Київський міжнародний форум з кіберстійкості 2026 задає напрямки розвітку

27 февраль, 2026 - 12:19Тимур Ягофаров

Ця подія стала не лише першою великою профільною конференцією цього року, а й претендує на звання найбільшої. Вона проходила протягом двох днів 19-20 лютого 2026 року в Києві.

Kyiv International Cyber Resilience Forum (KICRF 2026) зібрав понад 2000 учасників з 37 країн світу у межах програми з 50 виступів та панельних дискусій. Оскільки в рамках репортажу майже неможливо охопити весь спектр порушених тем, зупинимося на найважливіших та найцікавіших.

Державна стратегія цифрової стійкості

Відкрив програму форуму блок ключових доповідей, в якому насамперед варто відзначити виступ Олександра Потія, голови Державної служби спеціального зв'язку та захисту інформації України.

Стійкість держави в кіберпросторі базується на трьох компонентах: міжнародна співпраця, нарощування спроможностей (люди та технології) та координація. Розглядаючи міжнародний аспект, Олександр Потій зазначив, що Україна стала повноправним членом CCDCOE НАТО, уклала понад 20 меморандумів про співпрацю та активно бере участь у форумах кіберкомандувачів ЄС. Сьогодні Україна не лише отримує допомогу, а й ділиться унікальним досвідом відбиття атак у реальному часі.

Серед інституційних змін слід відзначити відмову від радянських підходів на користь стандартів NIST (Cybersecurity Framework). Було також впроваджено інститут CISO (офіцерів з кібербезпеки) у кожному органі влади. Важливим аспектом є створення Регіональних кіберцентрів у кожній області з командами реагування, які допомагатимуть місцевій владі та об'єктам критичної інфраструктури. Олександр Потій акцентував й на розвитку платформи Cyber Campus для навчання лідерів кіберзахисту.

Держспецзв’язку наголошує на важливості публічно-приватного партнерства. Держава має створювати правила, а приватний сектор - розробляти гнучкі методики та надавати послуги з аудиту та сертифікації, оскільки самотужки державні органи не зможуть забезпечити захист усього кіберпростору.

Уроки війни та проактивний захист

У своєму виступі Володимир Карастельов, виконувач обов'язків начальника Департаменту кібербезпеки СБУ, зробив наголос на тому, що для України кіберпростір - це не технічна сфера, а безпековий вимір, де точиться системне міждержавне протиборство. Противник використовує кібератаки на лікарні, водоканали та енергетику як частину політики терору цивільного населення.

Перший і головний висновок: ворог не атакує спонтанно. Рішення про кіберудар по енергомережі чи державному реєстру приймається за місяці, а то й роки до першого «байта» атаки.

«Ми зрозуміли: суто технічних засобів замало. Тільки поєднання потужного софту з класичною контррозвідувальною роботою дозволяє нам бачити загрозу ще на етапі її планування в кабінетах ворога», - зазначив Володимир Карастельов.

Він додав, що це не війна за «разовий ефект». Росія змінила тактику: тепер мета - не покласти систему на годину, а поступово підточувати надійність критичної інфраструктури. Це гра на виснаження державних інститутів, де кожен дрібний збій має кумулятивний ефект. Стійкість сьогодні - це здатність працювати під постійним тиском, а не просто відбивати атаки.

Якщо раніше спецслужби були закритими кастами, то сьогодні головне гасло СБУ: «Cooperation, cooperation, and cooperation». При цьому держава дає повноваження, бізнес (від ІТ-гігантів до провайдерів) дає технологічну гнучкість, а міжнародні партнери забезпечують обмін даними в режимі реального часу. Стійкість у повній ізоляції сьогодні - це міф. Перемагає лише екосистема.

Ця війна давно переросла локальний конфлікт. Атакуючи українські сервери, ворог цілить у світовий правопорядок. Саме тому українська стійкість стала не просто питанням виживання Києва, а фундаментом колективної безпеки всього цивілізованого світу. «Наші фахівці сьогодні - це «імунна система» демократії», - підкреслив Володимир Карастельов.

СБУ вже розбудувала мережу регіональних центрів кібербезпеки в кожній області, що дозволяє командам реагування бути фізично ближче до об'єктів захисту. Основний акцент робиться на превентивності та випередженні дій ворога.

Приватність за архітектурою та майбутнє AI

Повною несподіванкою для учасників Форуму стала поява на основній сцені Моксі Марлінспайка (Moxie Marlinspike), засновника Signal. В своєму виступі він наголосив на різниці між «приватністю за політикою» та «приватністю за архітектурою». У першому випадку користувач змушений довіряти обіцянкам компанії, тоді як у другому - сама побудова системи та наскрізне шифрування роблять доступ до даних технічно неможливим для третіх сторін.

Марлінспайк стверджує, що Telegram не є зашифрованим додатком у звичному розумінні. Усі повідомлення зберігаються на серверах компанії у відкритому вигляді. Це підтверджується тим, що при встановленні на новий телефон історія миттєво синхронізується без використання секретних ключів користувача. Наявність російських розробників у команді створює додаткові ризики, оскільки вони залишаються вразливими до тиску з боку спецслужб РФ.

Коментуючи тему штучного інтелекту, він зазначив, що сучасний AI (OpenAI та інші) базується на централізації даних, що є загрозою, оскільки користувачі діляться з AI найбільш чутливою інформацією. Виходом може стати проєкт Confide - шифрований AI-чат (аналог Signal для AI), що поєднує потужні хмарні моделі з приватним доступом.

А на завершення він дав поради розробникам. На його думку, безпека виграє від спрощення. Складні системи частіше мають вразливості. Найкращий метод захисту - це перерахування потенційних атак та постійна симуляція їх методів на власному продукті.

Забезпечення стабільності та спостережливості комунальних послуг

Програма Форуму передбачала паралельну роботу кількох потоків. У рамках сесії «Розвідка загроз: аналіз ландшафту та еволюція» слід відзначити виступ Олександра Волощука, заступника директора з кібербезпеки, Спеціалізоване комунальне підприємство «Київтелесервіс».

Цифрова екосистема столиці на сьогодні є одним із наймасштабніших прикладів впровадження муніципальних сервісів в Україні. Вона охоплює понад 3 млн користувачів та базується на додатку «Київ Цифровий», який має близько 4 млн завантажень. Інфраструктура міста включає понад 40 реєстрів, які щодня генерують понад 200 ГБ журналів подій, що потребують постійного аналізу.

Концепція «Стійкості по-київськи» базується на трьох фундаментальних стовпах. Перш за все, це команда з понад 300 фахівців, розподілених між трьома комунальними підприємствами, які забезпечують безперервну роботу систем. У центрі їх діяльности -
побудова кроснаціональної взаємодії та створення спеціалізованого Центру моніторингу та кібербезпеки. А що стосується технологій, їдеться про використання широкого стека інструментів - від EDR та PAM до новітніх систем Breach Attack Simulation (BAS) та SOAR, впровадження яких заплановано на найближчий період.

Центр моніторингу та кібербезпеки функціонує як сервісний підрозділ, що надає послуги внутрішнім структурам міста. Він складається з двох ключових ланок: NOС (Network Operation Center), що відповідає за спостережуваність та доступність мереж, і SOC (Security Operation Center), який фокусується безпосередньо на кіберстійкості. Завдяки команді з 22 аналітиків вдається забезпечувати стабільність сервісів навіть за умов постійних атак.

Для ефективного управління використовується понад 27 відкритих та внутрішніх дешбордів. На рівні керівництва міста (C-level) доступна ситуативна обізнаність в реальному часі: стан дата-центрів, навантаження каналів зв'язку, працездатність серверів та систем відеоспостереження. Показник працездатності систем (uptime) у Києві підтримується на рівні 97%, що є надзвичайно високим результатом для воєнного стану. Також окремо моніториться радіомережа Tetra, що включає понад 2000 пристроїв від рівня дитячих садків до критичних об'єктів.

Автоматизація комплаєнсу та інвентаризація активів

Доповідь Владислава Дубова, керівника відділу архітектури рішень, «ІТ-спеціаліст»,
«Автоматизація моніторингу відповідності міжнародним та національним стандартам інформаційної безпеки» викликала великий інтерес аудиторії.

Проходження аудитів (наприклад, за постановою НБУ №95) часто стає критичним викликом для організацій. Основною проблемою є «зламані ланцюжки доказів»: неможливість швидко підтвердити відповідність технічного контролю конкретній вимозі стандарту.

Компанія «ІТ-спеціаліст» пропонує систему, що базується на автоматичній інвентаризації. За допомогою конекторів до Active Directory, DNS, антивірусних систем та систем керування вразливостями (Vulnerability Management), створюється єдина база активів. Це дозволяє корелювати дані з різних джерел в один актив (наприклад, конкретний ноутбук користувача).

Забезпечуються два типи контролів у системі. Технічні з автоматичною перевіркою параметрів (наприклад, чи встановлено антивірус на 100% серверів або чи діє парольна політика в AD) та документальні, що охоплюють 80% вимог. При цьому робиться моніторинг наявності та актуальності звітів про пентести, затверджених політик та іншої нормативної документації з відстеженням термінів їх дії (expiration date).

В результаті, виконується перехід від періодичних перевірок до моніторингу відповідності в режимі 24/7. А використання AI-асистентів допомагає отримувати рекомендації щодо виправлення невідповідностей у реальному часі. Це мінімізує ризики непроходження аудиту та дає чітке бачення стану інфраструктури керівництву.

Соціальні мережі як новий вектор кібератак

Про нові кіберзагрози розповів Роман Осадчук, директор з розвідки загроз, LetsData. Соціальні мережі перестали бути лише платформою для спілкування, перетворившись на повноцінну частину інфраструктури кіберзлочинців. Існує чіткий зв'язок між тими, хто розповсюджує дезінформацію, і тими, хто здійснює технічні атаки.

Серед ключових трендів та загроз була відзначена спільна інфраструктура. Одні й ті самі акаунти використовуються для реклами онлайн-казино, скаму та проведення інформаційних операцій (наприклад, російська операція «Doppelgänger»). Крім того, спостерігається AI-мімікрія. Зловмисники створювали фейкові рекламні сторінки, що імітували модель Sora від OpenAI. Користувачам пропонували завантажити ПЗ, яке насправді було трояном Grandoreiro.

Також відзначається використання AI для масової реєстрації акаунтів (мільйони запитів на годину). У TikTok та X (Twitter) виявлено мережі акаунтів з ідентичними біографіями («Шукаю щастя в Google»), які поширювали фейки про яхти міністрів для дестабілізації суспільства.

Реклама в Чехії та Британії використовувала згенеровані фото політиків та ведучих, нібито заарештованих за «розголошення правди» про заробіток на крипті. Сайти-підробки під BBC та Unian використовували складну обфускацію (перевірку по IP та VPN), щоб показувати скам-контент лише цільовій аудиторії.

Дезінформація часто є випереджальним сигналом. Наприклад, повідомлення про «повне зникнення енергетики» в соцмережах часто з'являються безпосередньо перед або під час реальних ракетних обстрілів енергосистеми. Рання детекція аномалій у рекламі та наративах дозволяє передбачити майбутні кінетичні та кібератаки.

Аналіз гібридних загроз та прогнозування на базі AI

Компанія Osavul, що виникла у 2022 році як відповідь на російську когнітивну агресію, фокусується на протидії операціям FIMI (іноземні інформаційні маніпулювання та втручання). FIMI визначається як скоординована модель маніпулятивної діяльності, що використовує іноземні проксі-ресурси для впливу на політичні процеси та цінності інших країн. Про це розповів Станіслав Лур'є, голова українського офісу Osavul.

Технологічна платформа Osavul включає модулі Nebula (збір даних з понад 100 країн та елітних медіа), Echo (аналітика та візуалізація) та новий модуль Janus. Модуль Janus призначений для переходу від простого виявлення до прогнозування гібридних атак. Він працює за трьома векторами:
• Намір (Intent): Відстеження сигналів у хакерських спільнотах та геополітичних наративах.
• Можливість (Opportunity): Аналіз вразливостей активів та ланцюжків постачання.
• Спроможність (Capability): Оцінка реальних ресурсів агресора для виконання атаки.

Станіслав Лур'є познайомив з прикладом атаки на військову базу ЄС в Іспанії. У 2025 році за допомогою платформи було відстежено операцію, що тривала шість тижнів. Вона почалася з публікації даних про навчання 8000 українських військових, що Росія використала для легітимізації Іспанії як «сторони конфлікту». Операція поєднувала юридичні маніпуляції, підтримку з боку ФСБ та координацію з хакерськими угрупованнями для потенційних атак на навчальні центри.

Таким чином, гібридні загрози є мультидоменними - вони поєднують інформаційний, кібернетичний та кінетичний виміри. Використання AI дозволяє аналізувати мільйони точок даних та виявляти аномалії на ранніх стадіях, що критично для проактивного захисту.