Майже 15 тисяч кіберінцидентів у держсекторі та на об’єктах критичної інфраструктури зафіксовано за чотири роки великої війни. Щоб протистояти хакерам, у 2025 році уряд зобов’язав усі державні органи запровадити посаду CISO — керівника з кібербезпеки (Chief Information Security Officer). У 2026 році з’явився перший призначений на цю посаду держслужбовець.
Чому ця посада з’явилася саме зараз? На кого раніше покладали захист систем? Що саме CISO має змінити на практиці і яку зарплату отримує? DOU розбирається разом із першим призначеним CISO в Україні Сергієм Вінтоняком і директором Департаменту кіберзахисту Адміністрації Держспецзв’язку Дмитром Пахольченком.
Новий стандарт: чому Україна обрала NIST
Поява CISO пов’язана з переходом України на нові правила кібербезпеки. У 2025 році уряд затвердив вимоги до захисту державних органів і критичної інфраструктури, спираючись на американський стандарт NIST (National Institute of Standards and Technology).
«Ми обрали NIST, тому що він допомагає зосередитися на найважливіших ризиках. Його підхід простий: організація визначає свої найвразливіші місця, оцінює можливі загрози й насамперед посилює захист там, де ризик найбільший», — пояснює Дмитро Пахольченко.
NIST — це американська організація, яка розробляє рекомендації у сфері кібербезпеки. Саме на її стандарті NIST Cybersecurity Framework 2.0 Україна побудувала нові вимоги до кіберзахисту. Він підходить і для державних установ, і для бізнесу. В Україні його вимоги є обов’язковими для міністерств, центральних і місцевих органів влади, а також для підприємств критичної інфраструктури.
На кого раніше покладали захист систем і чому це змінилося
CISO — це керівник, який відповідає за кібербезпеку і захист інформації у державному органі. Він напряму підпорядковується керівнику установи і не може одночасно виконувати обов’язки CDTO — керівника з цифрової трансформації.
Роль CISO давно існує у приватному бізнесі, особливо у великих технологічних компаніях, як-от Google, Microsoft або Amazon. А в Європі є спільноти CISO, які працюють у державних органах.
До 2025 року питаннями захисту інформації займалися IT-відділи, служби безпеки або люди, на яких «вішали завдання позаштатної служби захисту інформації», зауважує Пахольченко.
«В кількох державних органах були підрозділи, але вони займалися захистом інформації. Десь це було частково покладено на IT-підрозділи. А це, за всіма канонами й міжнародними правилами, неправильно: ІТ й безпекою не мають займатися ті самі люди», — додає він.
А також пояснює, чому ця посада з’явилася саме зараз:
«Якщо до повномасштабного вторгнення в середньому фіксували 1000–1500 кіберінцидентів на рік, то після нього їхня кількість почала стабільно зростати:
у 2021 році — 1350 випадків,
у 2022 — 2194,
у 2023 — 2543,
у 2024 — 4315,
а у 2025 році — вже 5927.
Відповідно потрібні люди, щоб займалися саме цим. Не айтівці, які у вільний від роботи час над цим працювали, а виділена, правильно організована команда фахівців. Тож саме CISO є керівником цієї групи, який повинен організовувати весь процес».
CISO повинен знати колег з Держспецзв’язку, особливо з національної команди реагування на кіберінциденти CERT-UA, зі Служби безпеки України, з кіберполіції, щоб швидше комунікувати під час інциденту. CISO стає точкою входу між своїм органом і зовнішнім світом у сфері кібербезпеки.
Щоб стати CISO в державній установі, потрібно пройти конкурс, мати профільну освіту в ІТ або кібербезпеці та щонайменше три роки досвіду роботи у цій сфері. Після перемоги в конкурсі кандидата перевіряє СБУ, а Держспецзв’язку проводить із ним співбесіду. Лише після цього його офіційно призначають на посаду CISO.
Перший CISO: хто він і як прийшов на цю роль
Сергій Вінтоняк став першим CISO в Україні, пройшовши тритижневе навчання у пілотному проєкті CISO Campus, який згодом виріс у національну програму підготовки фахівців із кіберзахисту. Сергій очолює відділ інформаційних технологій та захисту інформації в Державній інспекції енергетичного нагляду — органі, який контролює роботу електростанцій, теплових мереж і газового ринку.
В ІТ Вінтоняк працює понад сім років. Починав як інженер систем у науково-дослідній частині університету Тараса Шевченка, потім був головним спеціалістом з ІТ у Київському окружному адміністративному суді, Комісії з цінних паперів, Конституційному суді. Займався адмініструванням серверів і мереж у держорганах.
На цю роботу він спочатку прийшов заступником начальника відділу, але фактично виконував обов’язки керівника. За рік, коли очолив підрозділ, він дізнався про CISO Campus і подав заявку.
«Для мене це стало зміною підходу до мислення, адже до цього я вважав, що головне — максимально захистити системи підприємства: сервери й мережі. Здавалося, що потрібно просто більше захисту та інструментів. Але під час навчання я зрозумів, що важливо не лише захищати систему, а й оцінювати ризики для підприємства: проаналізувати, що саме може стати ціллю атаки, яких збитків вона може завдати. Бо навіть за великої кількості безпекових рішень можна пропустити щось критичне, а це може призвести до кіберінциденту, витоку даних чи несанкціонованого доступу».
Після завершення навчання відбувся конкурс на посаду CISO, який Сергій Вінтоняк виграв.
Він розповідає, що нова посада не замінила попередню. Відділ залишився таким самим, але тепер працює як окремий підрозділ і підпорядковується безпосередньо керівнику органу.
«На старій посаді, якщо мені потрібно було зв’язатися з Держспецзвʼязку або СБУ, треба було писати листи за підписом голови, і це тривало довго. Якщо у мене є підозри щодо проникнення в систему, потрібно було пояснювати це керівництву й чекати погодження. Зараз це все вирішую я — не треба чекати день, щоб перевірити будь-які факти», — каже Сергій.
Одним із його перших кроків на посаді стало впровадження двофакторної автентифікації у всіх робочих сервісах — електронному документообігу, пошті та файлових сервісах.
«Раніше мої колеги використовували слабкі або повторювані паролі. Ми впровадили двофакторну автентифікацію. Багато хто сприйняв це негативно, але ми пояснювали, що це і їхній особистий захист також. Також ми почали відстежувати роботу систем, щоб помічати підозрілі дії користувачів і реагувати на інциденти», — розповідає Сергій.
За його словами, близько 40% кібератак спрямовані на збір інформації про енергетичні об’єкти — їхнє розташування, схеми підключення та мережі. Ці дані можуть використати для координації фізичних атак. Ще 40–50% атак намагаються вивести з ладу генеруюче обладнання.
У кожного підприємства енергетичного сектору — ДТЕК, Укренерго та інших — є власні команди з кібербезпеки. Вони самі реагують на інциденти у своїх мережах. Роль Держенергонагляду як наглядового органу, — отримувати інформацію про інциденти та перевіряти, чи немає тих самих вразливостей у власних системах.
«Наприклад, відбувається хакерська атака на ДТЕК, — розповідає Сергій. — Їхня команда реагує на це і збирає дані: звідки була атака, на що спрямована, як діє. Наприклад, хакери хочуть отримати доступ до системи електроживлення певного району. Для цього вони можуть застосувати шкідливе ПЗ або DDoS-атаку. Фахівці дивляться, як вона здійснюється, і через певні канали зв’язку передають цю інформацію іншим державним органам, щоб вони могли перевірити, чи є можливість такої атаки на їхні системи».
Він пояснює, як його команда реагує у такій ситуації:
«Ми перевіряємо свій орган, аналізуючи інциденти в інших установах: дивимося, що до них призвело, і чи є у нас такі самі слабкі місця. Якщо є — відразу їх усуваємо».
Посадовий оклад Сергія Вінтоняка — 30 797 гривень, плюс надбавки і премії. В команді крім нього троє людей — два фахівці з кібербезпеки і спеціаліст, який займається комунікацією і навчанням співробітників.
«Чотирьом людям фізично та морально складно виконувати стільки роботи», — розповідає Вінтоняк.
24 з 110: як держава заповнює посади CISO
За словами директора Департаменту кіберзахисту Адміністрації Держспецзв’язку Дмитра Пахольченка, призначати CISO у державних установах непросто. Частина досвідчених фахівців нині служить у війську, а державний сектор часто не може конкурувати з приватними компаніями через менші зарплати.
Тому посади керівників з кібербезпеки часто обіймають люди, які вже працювали в держорганах і пройшли додаткове навчання, або молоді спеціалісти, які поступово виросли до цього рівня.
Чому CISO анонсували у 2025 році, а першого керівника призначили лише у 2026-му? Іева Ільвес, СЕО CISO Campus, пояснює:
«Лише після формування нормативної рамки у 2025 році державні органи отримали правила, за якими можна було проводити відбір кандидатів і призначати фахівців».
Пахольченко додає, що роботу CISO будуть перевіряти. Державні органи раз на два роки оцінюють, наскільки добре вони захищені, і передають ці дані Держспецзв’язку. Якщо є проблеми, їм дають поради, як покращити захист. А якщо стається кібератака, можуть одразу провести додаткову перевірку, щоб зрозуміти, що пішло не так.
«Усі пам’ятають масштабні кібератаки на ДП „Національні інформаційні системи“ та „Укрзалізницю“, які відбулися у 2024–2025 роках, — каже Дмитро. — Після цих кібератак команди там змінилися. Зараз там працюють професійні CISO. На жаль, часто зміни починаються лише тоді, коли атака вже зачепила організацію».
Як повідомили DOU у Держспецзв’язку, станом на 1 червня 2026 року у центральних і місцевих органах виконавчої влади призначені 24 керівники з кібербезпеки зі 110 передбачених посад.
Наразі у Державній податковій службі України та у Державній спеціальній службі транспорту відкриті вакансії на позицію CISO.
