ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АВТОМАТИЗОВАНИХ СИСТЕМ УПРАВЛІННЯ НА ОБ’ЄКТАХ КРИТИЧНОЇ ІНФРАСТРУКТУРИ
DOI:
https://doi.org/10.28925/2663-4023.2026.32.1047Ключові слова:
інформаційна безпека, автоматизовані системи управління, критична інфраструктура, кіберзагрози, оцінка ризиків, сегментація мереж, мережеві протоколи безпекиАнотація
У статті досліджується проблема забезпечення інформаційної безпеки автоматизованих систем управління на об'єктах критичної інфраструктури України в умовах зростання кіберзагроз на 87% у світі та 48% в Україні протягом 2024 року. У першому розділі проаналізовано теоретичні та нормативно-правові основи захисту критичної інфраструктури, класифікацію об'єктів та сучасні тенденції кіберзагроз. Досліджено вітчизняне й міжнародне законодавство у сфері кібербезпеки. У другому розділі висвітлено порядок створення комплексних систем захисту інформації відповідно до стандартів ISO. Проаналізовано міжнародний досвід США та країн ЄС щодо забезпечення безпеки критичних систем. Розроблено алгоритм визначення актуальності загроз та методику підвищення рівня інформаційної безпеки на основі п'яти функцій: ідентифікація, захист, виявлення, реагування та відновлення. У третьому розділі проведено аналіз SCADA-системи енергетичного підприємства ТОВ "ЕнергоСистема", що управляє трансформаторними підстанціями потужністю 180 МВА. Виявлено критичні вразливості: відсутність сегментації мереж, незашифровані протоколи Modbus TCP/IP та IEC 60870-5-104, слабка автентифікація. Оцінка ризиків за методологією NIST SP 800-82 підтвердила один критичний та чотири високих ризики. Розроблено дев'ять напрямків рекомендацій: сегментація мереж, криптографічний захист каналів зв'язку, двофакторна автентифікація, системи виявлення вторгнень та SIEM-моніторинг, управління оновленнями, автоматизація резервного копіювання, навчання персоналу, розробка політики безпеки, посилення фізичного захисту. Обґрунтовано економічну доцільність інвестицій 4-6 мільйонів гривень, оскільки одна доба простою призводить до втрат понад 50 мільйонів гривень. Результати мають практичне застосування для підприємств енергетичної, транспортної та оборонної галузей.
Завантаження
Посилання
Fortinet. (2025). Global threat landscape report 2025. https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-landscape-report-2025.pdf
Cybersecurity and Infrastructure Security Agency. (n.d.). Cyber-attack against Ukrainian critical infrastructure. https://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01
SecurityWeek. (n.d.). Industroyer ICS malware linked to Ukraine power grid attack. https://www.securityweek.com/industroyer-ics-malware-linked-ukraine-power-grid-attack/
Kozachok, V. A., Kyrychok, R. V., Skladannyi, P. M., Buriachok, V. L., & Hulak, H. M. (2016). Problems of ensuring security control of corporate networks and ways to solve them. Scientific Notes of the Ukrainian Research Institute of Communications, 3(43), 48–61.
Mashtaliar, Ya. R., Kozachok, V. A., Brzhevska, Z. M., & Bohdanov, O. M. (2023). Research on the development and innovations of cybersecurity at critical infrastructure facilities. Cybersecurity: Education, Science, Technique, 2(22), 156–167.
Kozachok, V. A., & Drapatyi, M. V. (2024). Analysis of security incident investigation technologies at critical infrastructure facilities. Cybersecurity: Education, Science, Technique, 2(26), 374–391.
International Electrotechnical Commission. (n.d.). IEC 62443: Security for industrial automation and control systems. https://tk185.appau.org.ua/downloads/IEC_62443_2_1_ukr_draft.pdf
International Organization for Standardization. (n.d.). ISO/IEC 27001: Information security management systems—Requirements. https://www.iso.org/standard/27001
National Institute of Standards and Technology. (2015). Guide to industrial control systems (ICS) security (NIST SP 800-82 Rev. 2). https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-82r2.pdf
Verkhovna Rada of Ukraine. (2006). Law of Ukraine “On critical infrastructure”. https://zakon.rada.gov.ua/laws/show/1882-20#Text
Verkhovna Rada of Ukraine. (2017). Doctrine of information security of Ukraine. https://zakon.rada.gov.ua/laws/show/47/2017#Text
Positive Technologies. (2019). ICS vulnerabilities research. https://global.ptsecurity.com/en/research/analytics/ics-vulnerabilities-2019
ResearchGate. (n.d.). Conceptual model of information protection of critical information infrastructure objects of Ukraine. https://www.researchgate.net/publication/357456211_Conceptual_model_of_information_protection_of_critical_information_infrastructure_objects_of_Ukraine
U.S. Department of Homeland Security. (n.d.). National strategy for the physical protection of critical infrastructure and key assets. https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf
European Commission. (2004). Critical infrastructure protection in the fight against terrorism. https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2004:0702:FIN:EN:PDF
Verkhovna Rada of Ukraine. (n.d.). Automated control and monitoring systems (definition). https://zakon.rada.gov.ua/laws/term/319/sp:max15
Verkhovna Rada of Ukraine. (n.d.). Information security management system (definition). https://zakon.rada.gov.ua/laws/term/66349
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Вадим Остапчук, Вікторія Осадча, Валерій Козачок, Віталій Стрельніков, Дмитро Бодненко
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
