Десятилетний опыт отражения непрерывных российских кибератак превратил Украину в носителя полномасштабной экспертизы по цифровой защите. Об этом пишет Дмитрий Левусь, эксперт аналитического центра «Объединенная Украина», политолог-международник в своей статье для The Gaze. Эта версия публикации является переводом на русский язык.
В декабре 2025 года Польша пережила то, с чем Украина живет с 2014 года. Российская группировка Sandworm, оперативно привязанная к Главному управлению Генерального штаба Вооруженных сил РФ, провела атаку на энергетическую инфраструктуру Польши с использованием нового штамма разрушающего программного обеспечения DynoWiper. ESET, идентифицировавший вредоносный код , прямо атрибутировал операцию к тому же подразделению, которое десятилетиями выводит из строя украинские трансформаторные подстанции, энергосети и цифровые реестры.
В январе 2026 стало ясно, что декларируемая Евросоюзом архитектура коллективной кибербезопасности натолкнулась на стену реальности, в которую Украина вписалась стихийно еще за десять лет до того. Парадокс состоит в том, что ЕС до сих пор строит программы поддержки украинской киберобороны, тогда как именно Украина владеет единственным в Европе полномасштабным операционным опытом длительной цифровой обороны государства во время войны. Этот разрыв в логике партнерства нужно ломать.
Польский инцидент завершил десятилетие украинского предупреждения
Атрибуция Sandworm по польскому делу не является изолированным эпизодом. То же подразделение еще в декабре 2015 года впервые в мире вывело из строя энергоснабжение гражданского населения , использовав вредоносное программное обеспечение BlackEnergy 3 против трех украинских облэнерго и оставив без света около 230 тысяч потребителей в Ивано-Франковской области.
В 2016 году уже в Киеве была атакована трансмиссионная подстанция с помощью Industroyer, специализированного инструмента для непосредственного манипулирования промышленными системами управления. В октябре 2022 года Mandiant зафиксировал уникальную атаку на украинскую подстанцию с использованием техники living off the land против системы MicroSCADA, сопровождавшейся развертыванием новой вариации CADDYWIPER и совпадавшей по времени с масштабированными ракетными ударами.
В декабре 2023 года Sandworm парализовал крупнейшего мобильного оператора Украины Kyivstar , уничтожив около четырех тысяч серверов и отрезав от связи более двадцати миллионов абонентов, а также системы оповещения о воздушной тревоге в Киевской и Сумской областях. Совокупная сумма прямого ущерба от той одной операции превысила 90 миллионов долларов, а доступ злоумышленников к инфраструктуре продолжался по меньшей мере с мая 2023 года , что свидетельствует о глубине проникновения.
С каждым инцидентом Украина превращалась в полевой полигон, где российские кадры отрабатывали новые техники, которые затем шли в эксплуатацию против других государств. Атака на польскую энергосеть в декабре 2025 года является логическим продолжением десятилетней кривой обучения, в которой украинская сторона была вынужденным экспериментальным объектом, а теперь становится единственным носителем соответствующего оборонного опыта.
CERT-UA, функционирующая под эгидой Государственной службы специальной связи и защиты информации, фиксировал в 2022 году более тысячи критических и высокоуровневых киберинцидентов, в 2023 году 367, а в 2024 году только 59, тогда как параллельно росло количество некритических попыток шпионажа. Это не понижение российской активности, а рост эффективности украинской обороны.
В первой половине 2025 года SSSCIP зарегистрировал 3018 инцидентов , одновременно отметив радикальное изменение тактики российских операторов и привлечение новых кадров из-за того, что известные методы перестали быть эффективными. В этой маленькой статистической строке содержится история, которую Европа должна прочесть внимательно.
Российская машина готовит кадры для кибервойны так же тщательно, как офицеров спецопераций.
Параллельно с военной фазой войны Москва увеличивает инфраструктуру подготовки кадров для кибервойны и операций действия. В мае 2026 года международный журналистский консорциум опубликовал результаты расследования на основе более двух тысяч внутренних документов Московского государственного технического университета имени Баумана, обнаруживших существование секретного факультета Department 4.
Это структурное подразделение прямо интегрировано в ГРУ, возглавляется подполковником Кириллом Ступаковым и использует в качестве преподавателя генерал-майора Виктора Нетикшо, ранее командовавшего подразделением 26165, известным в открытых источниках как Fancy Bear. Студенты обязаны писать собственные компьютерные вирусы как испытательные задачи, проходить практические пенетрационные тесты и параллельно усваивать идеологическую рамку о неизбежности войны против Украины. В 2024 году только из Department 4 выпустились 69 человек, пополнивших оперативные подразделения ГРУ. Инсайдеры отмечают, что подобный механизм существует также в МИРЭА.
Более широкая картина включает подразделение ГРУ 29155, которое, по оценке общей рекомендации CISA, ФБР и АНБ США, с 2020 года ведет компьютерные сетевые операции глобального масштаба для шпионажа, саботажа и репутационного ущерба, а в январе 2022 года развернулось против украинских организаций. Активность FSB-аффилированной группы Star Blizzard продолжает направляться на официальных лиц, академических экспертов и неправительственные организации в форме целевого фишинга, тогда как подразделение Turla в 2025 году поддерживает шпионские операции против иностранных посольств в Москве. В декабре 2024 года Управление контроля за иностранными активами Министерства финансов США наложило санкции на Центр геополитической экспертизы и его директора Валерия Коровина, квалифицированного в качестве офицера ГРУ, за использование генеративного ИИ для массового производства дезинформации и формирование сети сайтов-имитаторов легитимных медиа с целью вмешательства. Речь идет не об отдельных хакерах, а о вертикально интегрированной системе производства компетенции от университетской аудитории до оперативного исполнения.
Архитектура партнерства требует переворачивания, потому что нынешняя логика ошибочна
ENISA заключила соглашение о сотрудничестве с NCCC и SSSCIP еще в ноябре 2023 года, формализовав обмен практиками и повышение ситуационной осведомленности. EU CyberNet, флагманская инициатива Евросоюза, в 2025 году поддержала операции Tallinn Mechanism Project Office и привлеклась к сотрудничеству с украинскими институтами. Однако структурно эти механизмы ориентированы на ЕС как наращивающий украинские мощности донора, тогда как обратный вектор передачи знаний из Киева в Брюссель остается маргинальным.
EUISS и EU Cyber Direct в марте 2026 года провели семинар в Брюсселе , где признали, что государства расширения, включая Украину, находятся на передовой кибер- и гибридных угрозах и что их операционный опыт является важным активом коллективной безопасности. Это правильная риторика, однако институциональная логика взаимодействия до сих пор не приспособлена к тому, чтобы украинские эксперты регулярно формировали обучающие программы для европейских CSIRT, поставляли ноу-хау по защите критической инфраструктуры во время кинетических ударов и консультировали операторов энергосетей в государствах-членах по поводу возможных сценариев.
Структурное преимущество Украины заключается не в количестве зарегистрированных инцидентов, а в институциональной способности выдерживать непрерывное давление годами. SSSCIP разработал систему защищенного доступа государственных органов в интернет через Государственный центр киберзащиты, интегрировал MISP для обмена данными о вредоносном программном обеспечении, в декабре 2023 года утвердил 14 новых профессиональных стандартов кибербезопасности и запустил программу стажировки по синхронизации образовательных институтов
В отчете NATO CCDCOE под названием Building Resilience in the Face of Russian Cyber Aggression этот путь идентифицирован как превращение Украины с объекта в полноценного участника формирования европейской политики киберустойчивости. Польша, пострадавшая от атаки на энергосеть через два года после пожара на Marywilska 44 в Варшаве, тоже заказанной ГРУ, находится в особо привилегированном положении, чтобы инициировать обмен экспертизой с украинскими коллегами, однако процесс до сих пор зависит от политической готовности европейских столиц признать асимметрию опыта.
Меседж для западного читателя должен быть прямым. Европа имеет лабораторию выживания цифрового государства под атакой, и эта лаборатория находится в Киеве, где украинские специалисты в течение более десяти лет научились выявлять, парализовать и восстанавливаться после операций той же ГРУ, которая теперь атакует Польшу, готовит операции против Германии и экспериментирует с ШИ-генерированной дезинформацией в Соединенных Штатах.
Рациональная стратегия состоит в том, чтобы переформатировать партнерство и сделать украинские структуры полноценными соавторами обучающих программ EU CyberNet, экспертными операторами в рамках ENISA Working Arrangement и поставщиками сценариев стресс-тестирования для NIS2-обязательных организаций.
Альтернатива выглядит простой. Европа может ожидать собственной катастрофы и воспроизводить украинский опыт в форме болезненных потерь или признать реальность еще до того, как следующий DynoWiper пересечет границу, и инвестировать в передачу компетенции тогда, когда ее еще можно усвоить в условиях мира, а не в режиме горячего восстановления критических сервисов.