
Регіональні центри кібербезпеки
Створення регіональних або міжвідомчих команд із кваліфікованих спеціалістів, які б надавали консультації та технічну підтримку органам нижчої ланки. Наприклад, одна команда могла б обслуговувати кілька районних адміністрацій чи сільрад, допомагаючи створювати профілі кіберзахисту та впроваджувати базові заходи.
Навчання та перекваліфікація
Організація короткострокових курсів для наявного персоналу (тих же юристів чи бухгалтерів) із базового розуміння кіберзахисту. CSF 2.0 акцентує на адаптивності, тож навіть базові знання про паролі, оновлення ПЗ чи фішинг могли б стати першим кроком.
Аутсорсинг кібербезпеки
Залучення приватних компаній для виконання вимог CSF 2.0. Наприклад, бізнес, який уже працює з NIST чи ISO/IEC 27001, міг би надавати послуги оцінки та впровадження заходів для держорганів за контрактом. Але це потребує фінансування, якого часто немає.
Мінімальний базовий рівень
Держспецзв’язку могло б визначити "мінімальний поріг" відповідності CSF 2.0 для таких органів, наприклад, встановлення антивірусу, регулярне оновлення систем і базовий звіт про активи. Це не повноцінне впровадження, але хоча б формально відповідатиме наказу.
Чого чекати далі?
На практиці найімовірнішим сценарієм для таких органів є продовження формального виконання. Без жорстких санкцій чи реального тиску згори звіти залишаться поверхневими, а кіберзахист — слабким. Це зробить такі структури вразливими до атак, що в умовах гібридної війни може стати загрозою для національної безпеки. Лише поступова централізація IT-функцій чи фінансова підтримка з вищих рівнів могли б змінити ситуацію, але це потребує часу й реформ, які наразі не просуваються швидко.
Таким чином, впровадження CSF 2.0 у державних органах середньої та нижчої ланки в Україні стикається з системними бар’єрами: нестачею кадрів, ресурсів і мотивації. Без централізованої підтримки, спрощених інструментів і реального контролю наказ № 54 залишиться декларативним для цих структур. У довгостроковій перспективі CSF 2.0 може стати поштовхом до модернізації кіберінфраструктури, але наразі його реалізація на нижчих рівнях виглядає малоймовірною без докорінних змін у підходах до управління та фінансування.
Довідка:
NIST Cybersecurity Framework 2.0 — це оновлена версія рамки кібербезпеки, розроблена Національним інститутом стандартів і технологій США (NIST) у 2024 році. Вона базується на попередній версії (CSF 1.1, 2018) і призначена для організацій різного типу — від державних структур до приватного бізнесу. CSF 2.0 складається з шести ключових функцій: управління (Govern), ідентифікація (Identify), захист (Protect), виявлення (Detect), реагування (Respond) і відновлення (Recover). Оновлення акцентує на адаптивності до нових загроз, таких як атаки з використанням ШІ чи хмарних технологій, та інтеграції з іншими стандартами (ISO/IEC 27001, COBIT).
Переваги впровадження CSF 2.0:
- Гнучкість: Підходить для організацій будь-якого розміру та рівня підготовки.
- Адаптивність: Допомагає не лише запобігати атакам, а й швидко реагувати на нові виклики.
- Міжнародна сумісність: Гармонізує локальні практики з глобальними стандартами, підвищуючи довіру партнерів.
- Прозорість: Надає інструменти для оцінки й планування кіберзахисту, що полегшує контроль і звітність.
Для України CSF 2.0 є важливим кроком до зміцнення кіберстійкості та інтеграції з міжнародними системами безпеки.