ЖУРНАЛ | квітень 2026

Проблема кібербезпеки — організаційна.

В авіації це означає питання безпеки польотів.

Автор: Ксенія Гончаренко | CEO, Well Digit | квітень 2026

10 хв читання

Кібербезпека переживає фундаментальний зсув у сприйнятті організаціями. Стара модель — захист периметру: сервери, бази даних, мережі. Визначити межу, не пустити зловмисників. Ця модель мала сенс, коли організації були більш замкнутими. Сьогодні вона не відображає реальність.

Сьогодні ланцюги постачання охоплюють десятки організацій, підрядники отримують доступ до внутрішніх систем віддалено, дані розподілені між хмарними сервісами, а AI драматично знизив поріг входу для зловмисників. Deepfakes, викрадення облікових даних, втрата доступу до критичних систем — загрози, які раніше потребували значних ресурсів, тепер доступні майже будь-кому.

Мета змінюється: бачити ризики чітко, реагувати швидко, обмежувати шкоду та зберігати операційну спроможність, коли кіберінцидент станеться. Питання вже не «чи» — а «коли».

Справжня вразливість — це довіра. Довіра до контролю доступу. Довіра до електронної пошти. Довіра до підрядників. Логін і пароль коштують приблизно $1.50 у даркнеті. Обсяг фішингових листів зріс у 12 разів минулого року — і тепер вони таргетовані, а не масові. Найбільший наслідок успішної атаки — не фінансові втрати. Це втрата довіри — клієнтів, партнерів, регуляторів.

Понад 90% кіберінцидентів у 2025 році так чи інакше включали AI.

Інструменти однакові з обох сторін. Боротьба вже не між зловмисником і спеціалістом з безпеки — це алгоритм проти алгоритму. AI — підсилювач: слабкі процеси не залишаються слабкими — вони експлуатуються швидше, ніж будь-яка команда встигне їх виявити.

Технічно кібербезпека тримає рівень. Організаційно — ні.

Кіберзлочинець

  • Обирає інструмент → запускає → готово.
  • Жодних внутрішніх процедур.
  • Жодних перевірок на відповідність.

Швидко.

Регульована організація

Обґрунтовує вибір → готує документи → проходить навчання → отримує погодження → впроваджує.

Загроза вже пішла далі.

Це і є розрив. І це не технологічний розрив.

Чому авіація відчуває це гостріше

Структурна вразливість — ще до регуляції

Ризик-орієнтоване мислення — ідентифікація небезпек, оцінка ймовірності та наслідків, побудова систем, що виявляють і відновлюють — вже вбудовано в роботу регульованих галузей. Авіація практикує цю логіку в управлінні безпекою десятиліттями. У цьому сенсі напрямок, у якому рухається кібербезпека, є знайомим. Але обізнаність — не те саме, що готовність.

Щільні ланцюги постачання: велика авіакомпанія чи MRO працює з сотнями — іноді тисячами — активних відносин з постачальниками та інших інтерфейсів. Кожен — це точка доступу. Кожен несе припущення про довіру, які зловмисник може використати.

Management of change в авіації свідомо повільний і всеохопний. Це правильний підхід для безпеки. Але це створює структурну асиметрію: організація не може встигати за динамікою загроз — за визначенням.

І профіль наслідків інший. У більшості галузей пошкоджена система означає бізнес-проблему. В авіації пошкоджені дані, скомпрометовані навігаційні системи або маніпульовані записи з ТО можуть означати подію безпеки. Ставки непорівнянні.

Саме тому кібербезпека в авіації не може розглядатися як питання IT. Це також питання безпеки польотів — саме ця логіка лягла в основу Part-IS.

Регуляторна відповідь

Part-IS та Safety Management System

EASA Part-IS (Commission Delegated Regulation (EU) 2022/1645) — це регуляція безпеки польотів, а не IT-регуляція. Вона не перевизначає стандарти безпеки авіації. Вона вводить ризик інформаційної безпеки як додаткову причину в існуючу систему управління ризиками безпеки. Інцидент інформаційної безпеки, який може вплинути на критичні для безпеки операції, належить до SMS — поруч з ідентифікацією небезпек та оцінкою ризиків.

Part-IS — це не додаток до вашої політики IT-безпеки. Це розширення вашої SMS — тієї самої системи, яка регулює ідентифікацію небезпек, оцінку ризиків та забезпечення безпеки.

Для авіаційних організацій EASA розробила критерії пропорційності за трьома вимірами: вплив на безпеку (ваше місце в авіаційному функціональному ланцюгу), організаційна складність (люди, ієрархії, локації) та складність ІКТ (ваше технологічне середовище). Результат оцінки визначає, як має виглядати пропорційна система управління інформаційною безпекою для вашої організації.

Сертифікація ISO 27001 не дорівнює відповідності Part-IS. ISO орієнтований на бізнес, на безперервність діяльності. Part-IS орієнтований на безпеку польотів, із допустимим рівнем ризику, визначеним рівнями серйозності наслідків для безпеки. Вони можуть доповнювати один одного, але один не замінює іншого.

Глибший виклик, який виявляє Part-IS — організаційний, а не технічний.

У більшості авіаційних організацій команда з безпеки польотів і функція інформаційної безпеки ніколи не мали потреби працювати разом. Safety Manager розуміє ідентифікацію небезпек та bow-tie аналіз. IT-команда розуміє моделювання загроз та управління вразливостями. Жодна з них не говорить мовою іншої вільно. Part-IS не просто додає вимоги — він вимагає від цих двох спільнот побудувати спільний процес і спільну мову. Це складніше за будь-яку технічну імплементацію.

Авіаційні організації мали Safety Management Manual за роки до того, як у них з'явилася справжня культура безпеки. Part-IS може піти тим самим шляхом — формальна відповідність на папері, без реальної стійкості під нею. Або ні.

Доповідач на семінарі EASA з авіаційної кібербезпеки, маючи сертифікацію ISO 27001, виявив під час впровадження Part-IS, що найбільшою вразливістю були не системи. Це були люди — фішингові атаки, підробка доменів, підроблені рахунки, що надходили їхнім клієнтам. Їхній висновок був простий: найкращий захист — це ви. Найкращий антивірус і фаєрвол нічого не варті, якщо обізнаність користувачів низька.

Люди. Процеси. Технології. Постійне вдосконалення. Саме в такому порядку.

Переосмислення

Safety Intelligence як конкурентна позиція

Більшість організацій сприймають кібербезпеку як витрати та ризик. Я вважаю, що цей погляд неповний.

Організаційна зрілість у безпеці та захисті інформації — це конкурентна перевага. Технології дедалі більше однакові з обох сторін.

Це не центр витрат. Це стратегічна позиція.

Організаційна спроможність перетворювати сигнали на рішення — виявляти загрози завчасно, керувати їхнім впливом і демонструвати контроль, коли це найважливіше — це основа Safety Intelligence.

Відповідність зберігає ваш сертифікат. Довіра зберігає клієнтів. Безпека забезпечує здатність працювати. Організації, які захищають усі три — не просто більш захищені. З ними складніше конкурувати.

Джерела та посилання

  1. 01
    Cybersecurity Dialogue — Diia.City Union & DarkCloud, Київ, 31 березня 2026. Джерело: зміна поверхні атаки, ціна облікових даних, дані про фішинг та AI.
  2. 02
    EASA Part-IS Implementation Workshop 2025 — Кельн, 25–26 червня 2025. Джерело: організаційні кейси, досвід впровадження.
  3. 03
    Commission Delegated Regulation (EU) 2022/1645 — Easy Access Rules for Part-IS — EASA, 2023.
Усі публікації