Десятирічний досвід відбиття безперервних російських кібератак перетворив Україну на носія повномасштабної експертизи з цифрового захисту. Про це пише Дмитро Левусь, експерт аналітичного центру «Об’єднана Україна», політолог-міжнародник у своїй статті для The Gaze. Ця версія публікації є перекладом українською мовою.
У грудні 2025 року Польща пережила те, з чим Україна живе щодня з 2014 року. Російське угруповання Sandworm, оперативно прив'язане до Головного управління Генерального штабу Збройних сил РФ, провело атаку на енергетичну інфраструктуру Польщі з використанням нового штаму руйнівного програмного забезпечення DynoWiper. ESET, який ідентифікував шкідливий код, прямо атрибутував операцію до того самого підрозділу, який десятиліттями виводить з ладу українські трансформаторні підстанції, енергомережі та цифрові реєстри.
У січні 2026 року стало остаточно зрозуміло, що декларована Євросоюзом архітектура колективної кібербезпеки натрапила на стіну реальності, у яку Україна вписалася стихійно ще за десять років до того. Парадокс полягає в тому, що ЄС досі будує програми підтримки української кібероборони, тоді як саме Україна володіє єдиним у Європі повномасштабним операційним досвідом тривалої цифрової оборони держави під час війни. Цей розрив у логіці партнерства треба ламати.
Польський інцидент завершив десятиліття українського попередження
Атрибуція Sandworm у польській справі не є ізольованим епізодом. Той самий підрозділ ще у грудні 2015 року вперше у світі вивів з ладу енергопостачання цивільного населення, використавши шкідливе програмне забезпечення BlackEnergy 3 проти трьох українських обленерго та залишивши без світла близько 230 тисяч споживачів в Івано-Франківській області.
У 2016 році вже в Києві було атаковано трансмісійну підстанцію за допомогою Industroyer, спеціалізованого інструмента для безпосереднього маніпулювання промисловими системами керування. У жовтні 2022 року Mandiant зафіксував унікальну атаку на українську підстанцію з використанням техніки living off the land проти системи MicroSCADA, що супроводжувалася розгортанням нової варіації CADDYWIPER та збігалася за часом з масштабованими ракетними ударами.
У грудні 2023 року Sandworm паралізував найбільшого мобільного оператора України Kyivstar, знищивши близько чотирьох тисяч серверів і відрізавши від зв'язку понад двадцять мільйонів абонентів, а також системи оповіщення про повітряну тривогу в Київській та Сумській областях. Сукупна сума прямих збитків від тієї однієї операції перевищила 90 мільйонів доларів, а доступ зловмисників до інфраструктури тривав щонайменше від травня 2023 року, що засвідчує глибину проникнення.
Із кожним інцидентом Україна перетворювалася на польовий полігон, де російські кадри відпрацьовували нові техніки, які потім ішли в експлуатацію проти інших держав. Атака на польську енергомережу у грудні 2025 року є логічним продовженням десятирічної кривої навчання, у якій українська сторона була вимушеним експериментальним об'єктом, а тепер стає єдиним носієм відповідного оборонного досвіду.
CERT-UA, що функціонує під егідою Державної служби спеціального зв'язку та захисту інформації, фіксував у 2022 році понад тисячу критичних та високорівневих кіберінцидентів, у 2023 році 367, а у 2024 році лише 59, тоді як паралельно зростала кількість некритичних спроб шпигунства та DDoS. Це не зниження російської активності, а зростання ефективності української оборони.
У першій половині 2025 року SSSCIP зареєстрував 3018 інцидентів, водночас відзначивши радикальну зміну тактики російських операторів та залучення нових кадрів через те, що відомі методи перестали бути ефективними. У цьому маленькому статистичному рядку міститься історія, яку Європа має прочитати уважно.
Російська машина готує кадри для кібервійни так само ретельно, як офіцерів спецоперацій
Паралельно з військовою фазою війни Москва нарощує інфраструктуру підготовки кадрів для кібервійни та операцій впливу. У травні 2026 року міжнародний журналістський консорціум опублікував результати розслідування на основі понад двох тисяч внутрішніх документів Московського державного технічного університету імені Баумана, які виявили існування секретного факультету Department 4.
Цей структурний підрозділ прямо інтегрований у ГРУ, очолюється підполковником Кирилом Ступаковим та використовує як викладача генерал-майора Віктора Нетикшо, який раніше командував підрозділом 26165, відомим у відкритих джерелах як Fancy Bear. Студенти зобов'язані писати власні комп'ютерні віруси як іспитове завдання, проходити практичні пенетраційні тести та паралельно засвоювати ідеологічну рамку про неминучість війни проти України. У 2024 році лише з Department 4 випустилися 69 осіб, які поповнили оперативні підрозділи ГРУ. Інсайдери зазначають, що подібний механізм існує також у МІРЕА.
Більш широка картина включає підрозділ ГРУ 29155, який, за оцінкою спільної рекомендації CISA, ФБР та АНБ США, з 2020 року веде комп'ютерні мережеві операції глобального масштабу для шпигунства, саботажу та репутаційного шкоди, а у січні 2022 року розгорнув проти українських організацій руйнівне шкідливе програмне забезпечення WhisperGate. Активність FSB-афілійованої групи Star Blizzard продовжує спрямовуватися на офіційних осіб, академічних експертів та неурядові організації у формі цільового фішингу, тоді як підрозділ Turla у 2025 році підтримує шпигунські операції проти іноземних посольств у Москві. У грудні 2024 року Управління контролю за іноземними активами Міністерства фінансів США наклало санкції на Центр геополітичної експертизи та його директора Валерія Коровіна, кваліфікованого як офіцер ГРУ, за використання генеративного ШІ для масового виробництва дезінформації та формування мережі сайтів-імітаторів легітимних медіа з метою втручання у американські вибори. Йдеться не про окремих хакерів, а про вертикально інтегровану систему виробництва компетенції від університетської аудиторії до оперативного виконання.
Архітектура партнерства потребує перевертання, бо нинішня логіка хибна
ENISA уклала угоду про співпрацю з NCCC та SSSCIP ще у листопаді 2023 року, формалізувавши обмін практиками та підвищення ситуаційної обізнаності. EU CyberNet, флагманська ініціатива Євросоюзу, у 2025 році підтримала операції Tallinn Mechanism Project Office та залучилася до співробітництва з українськими інституціями. Проте структурно ці механізми орієнтовані на ЄС як донора, що нарощує українські потужності, тоді як зворотний вектор передавання знань з Києва до Брюсселя залишається маргінальним.
EUISS і EU Cyber Direct у березні 2026 року провели семінар у Брюсселі, де визнали, що держави розширення, включно з Україною, перебувають на передовій кібер- та гібридних загроз і що їхній операційний досвід є важливим активом колективної безпеки. Це правильна риторика, проте інституційна логіка взаємодії досі не пристосована до того, щоб українські експерти регулярно формували навчальні програми для європейських CSIRT, постачали ноу-хау щодо захисту критичної інфраструктури під час кінетичних ударів та консультували операторів енергомереж у державах-членах щодо ймовірних сценаріїв атак.
Структурна перевага України полягає не у кількості зареєстрованих інцидентів, а в інституційній спроможності витримувати безперервний натиск роками. SSSCIP розробив систему захищеного доступу державних органів до інтернету через Державний центр кіберзахисту, інтегрував MISP для обміну даними про шкідливе програмне забезпечення, у грудні 2023 року затвердив 14 нових професійних стандартів кібербезпеки та запустив програму стажування для синхронізації освітніх інституцій з операторами критичної інфраструктури
У звіті NATO CCDCOE під назвою Building Resilience in the Face of Russian Cyber Aggression цей шлях ідентифіковано як перетворення України з об'єкта на повноцінного учасника формування європейської політики кіберстійкості. Польща, яка постраждала від атаки на енергомережу через два роки після пожежі на Marywilska 44 у Варшаві, теж замовленої ГРУ, перебуває в особливо привілейованому становищі, щоб ініціювати обмін експертизою з українськими колегами, проте процес досі залежить від політичної готовності європейських столиць визнати асиметрію досвіду на користь Києва.
Меседж для західного читача має бути прямим. Європа має лабораторію виживання цифрової держави під атакою, і ця лабораторія знаходиться в Києві, де українські фахівці протягом понад десяти років навчилися виявляти, паралізувати та відновлюватися після операцій того самого ГРУ, який тепер атакує Польщу, готує операції проти Німеччини й експериментує з ШІ-генерованою дезінформацією у Сполучених Штатах.
Раціональна стратегія полягає в тому, щоб переформатувати партнерство та зробити українські структури повноцінними співавторами навчальних програм EU CyberNet, експертними операторами в межах ENISA Working Arrangement і постачальниками сценаріїв стрес-тестування для NIS2-зобов'язаних організацій.
Альтернатива виглядає простою. Європа може чекати власної катастрофи й відтворювати український досвід у формі болісних втрат, або визнати реальність ще до того, як наступний DynoWiper перетне кордон, та інвестувати в передачу компетенції тоді, коли її ще можна засвоїти за умов миру, а не в режимі гарячого відновлення критичних сервісів.