Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/5983
Назва: Реконструкція моделі кібербезпеки в українських банках
Автори: Байрак, Анатолій Володимирович
Петренко, Роман Сергійович
Ключові слова: аспекти управління кіберризиками;банківський сектор;системи кібербезпеки банку
Дата публікації: 2023
Короткий огляд (реферат): Метою даної роботи була реконструкція моделі оцінки кіберризиків для українських комерційних банків. Виділення концепції «Кібербезпека», розгляд його основних характеристики. Вивчення основних підходів до забезпечення кібербезпеки в банківському секторі України і світу. Порівняльний аналіз особливостей кіберризиків в українській і світовій практиці. Ідентифікація проблем, які народжують розвиток кіберзлочинності, а також шляхи її вирішення. Огляд методології оцінки ризиків кібербезпеки, що використовується в Банках України. Розробка рекомендації по поліпшенню методології оцінки кіберризиків українських комерційних банків.
URI (Уніфікований ідентифікатор ресурсу): https://er.chdtu.edu.ua/handle/ChSTU/5983
Розташовується у зібраннях:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Файли цього матеріалу:
Файл Опис РозмірФормат 
М_125_Петренко_Байрак.pdf
  Restricted Access
941.63 kBAdobe PDFПереглянути/Відкрити    Запит копії


Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.

Extracted text
 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій і робототехніки 
(повна назва факультету) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки 
(повна назва кафедри) 
 
 
 
Пояснювальна записка 
 
до кваліфікаційної роботи магістра 
(освітньо-кваліфікаційний рівень) 
 
 
на тему «Реконструкція моделі кібербезпеки в українських банках» 
 
 
 
Виконав студент 2 курсу, групи БІ-021 
 
Спеціальності 125 - «Кібербезпека», освітньої 
програми «Безпека інформаційних і 
комунікаційних систем» 
(шифр і назва спеціальності) 
Петренко Р.С. 
(прізвище та ініціали) 
Керівник Байрак А.В. 
(прізвище та ініціали) 
Рецезент  
(прізвище та ініціали) 
 
 
 
 
 
 
 
 
 
 
Черкаси 2023 
 
ВСТУП 
 
У сучасному світі найважливішим конкурентним фактором в банківському 
секторі є впровадження інновацій і розвиток інформаційних технологій. Однак цей 
процес супроводжується і появою нових видів шахрайства. Найбільший інтерес для 
кіберзлочинців представляє фінансовий сектор. Проблема розвитку 
кіберзлочинності є надзвичайно актуальною та актуальною у зв'язку з масштабами 
збитків, яких щорічно зазнають кредитні організації по всьому світу. Однак на 
сучасному етапі моделювання кіберризиків, у тому числі в банківській сфері, 
розвинене слабо через новизну проблеми, відсутність історичної практики боротьби 
з кіберзлочинністю на рівні окремих організацій, а також складність аналізу та 
оцінки цього виду ризику. 
У зв'язку з цим метою даної роботи була реконструкція моделі оцінки 
кіберризиків для українських комерційних банків. 
Для досягнення поставленої мети були визначені наступні завдання: 
1. Виділення концепції «Кібербезпека», розгляд його основних 
характеристики; 
2. Вивчення основних підходів до забезпечення кібербезпеки в банківському 
секторі України і світу; 
3. Порівняльний аналіз особливостей кіберризиків в українській і світовій 
практиці; 
4. Ідентифікація проблем, які народжують розвиток кіберзлочинності, а 
також шляхи її вирішення; 
5. Огляд методології оцінки ризиків кібербезпеки, що використовується в 
Банках України; 
6. Розробка рекомендації по поліпшенню методології оцінки 
кіберризиків українських комерційних банків; 
Предметом дослідження є економічні відносини, що виникають у процесі 
оцінки ризиків кібербезпеки кредитних організацій. 
Об'єкт Дослідження – український комерційний банк у процесі написання 
 
роботи були застосовані такі методи дослідження, як теоретичний аналіз, системний 
підхід, узагальнення, порівняння, класифікація, вимірювання, спостереження, 
моделювання, а також метод прогнозування. 
Практичне значення даного дослідження полягає в оцінці сучасного стану 
кіберзлочинності в банківському секторі України і світу, а також в удосконаленні 
підходу до оцінки кіберризиків для українських комерційних банків, який в 
подальшому може бути використаний ними на практиці для підвищення 
кібербезпеки кредитної організації. 
 
РОЗДІЛ 1 ТЕОРЕТИЧНІ АСПЕКТИ УПРАВЛІННЯ КІБЕРРИЗИКАМИ 
В КОМЕРЦІЙНОМУ БАНКУ 
 
1.1 Поняття кібербезпеки та її основні характеристики 
Поняття кібербезпеки відносно молоде, тому воно не має 
загальноприйнятого визначення. 
Відповідно до ЗАКОНУ УКРАЇНИ “Про основні засади забезпечення 
кібербезпеки України” безпека визначається як стан захисту життєво важливих 
інтересів особистості, суспільства і держави від внутрішніх і зовнішніх загроз. 
Під кібератакою розуміють свідомо організований комплекс дій із 
залученням програмно-технічних засобів, спрямованих на заподіяння економічної, 
технічної або інформаційної шкоди. Таким чином, виходячи з наведених визначень, 
можна сформулювати концепція кібербезпека, як комплекс стратегічного 
характеру спрямованих на захист від заподіяння економічної, технічної або 
інформаційної шкоди в результаті загроз, що здійснюються за допомогою 
програмно-технічних засобів, а також в результаті щоденної роботи з інформаційно-
мережевими технологіями. Кібербезпека забезпечує захист від втрат за дії 
зловмисників, які вчиняються за допомогою телекомунікаційних технологій, тобто 
боротьби з проявом кіберризиків. 
Основні характеристики кіберризиків. 
1) ІТ-природа. Кіберризик характеризується як категорія інформаційних 
технологій, що займає певне місце в сучасній економіці і продовжує все більше 
проникати в сферу господарської діяльності підприємств, комерційних банків та 
інших суб'єктів. Еволюція інформаційних технологій є головною передумовою 
розвитку кіберризиків. 
2) Об'єктивність прояву. У зв'язку з тим, що в сучасному світі практично 
будь-яка діяльність на підприємствах і в банках супроводжується використанням ІТ-
технологій, кіберризик є об'єктивним явищем, тобто супроводжує всі операції. 
Незважаючи на те, що від суб'єктивних управлінських рішень залежить низка 
параметрів кіберризику, властивість його об'єктивного прояву залишається 
 
незмінною. 
3) Імовірність виникнення. Суть полягає в тому, що в процесі фінансово-
господарської діяльності підприємств (банків) кіберризик може реалізовуватися, а 
може і не реалізовуватися. Імовірність того, що кібератака відбудеться, визначається 
дією різних об'єктивних і суб'єктивних факторів, але ймовірність кіберризику є її 
стабільною характеристикою. 
4) Непередбачуваність виникнення. Кіберризик важко передбачити, і він 
пов'язаний з труднощами в оцінці через надзвичайну скритність кіберзлочинців. 
Шахраї мають таку перевагу, яка досягається за рахунок використання різних 
механізмів шифрування та анонімності. 
5) Очікувані побічні ефекти. Ризик у фінансово-господарській діяльності 
характеризується і співвідноситься з рівнем можливих негативних наслідків. Однією 
з головних характеристик кіберризику є те, що він завжди супроводжується певним 
несприятливим результатом. Найчастіше кіберризики можуть призвести не тільки 
до втрати прибутку, а й капіталу підприємства (банку), що в свою чергу є причиною 
банкрутства. 
6) Мінливість рівня. Рівень кіберризику не завжди однаковий. Вона 
змінюється з плином часу і залежить від безлічі об'єктивних і суб'єктивних факторів 
(наприклад, якість програмного забезпечення; рівень захисту від кіберзагроз 
підприємства (банку); кваліфікація персоналу і т.д.). 
7) Суб'єктивність оцінки. Незважаючи на те, що кіберризик має об'єктивний 
характер, його оцінка – рівень ризику – є суб'єктивною. Ця суб'єктивність 
(неоднозначність оцінки) характеризується різним рівнем якості інформації, її 
достовірністю і повнотою; кваліфікація співробітників відділу ризик-менеджменту, 
їх компетентність і досвід, а також інші фактори. 
8) Транскордонність. Однією з найважливіших характеристик кіберризику є 
його відкритість в просторі. Таким чином, кібершахрай та постраждала сторона 
можуть опинитися за тисячі кілометрів, що не завадить вчиненню злочину. 
У зв'язку з тим, що кіберзлочини охоплюють широке коло суспільних 
відносин, передбачають використання різного обладнання та мають безліч способів 
 
їх вчинення, існує кілька підходів до їх класифікації. 
Відповідно до Конвенції Ради Європи, види кіберзлочинності згруповані в 
п'ять груп, які представлені в таблиці 1. 
 
Таблиця 1 – Класифікація кіберзлочинів відповідно до Конвенції Ради 
Європи 
Група Вміст 
1 Правопорушення проти комп'ютерних даних і систем 
2 Протиправні дії, пов'язані з використанням технологій 
3 Правопорушення, пов'язані зі змістом даних або контенту 
4 Порушення авторських і суміжних прав 
5 Дії, що порушують громадську безпеку 
 
До першої групи належать усі комп'ютерні злочини, спрямовані проти 
комп'ютерних даних і систем (наприклад, незаконний доступ, втручання в дані або 
системи в цілому). 
Другу групу складають протиправні дії, пов'язані з використанням 
технологій (підробка, вилучення, блокування або зміна даних, отримання 
економічної вигоди іншими способами). 
Третя група правопорушень пов'язана зі змістом даних або змістом. 
Порушення авторських і суміжних прав відноситься до четвертої групи, 
виділення окремих видів злочинів в якій віднесено до законодавства конкретних 
держав. 
Кібертероризм та використання віртуального простору для вчинення актів 
насильства, а також інші дії, що посягають на громадську безпеку, входять до п'ятої 
групи кіберзлочинів. 
Аналогічним чином існує докладна класифікація кіберзлочинів залежно від 
їх вчинення та злочинних цілей Перелік злочинів, вчинених з використанням мережі 
Інтернет, включає: 
 
1) Несанкціоноване підключення; 
2) Створення та розповсюдження шкідливого програмного забезпечення; 
3) Незаконне зберігання, поширення, демонстрація інформації, забороненої 
до вільного обігу; 
4) Порушення авторського права і суміжних права  та аналогічним 
чином незаконне використання чужої торгової марки; 
5) Шахрайство у сфері інтернет-послуг; 
6) Крадіжка електронних реквізитів та продаж підроблених кредитних або 
платіжних карток; 
7) Нелегальне підприємництво в мережі Інтернет; 
8) Вимагання; 
9) Кібертероризм. 
Найактуальнішим питанням розвитку кіберзлочинності залишається, 
зокрема, для світової банківської спільноти. Так, згідно зі статистикою, у 2022 році 
загальні втрати компаній по всьому світу від кібератак сягнули $1,5 трлн. доларів, а 
у 2023 році збитки світовій економіці перевищили $2 трлн. $. 
Згідно зі статистикою, яку наводить ООН, щорічний економічний збиток від 
крадіжки онлайн-даних у банківському секторі становить понад 
100 мільярдів доларів. Викрадені дані включають інформацію про кредитні 
картки, паролі, логіни та інші особисті параметри клієнтів кредитних організацій. 
Таким чином, для кредитних організацій дуже важливо забезпечити 
кібербезпеку та ефективне управління кіберризиками, що допоможе зменшити 
кількість та ймовірність загроз з боку кібершахраїв та мінімізувати суму збитків від 
цих загроз. 
Згідно зі звітом «Управління ризиками та кібербезпека», підготовленим Price 
Water House Coopers (PwC), ключовими аспектами кібербезпеки є: 
Визначення рівня допустимого ризику та порогів збитку; 
Визначення допустимого залишкового ризику та меж припущення про 
ризик; 
 
Забезпечення необхідної точності та фінансових значень оцінки 
методологією оцінки ризиків; 
Встановлення прозорого зв'язку між бізнес-процесами та критичними 
активами; 
Розподіл нових Ролей і Відповідальністі між компетентними фахівцями; 
Визначення допустимих термінів закриття виявлених ризиків; 
Визначення ключових індикаторів ризику та встановлення процедур 
моніторингу ризиків; 
Визначення позиції кіберризиків у системі управління корпоративними 
ризиками; 
Відповідність рівнів прийняття рішень повноваженням осіб; 
 
 1.2 Сучасні підходи до кібербезпеки в банківському секторі 
Термін «кібербезпека» (відповідно до стандарту кібербезпеки ISO/IEC 
27032:2012, опублікованого Міжнародною організацією зі стандартизації та 
Міжнародною електротехнічною комісією) характеризується як безпека в 
кіберпросторі або як збереження конфіденційності, цілісності, доступності та інших 
важливих властивостей активів користувачів та організацій, таких як автентичність, 
підзвітність та надійність у кіберпросторі. 
Кіберактиви, які існують у кіберпросторі та потребують захисту, поділяються 
на фізичні (існуючі в реальному світі) та віртуальні (існуючі лише у кіберпросторі). 
ISO/IEC 27032:2012 також описує взаємозв'язок між термінами 
«кібербезпека», «мережева безпека», «безпека додатків», «безпека Інтернету» та 
«безпека ключових систем інформаційної інфраструктури», що показано на 
рисунку1. 
 
 
Рисунок 1 – Взаємозв'язок між кібербезпекою та іншими видами безпеки 
відповідно до ISO/IEC 27032:2012 
 
 
Відповідно до Концепції стратегії кібербезпеки України, кібербезпека - це 
сукупність умов, при яких всі компоненти кіберпростору захищені від будь-якої 
загрози і небажаного впливу. При цьому кіберпростір - це середовище, утворене 
сукупністю каналів зв'язку мережі Інтернет та інших мереж, технологічної 
інфраструктури, що забезпечує їх функціонування, і будь-яких форм людської 
діяльності (індивіда, організації, держави), здійснюваної шляхом їх використання, а 
інформаційний простір - сукупністю всієї інформаційної діяльності людства. Звідси 
випливає, що кіберпростір є складним і транскордонним середовищем, і регулювати 
його безпеку вкрай складно. 
Відповідно до стандарту ISO/IEC 27032:2012, загрози кібербезпеці 
можна розділити на дві великі групи: 
 Загрози активам користувача; 
 Загрози активам організації. 
Загроза кібербезпеці перетворюється з потенційної можливості на реальну 
кібератаку, коли відповідні вразливості використовуються якимось джерелом – 
суб'єктом, яким може бути фізична особа, матеріальний об'єкт або фізичне явище. У 
разі реалізації потенційною загрозою стає кібератака, тобто спроба проникнення в 
 
інформаційну інфраструктуру, що може негативно вплинути на кібербезпеку. 
Таким чином, не можна не відзначити, наскільки важливим є забезпечення 
кібербезпеки в сучасній економіці, адже втрати можуть бути просто колосальними. 
Боротьба з кіберзлочинністю здійснюється на всіх рівнях: міжнародному, 
державному, регіональному, галузевому та на рівні окремих суб'єктів (зокрема, 
кредитних організацій). 
Рада Європи, Європейський Союз (ЄС), Організація Об'єднаних Націй (ООН) 
та Інтерпол відіграють важливу роль у координації міжнародних зусиль та розбудові 
міжнародного співробітництва у боротьбі зі злочинністю у сфері високих 
технологій. 
Перше комплексне дослідження проблеми кіберзлочинності та кримінально-
правових заходів боротьби з нею в міжнародному масштабі було проведено ОЕСР, 
яка в період 1983-1985 років вивчала можливості гармонізації норм, що 
передбачають кримінальну відповідальність за кіберзлочини. 
14 грудня 1990 року Генеральна Асамблея ООН прийняла резолюцію, в якій 
закликала держави-члени ООН активізувати зусилля по боротьбі з комп'ютерною 
злочинністю шляхом модернізації національного кримінального законодавства, а 
також сприяти розвитку цієї структури в майбутньому. 
Міжнародні принципи та стандарти запобігання, переслідування та 
покарання за комп'ютерні злочини. 
У 1995 році була проведена перша Міжнародна конференція Інтерполу з 
комп'ютерної злочинності, яка підтвердила стурбованість міжнародного 
співтовариства поширенням кіберзлочинності. Згодом аналогічні конференції 
проводив Інтерпол у 1995, 1996, 1998 та 2000 роках. 
У травні 2000 року G8 провела конференцію з кіберзлочинності, головною 
темою якої була координація зусиль по боротьбі зі злочинністю в Інтернеті. На цій 
зустрічі було оприлюднено комюніке, в якому йдеться про те, що країни докладуть 
належних зусиль для вироблення спільного підходу до високотехнологічних 
злочинів, таких як кіберзлочини, які можуть серйозно загрожувати безпеці світової 
інформаційної спільноти. 
 
Конвенція Ради Європи про кіберзлочинність, прийнята 23 листопада 2001 
року в Будапешті, стала результатом багаторічних зусиль Ради Європи. Це один з 
найважливіших документів, що регулюють правовідносини в сфері глобальної 
комп'ютерної мережі і поки єдиний документ такого рівня. Підготовка Конвенції 
була тривалим процесом: за чотири роки було розроблено 27 проектів. Остаточна 
версія, що містить преамбулу та чотири розділи, датовану 25 травня 2001 року, була 
представлена Європейській комісії з протидії кіберзлочинності на її 50-му 
пленарному засіданні, яке тривало з 18 по 22 червня 2001 року. 
Але, незважаючи на перелічені вище зусилля на міжнародному рівні, всі вони 
мають бути пов'язані насамперед із заходами з реформування кримінального 
законодавства на національному рівні. Національні та міжнародні зусилля повинні 
доповнювати один одного, забезпечуючи глобальну увагу до проблем 
кіберзлочинності та координуючи зусилля з боротьби з кіберзлочинністю 
кіберзлочинності та уніфікація національного законодавства. У цьому контексті 
особлива увага приділяється обговоренню законопроектів SOPA та PIPA у США. 
Таким чином, узагальнюючи вищесказане, можна виділити основні існуючі 
напрямки боротьби з кіберзлочинністю: 
1. Міжнародне співробітництво. У зв'язку з масштабністю та глобальністю 
проблеми кіберзлочинності жодна країна самотужки не може ефективно їй 
протистояти. Тому ключовим напрямком у боротьбі з кіберзлочинністю є діяльність 
міжнародних організацій (ООН, Інтерпол, ЄС тощо), співпраця окремих держав, 
розробка заходів, а також укладення угод та договорів. 
2. Боротьба з кіберзлочинністю на національному рівні: 
 Удосконалення законодавства. Розвиток законотворчої діяльності суттєво 
відстає від розвитку інформаційних технологій, у тому числі нових форм 
кіберзлочинності, тому влада акцентує увагу на виниклій проблемі та розробляє 
(удосконалює) нормативно-правові акти, посилення санкцій за кіберзлочини тощо; 
 Проведення різноманітних конференцій, форумів, створення умов для 
проведення наукових досліджень у сфері кібербезпеки; 
 
 Створення державних центрів кібербезпеки, здатних розробляти нові 
підходи у сфері безпечних відкритих інформаційних технологій та готувати 
висококваліфіковані кадри для провідних компаній світового ІТ-ринку; 
Централізація управління кібербезпекою, створення єдиного регулятора 
3. Боротьба з кіберзлочинністю на рівні окремої організації (банку): 
 Удосконалення програмного забезпечення, засобів захисту (антивіруси і 
т.д.); 
 Розробка моделей оцінки кіберризиків; 
 Впровадження нових технологій для зниження ризику кібератак (блокчейн і 
т.д.); 
 Страхування кіберризиків; 
 Підвищення кваліфікації всіх співробітників організації, діяльність яких 
пов'язана з комп'ютерними технологіями, які можуть стати жертвою кібератаки. 
 
1.3 Порівняльна характеристика кіберризиків в українській та світовій 
практиці 
Кіберзлочинність, яка є справжньою епідемією 21 століття, в тих чи інших 
масштабах зачіпає абсолютно всі країни світу. Найбільше від цієї проблеми 
страждають розвинені країни і країни, що розвиваються. Збитки, яких зазнає світова 
економіка, в тому числі і світовий банківський сектор, просто колосальні і 
продовжують зростати з кожним роком. 
Наприклад, дослідницька компанія Cybersecurity Ventures у своєму 
щорічному звіті про кіберзлочинність за 2021 рік прогнозує, що до 2022 року 
кіберзлочинність коштуватиме світові понад 6 трильйонів доларів, порівняно з 3 
трильйонами доларів у 2020 році. Витрати на кібербезпеку сукупно перевищать 1 
трильйон доларів США протягом 5-річного періоду з 2017 по 2021 рік. 
У 2019 році кібербезпека стала широко обговорюваною темою в політиці. 
Відключення електроенергії у Венесуелі, відкриті військові операції в кіберпросторі 
між конфліктуючими державами та навмисна дестабілізація Інтернету в деяких 
 
країнах створили надзвичайно небезпечні прецеденти, які можуть призвести до 
соціально-економічних збитків та дестабілізувати ситуацію в постраждалих 
державах. 
Аналітики антивірусної компанії McAfee виділили основні фактори, що 
спричинили зростання глобального рівня кіберзлочинності [48]: 
 все більш витончені хакерські атаки; 
 швидке впровадження кіберзлочинцями нових технологій; 
 сприяння вчиненню діянь у зв'язку з появою та розвитком кіберзлочинності 
як послуги; 
 розширення ринку послуг кіберзлочинців; 
 розподіл криптовалют і т.д. 
У своєму звіті про загрози McAfee Labs визначила цільові сектори економіки, 
які були вразливі до кібератак у 2020 та 2021 роках, виходячи з кількості порушень, 
зареєстрованих компанією. Результат показаний на малюнку 2. Також, виходячи з 
кількості зареєстрованих порушень, було визначено топ-10 векторів атак 
кібершахраїв, представлених на рисунку 3. 
 
Рисунок 2 – Топ-10 цільових секторів кіберзлочинців у 2020–2021 роках 
 
 
 
Рисунок 3 – Топ-10 векторів атак кіберзлочинців у 2020–2021 роках 
 
 
Для того, щоб порівняти суму збитків від кіберзлочинності у світі та в 
України, були розглянуті найбільші витоки даних за. Виділені глобальні інциденти 
представлені в таблиці 2, а українські інциденти - в таблиці 3. 
 
Таблиця 2 – Найбільші витоки даних у 
світі 
Дата Збитки 
2,2 млрд. унікальних імен користувачів та паролів вільно поширювалися 
30.01.2019 хакерами на форумах та торрент-трекерах (845 ГБ даних та близько 25 
млрд. записів). 
Було виявлено дамб даних MongoDB розміром 150 ГБ на незахищеному 
25.02.2019 сервері, який був не запаролений. База містила близько 800 млн. адрес 
електронної пошти, з яких 4 млн. містили ще й номери телефонів 
Американська страхова компанія First American Financial Corporation 
24.05.2019 допустила витік 885 млн. оцифрованих даних клієнтів: банківські реквізити, 
номери соціального страхування, квитанції про транзакції тощо. 
 
На незахищеному сервері було виявлено майже 2 млрд. користувацьких 
02.07. записів «Розумного дому» китайської компанії Orvibo, які містили різну 
2019 інформацію – від кодів скидання облікових записів до паролів 
користувачів. 
На незахищеному сервері виявлено 1,2 млрд. користувачів даних, що 
містять майже 50 млн. домашніх та мобільних телефонних номерів та 
22.11.2019 
пов'язаних з ними профілів у популярних соц. мережах: Facebook, Twitter, 
LinkedIn, Github, а також 622 млн. унікальних адрес електронної пошти. 
 
Проаналізувавши найбільші витоки даних в України та світі, можна зробити 
висновок, що кібератаки в України (порівняно з глобальними) мають менший 
масштаб, що можна оцінити як позитивний фактор. Однак робити однозначні 
висновки не можна, так як порівняння було досить умовним і спиралося тільки на 
крадіжку даних, вивчався тільки 2021 рік і для порівняння бралося світове 
співтовариство в цілому, а не якась конкретна країна. 
У таблиці 4 представлений порівняльний аналіз рівня розвитку механізмів 
протидії кіберзлочинності в Україні, США, Німеччині, Великобританії. 
 
Таблиця 4 – Сучасний стан протидії кіберзлочинності в країнах 
світу 
Критерій Досвід США Досвід Німеччини Досвід Великобританії 
1 2 3 4 
 
Комп'ютерний 
шпигунство; 
несанкціонований 
Використання комп'ютера з наміром 
доступ до інформації; Усі злочини, 
забезпечити доступ до програми або 
комп'ютерне здійснені з 
даними, що містяться в будь-якому 
шахрайство; навмисне використанням 
комп'ютері, якщо цей доступ свідомо 
або по необережності обладнання для 
неправомірний; доступ до комп'ютера, за 
пошкодження збору, обробки та 
допомогою якого змінюються або 
захищених передачі 
знищуються програми чи дані; дані 
комп'ютерів; погрози, інформації або 
копіюються або переміщуються у місце, 
вимагання, шантаж, засобів зв'язку 
відмінне від того, де вони містяться. 
скоєні з використанням 
комп'ютерних 
технологій та ін. 
КК Німеччини; 
Конвенція Ради 
Європи № 185 про 
Закон "Про 
кіберзлочинності; 
шахрайство та 
ФЗ "Про захист 
зловживання з Закон "Про неправомірне використання 
персональних 
використанням комп'ютерних технологій" (Computer Misuse 
даних 
комп'ютерів" Act); Положення "Про приватну інформації 
Німеччини"; 
(Computer Fraud and та електронного зв'язку"; Конвенція Ради 
Конвенція про 
Abuse Act, CFAA); Європи № 185 про кіберзлочинності; Закон 
захист приватних 
"Патріотичний акт" "Про захист даних" (Data Protection Act) 
осіб у відношенні 
(Статті про 
автоматичною 
кібертероризмі) 
обробки 
персональних 
даних 
ТАК 
 
Конвен
ція Нормативно-правове регулювання Розуміння кіберзлочинності (законодавче) 
№185 
Передбачаються 
грошові штрафи, 
тюремне ув'язнення. 
Передбачаються 
Максимальне 
грошові штрафи, 
покарання - до 30 років 
тюремне 
позбавлення свободи. Передбачаються наступні види покарання: 
висновок. 
Крім того, в США діє штраф; тюремне ув'язнення. Максимальне 
максимальне 
система простого покарання складає 5 років позбавлення волі. 
покарання – до 5 
арифметичного 
років позбавлення 
складання покарань за 
волі 
різні епізоди в 
загальному 
злочинному діянні. 
 
Як показали результати аналізу, законодавче розуміння кіберзлочинності в 
кожній з країн збігається і передбачає крадіжку даних за допомогою інформаційних 
технологій, а правове регулювання поступово розвивається. Конвенцію Ради Європи 
про кіберзлочинність (ETS) No.185 підписали 68 країн. Що стосується 
відповідальності за кіберзлочини, то вона схожа для різних країн: штрафи та 
тюремне ув'язнення, але в США санкції суворіші, ніж в інших країнах. 
ESET (Міжнародна компанія, яка спеціалізується на розробці систем захисту 
від комп'ютерних вірусів, спаму, хакерських атак та інших кіберзагроз, регулярно 
проводить дослідження в області сучасного світового стану кіберзлочинності і 
публікує їх результати на своєму офіційному сайті. В одному з останніх звітів У 
таблиці 5 було визначено топ-10 країн, атакованих троянами-вимагачами. 
Трояни-вимагачі – це тип шкідливого програмного забезпечення, який став 
досить поширеним серед кіберзлочинців в останні роки, які, потрапляючи на 
комп'ютер, шифрують цінні файли таким чином, що їх неможливо відкрити, а творці 
трояна вимагають великий викуп за розшифровку. 
 
Таблиця 5 – Топ-10 країн, атакованих троянами-вимагачами  
Частка атакованих користувачів серед усіх 
 Країна 
користувачів продуктів «ESET» у країні, % 
 
Відповідальність за 
кіберзлочини 
1 Бангладеш 13.78 
2 Узбекистан 7.20 
3 Мозамбік 6.08 
4 Туркменістан 4.23 
5 Ефіопія 3.97 
6 Непал 3.86 
7 Афганістан 2.45 
8 В'єтнам 2.34 
9 Китай 1.94 
10 Індія 1.91 
 
У період з листопада 2020 року по жовтень 2021 року трояни-вимагачі 
атакували 755 485 унікальних користувачів, у тому числі 209 679 корпоративних 
користувачів і 22 440 користувачів, пов'язаних із малим і середнім бізнесом. 
У звіті також наведена статистика розподілу за країнами онлайн-джерел атак 
на комп'ютери користувачів, заблокованих продуктами "ESET" (рис. 4), і топ-країн, 
в яких користувачі піддавалися найбільшому ризику зараження через Інтернет (табл. 
6). 
 
 
Рисунок 4 – Розподіл джерел веб-атак за країнами,  
листопад 2020 – жовтень 2021 
 
 
Таблиця 6 – Топ-20 країн, найбільш схильних до ризику зараження через 
Інтернет 
Частка атакованих користувачів серед усіх 
 Країна 
користувачів продуктів «ESET» у країні, % 
1 Алжир 33,02 
2 Венесуела 30,25 
3 Туніс 29,50 
4 Греція 26,07 
5 Сербія 25,80 
6 Бангладеш 24,95 
7 Молдова 24,78 
8 Азербайджан 24,74 
9 Білорусь 24,52 
10 Польща 24,13 
11 Монголія 24,05 
12 Філіппіни 23,89 
13 Марокко 23,87 
14 Латвія 23,22 
15 Катар 22,94 
16 В'єтнам 22,57 
17 Тайвань 22,13 
18 Франція 21,99 
19 Португалія 21,97 
20 Італія 21,96 
 
За звітний період рішення "ESET" відбили 975 491 360 атак, запущених з 
онлайн-ресурсів по всьому світу. При цьому 90,83% від загальної кількості цих 
інтернет-ресурсів знаходилися всього в 10 країнах. 
 
У звіті "ESET" наводиться статистика банківських загроз, а також шкідливих 
програм для банкоматів і платіжних терміналів. На малюнку 5 показано кількість 
користувачів, атакованих фінансовим шкідливим програмним забезпеченням. 
 
 
Рисунок 5 – Кількість користувачів, атакованих фінансовим шкідливим програмним 
забезпеченням, листопад 2020 – жовтень 2021. 
 
Для оцінки та порівняння ризику зараження банківським шкідливим 
програмним забезпеченням, якому піддаються комп'ютери користувачів у різних 
країнах світу, у кожній країні (кількість користувачів "ESET" ≥ 10 000) підрахувала 
відсоток користувачів продуктів "ESET", які зіткнулися з цією загрозою протягом 
звітного періоду, у відсотках від усіх користувачів у країні (табл. 7). 
 
Таблиця 7 – Топ-10 країн за відсотком користувачів, атакованих банківським 
шкідливим програмним забезпеченням. 
Частка атакованих користувачів серед 
 Країна усіх користувачів продуктів «ESET» у 
країні, % 
1 Білорусь 2,8 
2 Південна Корея 2,6 
 
3 Венесуела 2,6 
4 Китай 2,4 
5 Греція 2,1 
6 Мальдіви 2,0 
7 Узбекистан 2,0 
8 Камерун 1,9 
9 Сербія 1,9 
10 Афганістан 1,8 
 
Таким чином, світовий ринок кіберзлочинності активно розвивається і 
приносить все нові і нові збитки. Кредитні та фінансові установи, як і раніше, 
залишаються однією з ключових мішеней кібершахраїв, і з кожним роком 
шахрайство злочинців стає все більш витонченим. 
Ситуація з кіберзлочинністю в України збігається зі світовою ситуацією і 
також має тенденцію до постійного зростання. Кібертероризм сьогодні стає однією з 
найпопулярніших форм тероризму . 
«Щорічний збиток від кіберзлочинності в України становить у середньому 1 
млрд гривень, порівняно з $8-15 млрд у Бразилії, $4-8 млрд в Індії, $25-26 млрд у 
Китаї та $0,6 млрд у Південній Африка.  
Наприкінці 2019 року компанія SYMANTEC, що спеціалізується на розробці 
програмного забезпечення у сфері інформаційної безпеки, провела дослідження, яке 
відображає актуальні кіберзагрози. Ключові висновки цього дослідження: 
 У 2021 році кількість унікальних кібератак зростала щомісяця, і до кінця 
року вона була на 19% вищою за кількість кібератак у 2020 році. 
 Найбільша кількість кібератак зафіксована на державні установи, 
промисловість, медицину, науку та освіту, фінансову галузь. На ці галузі припало 
більше половини всіх кібератак на юридичних осіб (54%). 
 Частка атак на промислові підприємства зросла до 10% порівняно з 4% у 
2020 році. Більшість кібератак здійснюється з використанням шкідливого 
 
програмного забезпечення (90%). 
 Частка цілеспрямованих атак (порівняно з масованими) зросла на 5 п.п. 
порівняно з 2020 роком і склала 60%. 
 Частка кібератак, спрямованих на викрадення інформації, склала 60% проти 
юридичних осіб та 57% проти фізичних осіб. Найбільший інтерес представляють 
особисті дані, рахунки і реквізити банківських карт. 
 Кількість заражень шкідливим ПЗ в 2021 році була на 38% вище, ніж в 2020 
році, що пов'язано не тільки з модернізацією шкідливого ПЗ, але і з методами його 
доставки. 
 Однією з найактуальніших кіберзагроз для компаній у всьому світі є трояни-
вимагачі. На них припадає 31% заражень шкідливим програмним забезпеченням 
серед юридичних осіб. 
У дослідженні також проаналізовано кількість атак на державні та фінансові 
організації, промислові та IT-компанії. Результати представлені на рисунку 6. 
 
 
Рисунок 6 – Кількість атак на державні та фінансові організації, промислові 
та IT-компанії у 2020-2021 роках 
 
За даними SYMANTEC, кількість кібератак на державний сектор, промислові 
компанії та ІТ-компанії зростає щоквартально, але кількість кібератак у фінансовому 
секторі зменшилася за перші три квартали, що є позитивним фактором для 
 
вітчизняної фінансової системи. У звіті також йдеться, що більшість кібератак не 
оприлюднюються через репутаційні ризики, тому оцінити точну кількість загроз 
неможливо навіть для організацій, які займаються розслідуванням інцидентів та 
аналізом дій хакерських угруповань. 
У грудні 2017 року було запущено Центр моніторингу та реагування на 
комп'ютерні атаки Банку України (CSIRT-NBU). CSIRT-NBU функціонує у складі 
Центру кіберзахисту Національного банку. 
В кінці 2019 року Банк України поділився аналізом системи обробки 
інцидентів CSIRT-NBU і Автоматизованої системи «Feed-AntiFraud». Важливо 
відзначити, що зусилля НБУ по залученню банків до обміну інформацією і звітністю 
не були марними – покращилася якість і обсяг даних підсумкової аналітичної 
роботи. Основні висновки за результатами цього звіту: 
 69% всіх шахрайських операцій з переказу коштів були вчинені за 
допомогою соціальної інженерії шляхом обману клієнтів, обсяг розкрадання 
становить 250 млн гривень, на тлі загального обсягу операцій з використанням 
електронних платіжних засобів ; 
 Середня вартість крадіжки становить: для фізичних осіб — 10 тисяч гривень 
(тенденція до безлічі дрібних крадіжок), для юридичних осіб — 152 тисячі гривень; 
 Більшість інцидентів пов'язані з операціями з оплати товарів і послуг в 
мережі Інтернет (транзакції CNP) і методами соціальної інженерії (шахрайство); 
 Частка обсягу транзакцій без явної згоди клієнтів становить 0,0023%; 
 
У звіті Фінзерта також зазначається, що у 2021 році спостерігалося 
зменшення кількості спроб атак на кредитні та фінансові установи. Інтерес 
злочинних угруповань, які раніше активно атакували банки та інші організації 
кредитно-фінансового сектора України, змістився в бік країн СНД та інших 
зарубіжних країн. 
У зв'язку з останніми подіями у всьому світі та активним розвитком пандемії 
коронавірусу, питання кібербезпеки стає актуальним як ніколи. 13 березня 2020 
 
року антивірусна компанія ESET опублікувала звіт про те, як кіберзлочинці 
наживаються на коронавірусі. 
Шахраї поширюють інформацію від імені Всесвітньої організації охорони 
здоров'я (ВООЗ), закликаючи користувачів переходити за шкідливими посиланнями, 
тим самим викрадаючи особисту інформацію та платіжні дані, отримуючи доступ до 
облікових записів жертв. Також кіберзлочинці вдаються до фейкових благодійних 
кампаній з пошуку вакцини від коронавірусу, а також до фейкових оголошень про 
продаж медичних масок та дезінфікуючих засобів для рук. Наприклад, у лютому 
2020 року на такій кампанії у Великій Британії було зароблено щонайменше 800 000 
фунтів стерлінгів ($1 млн.). 
Так, порівняльний аналіз поточного стану ринку кіберзлочинності в Україні 
та світі показав, що в цілому кількість і якість кібератак продовжує щорічно 
зростати, що супроводжується збільшенням збитків як вітчизняній економіці, так і 
економікам інших країн. Що стосується банківського сектора, то тут є деякі 
позитивні тенденції: в 2023 році сума збитків значно знизилася. Це пов'язано з тим, 
що кредитні організації почали активно вкладати кошти в зміцнення своєї 
інформаційної безпеки. Однак, незважаючи на це, кібершахраї, володіючи великими 
знаннями в області комп'ютерних технологій, з часом зможуть винаходити нові види 
атак, від яких не зможуть врятуватися навіть найзахищеніші банки. Тому 
кібербезпека потребує постійної уваги та моніторингу. 
1.4 Актуальні проблеми управління кіберризиками в банківському 
секторі та шляхи їх вирішення 
Впровадження сучасних інформаційних технологій та інновацій, що 
спрямоване на поліпшення життя людства, а також процеси глобалізації та 
інтеграції, паралельно з ними, призводять до активного розвитку нових методів 
шахрайства. Кіберзлочинність, як один із ключових сучасних видів шахрайства, вже 
перетворилася на глобальну міжнародну проблему. Розвиток кіберзлочинності 
відбувається дуже динамічно, і постійно виникають нові проблеми. 
Основні проблеми, що породжують розвиток кіберзлочинності: 
 Складність у визначенні джерела загрози – труднощі з розпізнаванням, 
 
звідки надійшла атака та хто її ініціював, через дедалі витонченіші методи шахраїв; 
 Складність розробки контрзаходів полягає у складності розробки заходів 
протидії кіберзлочинності та оцінки кіберризиків через некомпетентність учасників 
фінансового ринку в питаннях кібербезпеки; 
 Опора на стандартні засоби захисту – переконання деяких учасників ринку в 
тому, що стандартні засоби захисту, такі як оновлений антивірус, остання версія 
операційної системи, використання брандмауерів або засобів запобігання витокам 
(DLP), зупинять зловмисників на одному з етапів розвитку атаки; 
 Транснаціональний характер мережі та відсутність механізмів контролю – 
децентралізована структура мережі та відсутність національних кордонів у 
кіберпросторі призвели до можливостей для зростання злочинності; 
 Кількість користувачів мережі Інтернет – зі збільшенням кількості 
користувачів збільшуються такі фактори ризику: зростає залежність суспільства від 
інформаційних технологій, його вразливість до різного роду інформаційних 
посягань; зростає можливість використання мережі для вчинення злочинів; 
 Автоматизація та швидкість використання – підвищення ризику скоєння 
множинних злочинів без особливих фінансових та тимчасових витрат, а також поява 
у шахраїв можливості накопичувати великі фінансові прибутки шляхом крадіжки 
невеликих сум у тисяч користувачів, що створює проблеми у виявленні злочинів та 
порушенні кримінальних справ; 
 Анонімність Інтернету – різні способи залишитися непоміченими в інтернеті 
часто призводять до бажання вчинити протиправні дії; 
 Недосконалість законодавства – правове регулювання у сфері 
кіберзлочинності розвинене слабо. Часто виникає невизначеність у поділі елементів 
композиції 
 Кіберзлочини, як би вони точно описані в законодавчих актах, це призведе 
до зниження універсальності застосування закону, а також до зменшення 
можливості покриття нових видів кібератак, що швидко з'являються. 
 Напружена політична ситуація у світі – небажання окремих держав 
 
співпрацювати з питань кібербезпеки; 
 Приховування фактів про кібератаки – це бажання організацій не 
розголошувати інформацію про те, що вони стали жертвою кібершахрайства та 
рівень збитків. Більшість організацій не хочуть втрачати ділову репутацію, тому 
намагаються приховати інформацію про скоєні злочини. Звідси і проблеми 
виявлення та попередження таких злочинів. 
 Неефективність роботи правоохоронних органів, в тому числі 
невідповідність рівня оснащеності правоохоронних органів рівню кібершахраїв; 
нерозвиненість методології цифрової криміналістики; а також неефективна 
взаємодія з державою, суспільством та інституціями у сфері кібербезпеки. 
 Дефіцит кваліфікованих кадрів – у 2020 році кількість незаповнених 
вакансій у сфері кібербезпеки зросте: з 1 млн у 2014 році до 3,5 млн до 2020 року. 
Шляхи розв'язання проблем, що розглядаються, запропоновані автором, 
представлені в таблиці 8. 
 
Таблиця 8 – Основні проблеми, що призводять до розвитку кіберзлочинності, 
та шляхи їх вирішення 
№ Проблема Шляхи вирішення 
1 2 3 
Складність у визначенні Інвестиції в дослідження в галузі кібербезпеки, 
1 
джерела загрози виділення грантів, усіляке стимулювання IT-
2 Анонімність мережі Інтернет фахівців 
Складність вироблення Навчання фінансистів та економістів основ 
3 
заходів протидії кібербезпеки, підвищення їх компетентності в 
Надія на стандартні засоби питання захисту від кібератак; збільшення числа 
4 
захисту та якості форумів, що проводяться 
Транснаціональність мережі 
Партнерство найбільших Інтернет-ресурсів з 
5 та відсутність механізмів 
метою припинення кібератак 
контролю 
Швидко зростаюче кількість Підвищення IT-грамотності користувачів 
6 
користувачів мережі Інтернет Інтернету, щоб уникнути кіберзлочинів 
 
Автоматизація та швидкість внаслідок неуважності, незнання та інших 
7 
використання людських факторів 
Посилення покарання за кіберзлочини; 
класифікація покарань залежно від видів 
8 Недосконалість законодавства 
кібератак; впровадження нових нормативно-
правових актів щодо аналізованої проблемі 
Прагнення до міжнародного співробітництва, 
Напружена політична створення сприятливих умов для партнерства з 
9 
обстановка у світі іншими державами, проведення міжнародних 
форумів/нарад/зустрічей 
Посилення санкцій за приховування інформації 
Приховування фактів про про кібератаках, що відбулися, підтримка 
10 
кібератаках, що відбулися організацій-жертв у ЗМІ для зниження ризику 
втрати ділової репутації 
Стимулювання правоохоронних органів до 
розслідування кіберзлочинів, забезпечення їх 
Неефективність роботи 
11 належним обладнанням та навичками, надання 
органів внутрішніх справ 
можливості отримати дод. кваліфікацію 
співробітникам 
Формування культури підтримки безпеки та 
підвищення цінності виконуваних фахівцями з 
Нестача кваліфікованих 
12 кібербезпеки функцій, інвестиції у 
кадрів 
співробітників, одержання ними дод. 
кваліфікації та перенавчання 
 
Таким чином, для боротьби з кіберзлочинністю необхідно співпрацювати з 
іншими державами, розробляючи міжнародні методи протидії. На даний момент 
Україна розробляє різні документи для міжнародного співробітництва, зокрема 
виконано Конвенцію про кіберзлочинність, яка враховує Конвенцію ООН проти 
корупції, Конвенцію ООН проти транснаціональної організованої злочинності, 
Конвенцію Ради Європи про кіберзлочинність, а також низку інших 
антитерористичних конвенцій. Україна повинна і надалі прагнути до міжнародного 
співробітництва, висуваючи свої пропозиції та підтримуючи ініціативи інших країн, 
 
незважаючи на напружену політичну ситуацію. 
Важливою є і боротьба з кіберзлочинністю на державному рівні. Основою є, 
звичайно ж, розробка та імплементація нових законів, а також внесення змін до 
діючих нормативно-правових актів. Рекомендується посилити покарання за 
кіберзлочини. Також рекомендовано посилити санкції за приховування інформації 
про кібератаки. 
Державі або окремим компаніям необхідно періодично вживати заходів щодо 
підвищення рівня ІТ-грамотності інтернет-користувачів, щоб уникнути 
кіберзлочинів через людський фактор. Організаціям, зокрема комерційним банкам, 
варто приділити увагу навчанню фінансистів та економістів основам кібербезпеки, 
підвищенню їхньої компетенції у захисті від кібератак. 
Важливо проводити різні конференції та форуми та підвищувати їх якість. На 
такі заходи необхідно залучати топових IT-спеціалістів, щоб вони могли поділитися 
своїм досвідом. 
Для забезпечення кібербезпеки комерційним банкам рекомендовано 
розробляти економіко-математичні моделі прогнозування напрямку кібератак та 
оцінки потенційного збитку (ризиків). Також необхідно розробити власні системи 
інформаційної безпеки, оптимізувавши процеси файлообміну всередині банку, і 
використовувати спеціальні системи ідентифікації, що визначають наявність права 
доступу для захисту внутрішньої мережі банку, а також потужні антивіруси та 
спеціальні апаратні модулі безпеки. Популярними розробниками банківських систем 
безпеки є лідери ринку з великим досвідом роботи в цій сфері, такі як Group IB, 
Cisco і Data Protection Systems. 
Незважаючи на складні системи безпеки, банк не завжди зможе відбити 
хакерську атаку. У разі, якщо кібератака все-таки завдасть шкоди, витрати банку на 
ліквідацію її наслідків величезні, досягаючи мільйонів, а в рідкісних випадках і 
мільярдів доларів США. Вони включають в себе багато витрат, таких як: витрати на 
ІТ-розслідування; Відновлення системи юридичні послуги; відновлення репутації 
тощо. 
У цьому випадку страхування кіберризиків  є ефективним економічним 
 
інструментом. Однак кіберстрахування не особливо розвинене на українському 
ринку, його пропонують лише деякі компанії.  
Таким чином, управління кіберризиками в банківському секторі України на 
сучасному етапі розвинене слабо. Необхідно вдосконалити підхід до оцінки даного 
виду ризику, законодавчу базу, а також методи управління. Адже те, наскільки 
стрімко зростає кількість кіберзлочинності та які збитки вона тягне за собою, стає 
однією з головних проблем для сучасних комерційних банків, яку необхідно 
вирішувати негайно. 
 
РОЗДІЛ 2 АНАЛІЗ ДІЯЛЬНОСТІ БАНКУ В ПРОЦЕСІ ФОРМУВАННЯ 
СИСТЕМИ КІБЕРБЕЗПЕКИ 
 
2.1 Комплексний аналіз системи кібербезпеки банку 
Комерційним організаціям, особливо банкам, необхідно підтримувати рівень 
кібербезпеки на належному рівні, щоб убезпечити себе від небажаних втрат. Однак 
це вимагає значних зусиль і витрат, тому цим займаються далеко не всі кредитні 
організації, зокрема невеликі банки. 
Незважаючи на всі зусилля, кількість кібератак зростає з кожним роком, але 
кредитні установи поступово вчаться їм протистояти.  
Об'єктивно оцінити дані непросто, так як банки не хочуть розголошувати 
дані про кібератаки і, особливо, про наслідки та збитки. Це одна з головних проблем 
розвитку кіберзлочинності в України. 
Таким чином, можна відзначити, що Приватбанк має високий рівень 
кібербезпеки і не тільки захищає себе і своїх клієнтів, а й сприяє національному і 
глобальному співробітництву в боротьбі з кіберзлочинністю.  
Були визначені основні напрямки боротьби з кіберзлочинністю в 
Приватбанк: 
1. Захист CORE систем – ключових кореневих систем, в яких зберігається вся 
інформація про облікові записи та клієнтів, шляхом впровадження найсучасніших 
технологій та процесів управління безпекою. Периметрів кілька, і будь-які спроби 
проникнути в інфраструктуру Приватбанк відбиваються на різних рівнях захисту. 
2. Зміна підходів до розробки продукту. Раніше розроблялися продукти і 
потім проводився аналіз їх безпеки, але зараз при обговоренні концепції продукту 
спочатку встановлюються деякі безумовні принципи безпеки для програмістів, які 
реалізуються в програмному коді; 
3. Зосередьтеся на захисті клієнтів завдяки успішній роботі центру 
моніторингу шахрайства, який контактує з клієнтом під час нестандартних 
транзакцій та допомагає уникнути шахрайських дій з боку кіберзлочинців. 
Ефективність роботи центру моніторингу шахрайства Приватбанк має одні з 
 
найкращих показників у світі – близько 97% шахрайських операцій хеджуються та 
приховуються; 
4. У разі кібератаки проведення досліджень для виявлення шахраїв; 
5. Впровадження принципів кіберкультури, проведення навчань серед 
співробітників, проведення роз'яснювальної роботи; 
6. Робота Security Operation Center, який цілодобово відстежує всі 
кіберзагрози навколо систем Приватбанк; 
7. Сертифікат відповідності міжнародному стандарту інформаційної безпеки 
від Британського інституту стандартів (BSI); 
Таким чином, проаналізувавши основні напрямки боротьби з 
кіберзлочинністю, можна зробити висновок, що Приватбанк витрачає величезні 
кошти на кібербезпеку і завдяки цьому має один з найнижчих рівнів збитку від 
кібершахраїв серед комерційних банків України. Витрати на кібербезпеку є значною 
статтею витрат у фінансовій політиці комерційного банку. 
 
2.2 Аналіз моделі оцінки ризиків кібербезпеки банку 
Одним із ключових напрямків боротьби з кіберзлочинністю в сучасному 
банківському секторі є розробка економіко-математичних моделей прогнозування 
напрямку кібератак та оцінки потенційного збитку (ризиків). 
Моделювання кіберризиків організацій, зокрема комерційних банків, 
розвинене слабо через новизну проблеми та складність оцінки таких ризиків. Банки 
не хочуть розголошувати інформацію про наявні засоби захисту від кібершахраїв, а 
також про кібератаки, що відбулися, і завдані збитки. 
Модель оцінки ризиків кібербезпеки Приватбанк постійно вдосконалюється, 
щоб бути актуальною та ефективною у зв'язку зі стрімкою еволюцією кібератак, які 
з кожним днем стають все більш витонченими та потужними. 
Незважаючи на те, що моделей оцінки ризиків існує безліч, фахівці 
Приватбанк вирішили розробити власну методологію оцінки кіберризиків, адже 
зіткнулися з низкою проблем при виборі відповідного методу: 
 Всі методи погано пристосовані до великого обсягу оброблюваної 
 
інформації і значної кількості банківських процесів (через масштабність, адже 
Сбербанк є найбільшим банком СНД); 
 Недоцільність використання підходів, що вимагають оцінки вартості активів, 
адже вартість не кожного активу банку піддається кількісній оцінці (наприклад, 
складно оцінити вартість продукту «Сбербанк Онлайн»), а також тому, що вартість 
таких активів змінюється щодня, і оцінити цю динаміку непросто; 
 Неуніверсальність використання методів сценарного аналізу, які мають на 
увазі, що ймовірність настання інциденту дорівнює добутку ймовірностей всіх 
подій, які в кінцевому підсумку призвели до нього. Ці моделі підходять не для всіх 
видів ризику. Так, вони ефективні для 
 Аналіз збоїв і збоїв доступності, але не підходять для оцінки ризику витоку 
інформації. 
 Складність використання точкових методів оцінки ризиків, обумовлена 
необхідністю їх уточнення, що дозволило б об'єднати численні фактори, що 
впливають на ризик, в єдину оцінку і т.д. 
Ключові аспекти, на які спиралися фахівці при створенні інструменту оцінки 
кіберризиків: 
1. Об'єктивне уявлення про рівень кібератаки; 
2. Простота і зручність в процесі оцінки; 
3. Залучення експертів у різних сферах (безпека, бізнес, ІТ тощо) до оцінки 
ризиків кібербезпеки; 
4. Універсалізація методології оцінювання для можливості порівняння 
результатів оцінювання та ранжування їх за рівнем важливості; 
5. Здатність оцінювати динаміку рівня ризику у разі зміни певних зовнішніх 
або внутрішніх факторів. 
При розробці методики за основу була взята класична формула ризику (1), 
що представляє собою ймовірність настання ініціатора, помножену на величину 
можливого збитку. 
          (1) 
 
 
 
де U - сума можливого збитку, 
p - ймовірність настання ризикової події. 
Визначено перелік факторів ризику, що впливають на два ключові показники 
(U  та p), та представлено в таблиці 9.  
 
Таблиця 9 – Система факторів ризику 
Шкода(U) ІМОВІРНІСТЬ(p) 
Критичність 
Актуальні загрози 
інформаційного активу 
Вразливості, через які можуть 
Оброблювані дані 
реалізовувати загрози 
Порушення функціонування * 
Потенціал порушника 
процесів 
Невдоволення клієнтів та 
партнерів 
Ефективність захисних заходів 
Репутаційні втрати 
Санкції регуляторів 
 
Таким чином, оцінка ризиків кібербезпеки проводиться в 3 етапи. 
Перший етап. Формування системи факторів ризику для оцінюваного виду 
ризику. Для кожного виду кіберризику експерти визначають перелік актуальних 
загроз, вразливостей та заходів захисту. 
Другий етап. Експертна оцінка факторів ризику. Незалежно один від одного 
експерти оцінюють кожен фактор ризику за чотирирівневою шкалою (рис. 7 і 8). 
Рівень ризику визначається добутком оцінок шкоди та ймовірності, встановлених 
експертом. 
 
 
 
 
 
 
Рисунок 7 – Критерії оцінки факторів ризику індикатора ймовірності 
 
 
 
Рисунок 8 – Критерії оцінки факторів ризику індикаторів пошкоджень 
 
Також на цьому етапі визначається вага кожного фактора ризику, щоб 
зменшити вплив некритичних факторів на підсумковий показник ризику. Так, 
наприклад, для ризику витоку інформації оцінка збитку від порушення процесів не 
буде критичною, в той час як параметр 
«Категорія інформації» є визначальною, і її вагу потрібно підвищувати. Ваги 
факторів оцінюються за шкалою від 1 до 9. 
Третій етап. Розрахунок рейтингу кіберризиків. На даному етапі 
спостерігається істотна відмінність методології Приватбанк від всіх інших. Перевага 
полягає в тому, що можна об'єднати велику кількість думок і ваг в єдине значення 
рейтингу ризику (R), на відміну від 
Від, наприклад, класичного табличного методу, при якому рівень ризику 
знаходиться на перетині відповідного рядка ймовірності і стовпця збитку, не маючи 
можливості оперувати великою кількістю експертних висновків. 
Для розрахунку підсумкового рейтингу ризику (R) методика використовує 
матричний метод розрахунків, який агрегує всі якісно оцінені фактори в одне 
 
кількісне значення. Це дозволяє врахувати не тільки різноманіття думок експертів, 
але і різницю в вагах, що підвищує об'єктивність оцінки. Рейтинг ризику (R), 
виражений числом від 0 до 1, і відповідний рівень ризику визначаються в таблиці 
10. 
 
Таблиця 10 – Система визначення рейтингу (R) Рівень ризику 
Рейтинг 
Низький Середній Високий Критичний 
ризику 
0,25 ≤ R < 0,5 ≤ R < 
R R < 0,25 0,75 ≤ R 
0,5 0,75 
 
Таким чином, модель оцінки кіберризиків Приватбанк сприяє вирішенню 
ключових завдань щодо забезпечення кібербезпеки банку: 
 Результатом оцінки є діапазон значень рейтингу ризику, що дає можливість 
порівнювати результати оцінки та ранжувати їх за рівнем важливості; 
 Оцінити динаміку рівня ризику можна при незначній зміні тих чи інших 
факторів ризику; 
 Методологія застосовна на будь-якому рівні оцінювання; 
 Алгоритм і критерії оцінки досить зрозумілі для всіх співробітників, 
включаючи бізнесменів і співробітників відділу безпеки; 
 Процес оцінки експертами не вимагає великої кількості часу, простий і 
зручний у використанні. 
 
 
 
 
 
 
 
 
РОЗДІЛ 3 РЕКОМЕНДАЦІЇ ЩОДО ВДОСКОНАЛЕННЯ МЕТОДОЛОГІЇ 
ОЦІНКИ КІБЕРРИЗИКІВ В БАНКУ 
 
3.1 Загальні рекомендації щодо вдосконалення системи мінімізації 
кіберризиків у банківській сфері 
На сучасному етапі, чим більше розвинений ринок в «цифровому» аспекті, 
тим більше він схильний до «витрат цивілізації» у вигляді інформаційних втрат. 
Зростання невизначеності в глобальному конкурентному середовищі підтверджує 
актуальність пошуку нових підходів до забезпечення інформаційної безпеки, 
зокрема, кібербезпеки підприємства/банку на зовнішніх ринках та стимулювання 
потенціалу їх розвитку. 
У пункті 1.2 цієї магістерської роботи були виокремлені основні існуючі 
напрямки боротьби з кіберзлочинністю, включаючи міжнародне співробітництво, 
боротьбу на рівні окремої держави, а також на рівні окремої організації (банку). 
Ґрунтуючись на існуючих методах захисту від кібершахраїв, автором запропоновано 
загальні рекомендації щодо вдосконалення системи мінімізації кіберризиків у 
банківській сфері, що включає такі напрями: 
Міжнародне співробітництво. 
Одним із найважливіших напрямків боротьби є взаємовигідне 
співробітництво між країнами, розвиток спільних напрямків діяльності 
законодавчих органів, науковців, фахівців у галузі ІТ-технологій, спрямованих на 
боротьбу зі злочинністю у глобальних інформаційних мережах. В рамках 
міжнародного співробітництва нашій державі необхідно: 
 Брати участь в розробці міжнародних нормативних актів, залучаючи не 
тільки чиновників, а й IT-фахівців, так як в цьому випадку потрібні спеціальні 
знання в області інформаційних технологій і програмного забезпечення. 
 Розробити (або взяти участь у розробці у співпраці з іншими державами) 
єдиний глобальний акт, який регулює порядок протидії кіберзлочинцям, а також 
фіксує всі ключові поняття, щоб уникнути різних тлумачень термінології та суті 
злочинів, скоєних у різних країнах. 
 
 Проводити міжнародні форуми, конференції та наукові виставки з 
кібербезпеки (а також брати участь у тих, що проводяться іншими країнами). 
Удосконалення нормативно-правової бази. 
В Україні Конституція України є основою правового регулювання відносин в 
Інтернет-сфері. Основним законом, що регулює свободу доступу до інформації, є 
стаття 34 конституції України «Кожному гарантується право на свободу думки і 
слова, на вільне вираження своїх поглядів і переконань». Крім того, Указом 
Президента No.47/2021 від 29 грудня 2016 року затверджено Доктрину 
інформаційної безпеки України. 
Загальний аналіз вітчизняного законодавства дозволяє зробити висновок, що 
поняття «кіберзлочинність», «кіберзлочинність» і «кібертероризм» не закріплений 
на національному рівні, регулюються лише окремі види злочинів. 
Дії кібершахраїв на території України, в залежності від мети і мотивів, 
можуть передбачати кримінальну, адміністративну і цивільну відповідальність. 
Найбільшу роль з точки зору правового тягаря відіграє кримінальна 
відповідальність. Згідно з Кримінальним кодексом України, максимальними 
санкціями, що застосовуються до кіберзлочинців, є позбавлення волі на строк до 7 
років. 
Таким чином, на підставі розглянутої нормативної бази України щодо дій 
кіберзлочинців пропонуються наступні рекомендації: 
 Розробка законопроекту в області кібербезпеки, що включає введення на 
законодавчому рівні загальноприйнятих понять кіберзлочинності, методів боротьби 
з нею, видів комп'ютерних злочинів з урахуванням інтересів провідних IT-фахівців 
країни, підприємців і наукового співтовариства; 
 Доопрацювання і вдосконалення законодавчих актів України відповідно до 
нових видів кіберзлочинності; 
 Структурування державної нормативно-правової бази у сфері кібербезпеки; 
 Кібертероризм виділено в окремий пункт через його відмінності від інших 
кіберзлочинів з точки зору наявності терористичної ідеології, цілей, спрямованості 
 
на залякування населення; 
 Посилення покарань за кіберзлочини, зокрема, за атаки на фінансові 
установи; 
 Внесення змін, які передбачають санкції за приховування інформації про 
кібератаки, що відбулися. 
Підвищення якості освіти, підготовки технічних та юридичних кадрів. 
Необхідно підвищити привабливість спеціальностей, пов'язаних з 
інформаційними технологіями, виділити більше бюджетних місць за цими 
напрямками, а також збільшити погодинне навантаження з предметів, пов'язаних з 
навчанням інформаційних технологій студентів усіх спеціальностей. Це необхідно, 
тому що кіберзлочинність розвивається абсолютно у всіх галузях, тому економісти, 
лікарі, інженери тощо також повинні бути «підкованими» в основах ІТ, щоб 
уникнути кібератак, які відбуваються через людський фактор. 
Також важливо приділити увагу підготовці співробітників органів 
внутрішніх справ (ОВС). Необхідно розробляти нові теми, розділи та спецкурси, 
присвячені розслідуванню злочинів у сфері інформаційних технологій, кібербезпеки 
та захисту інформації. 
Створення ефективної взаємодії ОВС з державою, суспільством та 
інституціями. 
Необхідно сформувати систему оперативного обміну інформацією з 
банківськими організаціями, фінансово-кредитними установами та операторами 
мобільного зв'язку. Інформація має бути отримана шляхом тривалих процедур 
координації, надсилання запитів, листів до служби безпеки, проведення слідчих дій, 
судового дозволу. Це вплине на розкриття злочинів «по гарячих слідах», спростить 
процес розслідування, не дозволяючи злочинцям приховувати сліди протиправних 
дій. 
Розробка механізму страхування кіберризиків. 
Страхування кіберризиків як окремий продукт – велика рідкість для 
вітчизняного ринку. 
На сучасному етапі відсутня законодавча база або судова практика для більш 
 
широкого поширення цього виду страхування. Ще одна серйозна перешкода - 
відсутність в українських страхових компаніях фахівців, які мають уявлення про 
структуру ризику. Тому для розвитку кіберстрахування на вітчизняному ринку 
рекомендується: 
 Використовуйте фронтування. Оскільки страхування кіберризиків 
недостатньо перспективне і занадто ризиковане, на допомогу прийде 
 Вітчизняні страхові компанії можуть отримати вигоду від фронтінгу. В 
цьому випадку українським страховим компаніям краще залишити собі мінімальну 
частку ризику, а решту передати іноземному партнеру; 
 Підвищити кваліфікацію працівників страхових компаній для можливості 
виходу на ринок страхування кіберзагроз; 
 Використовувати передові аналітичні розробки (такі як блокчейн, 
андеррайтинг) для оцінки кіберризиків, оскільки у вітчизняній практиці відсутня 
загальноприйнята методологія; 
 Удосконалення віртуального сервісу та цифрової дистрибуції для зниження 
витрат, досягнення конкретних позитивних результатів та покращення ринку 
кіберстрахування; 
 Запровадження податкових пільг для страхування кіберризиків, у тому числі 
віднесення страхових премій за ними до витрат на їх облік. 
 
3.2 Розробка методу оцінки ризиків кібербезпеки 
Проаналізувавши багато існуючих моделей оцінки ризиків, було зроблено 
висновок, що не кожен метод підходить для розробки підходу до оцінки кіберризику 
як основи. В кінцевому підсумку було прийнято рішення використовувати алгоритм, 
що використовується в методі CRAMM, в якості основи для якісного методу; а 
кількісний метод слід запозичити з алгоритму методу ГРІФ. 
Метою даного дослідження не є розробка програмного забезпечення та 
розгляд інших технічних аспектів цієї проблеми, тому підхід ґрунтуватиметься лише 
на теоретичних рекомендаціях та описах алгоритмів, які згодом можуть стати 
 
основою для створення спеціальних програм. 
Основні етапи запропонованого підходу до оцінки кіберризиків та їх стислий 
опис представлені в таблиці 11. 
 
Таблиця 11 – Основні етапи запропонованого підходу до оцінки кіберризиків 
№ Найменування Коротка характеристика 
Визначення розмірів аналізованої 
інформаційної системи банку; меж 
1 Підготовчий прийняття ризику; переліку основних 
кіберзагроз; учасників проведення аналізу 
кібер-ризиків 
Виділення інформаційних ресурсів – 
2 Дослідницький потенційних цілей кібератак, сканування 
системи на наявність вразливостей 
Аналіз рівня кібер-ризиків у банку із 
3 Оцінка ризиків застосуванням кількісних та якісних 
методів 
Прогноз подальших дій щодо управління 
кіберрисками; складання планів; 
4 Прогнозний 
використання різних пропозицій щодо 
кібербезпеки банку 
генерація звітів; розрахунок різних 
5 Завершальний фінансових показників за підсумками 
проведеного дослідження 
 
На  підготовчому  етапі визначається розмір даної інформаційної системи, 
висвітлюються межі прийняття ризику, а також категорії персоналу і користувачів, 
що беруть участь в дослідженні, і їх роль в аналізі кіберризиків. Крім того, на 
даному етапі класи основних джерел кіберзагроз - це ті, які притаманні даному 
 
банку. За основу пропонується взяти перелік джерел загроз інформаційній безпеці 
кредитних організацій, представлений в рекомендації в області стандартизації Банку 
України. 
На другому  етапі проводиться більш детальне вивчення загроз, виявлених на 
першому етапі. Виділяються інформаційні ресурси, які можуть стати об'єктом 
кібератаки, а також проводиться сканування системи на наявність вразливостей. 
Етап оцінки ризиків  є найважливішим етапом у запропонованій методиці. 
Передбачається, що оцінка кіберризиків буде здійснюватися наступним чином. 
В її основі лежить класична теорія ризику, тобто ризик співвідноситься з 
очікуванням збитків, які можуть виникнути в результаті реалізації того чи іншого 
несприятливого явища. Спочатку якісним методом визначається рівень ризику, а 
потім розраховується кількісне значення. 
При проведенні якісної оцінки використовується метод отримання 
індивідуальної думки членів експертної групи, а не метод колективної роботи, 
оскільки це дозволяє підвищити об'єктивність оцінки і зменшити залежність 
експертних висновків один від одного. Метод отримання індивідуальної думки 
членів експертної групи заснований на попередньому зборі інформації від експертів, 
опитаних незалежно один від одного, з подальшою обробкою отриманих даних. 
Якісна оцінка кіберризику здійснюється на основі модифікованого 
алгоритму, що використовується в  методиці CRAMM (CCTA Risk Analysis and 
Management Method). (Модель оцінки ризиків кібербезпеки в Приватбанк, 
розглянута в пункті 2.2 цієї магістерської роботи, також частково заснована на 
методології CRAMM.) Суть цього алгоритму полягає у розгляді трьох основних 
показників: 
 Рівень загрози 
 Рівень уразливості 
 Сума очікуваних збитків. 
Рівень загроз оцінюється, залежно від експертної оцінки, як "дуже 
високий", "високий", "середній", "низький" і "дуже низький".  
 
Думка експертів переводиться в кількісну складову на підставі таблиці 
16. 
 
 
 
 
 
Таблиця 12 – Шкала перекладу експертних висновків у кількісну складову 
при оцінці рівня загрози 
Рівень загрози 
Рецензування Значення у % 
"Дуже низький" 0 – 20% 
"Низький" 21 – 40% 
«Середній» 41 – 60% 
"Високий" 61 – 80% 
"Дуже висока" 81 – 100% 
 
Для оцінки рівня вразливості кожного виду кіберризику експерти визначають 
перелік актуальних загроз, вразливостей та заходів захисту (табл. 13). 
 
Таблиця 13 – Критерії оцінки факторів ризику при визначенні рівня 
вразливості кіберризику 
Ризик-фактори 
Загроза Вразливість Ефективніс
Ба Ймовірн
Можливіст (Частота Потенциал ть 
л ість 
ь (Частота використанн нарушителя захисних 
реалізації) я) заходів 
- Користувачі 
автоматизовано
ю системи Подія 
1 раз на 
1 раз на день (АС); точно 
4 день і Неістотна 
і частіше - Адміністратор станетьс
частіше 
и АС; я 
- Спецслужби; 
- Терористичні 
 
та злочинні 
групи;  
- Хакери 
Подія 
1 раз на - Конкуруючі 
1 раз на день швидше 
день - 1 організації; 
3 - 1 раз на Невисока всього 
раз на - Розробники 
місяць станетьс
місяць ПЗ та техніки 
я 
- Колишні Подія 
1 раз на 1 раз на співробітники;  можлив
2 місяць - 1 місяць - 1 - Треті особи, Висока о 
раз в рік раз в рік які залучаються станетьс
за договором я 
Подія 
швидше 
Рідше 1 Рідше 1 раз - Особи без Дуже 
1 не 
раз на рік на рік кваліфікації висока 
станетьс
я 
 
Фахівці, незалежно один від одного, оцінюють кожен фактор ризику за 
чотирибальною шкалою. За результатами оцінки ймовірність настання побічної 
події розраховується у відсотках. 
Для  оцінки розміру очікуваних збитків експерти аналізують критерії оцінки 
факторів ризику показника збитку відповідно до таблиці 14. 
 
Таблиця 14 – Критерії оцінки факторів ризику при визначенні розміру 
очікуваних збитків 
Ризик-фактори З
б
Б Поруше Репутація 
Категорія Критич Клієнти Регулят и
а ння (розголос 
інформаці ність та ори т
л процесі у 
ї АС партнери  к
в ЗМІ) 
и 
4 В
Втрата и
Збої у Позапл
довіри с
кількох анові 
значної о
процеса перевір
частини к
х; ки; Національ
Комерцій Дуже клієнтів и
згортан великі ний та 
на критич та й
ня штрафи міжнародн
таємниця на партнері  
процесі до ий рівень 
в; в
в та припин
поява п
напрям ення дії 
судових л
ків ліцензії 
позовів и
в 
 
3 С
е
Масове р
Штраф
невдовол е
и; 
ення д
Банківськ Збої в підвищ
клієнтів; н
а Високо одинич ений 
відтік і
таємниця, критич них увага в Інтернет 
частини й
персональ на процеса вигляді 
клієнтів  
ні дані х листів 
та в
та 
партнері п
запитів 
в л
и
в 
2 Н
и
Вплив з
Припис
на Невдово ь
и при 
швидкі лення к
перевір
Службова сть клієнтів, и
Критич ках без Регіональн
інформаці процес що не й
на накладе ий рівень 
я у без призводи  
ння 
приведе ть до в
штрафі
ння до відтоку п
в 
збоїв л
и
в 
1 Н
е
з
н
а
Невдово ч
Загальнод лення н
Не Безрозп
оступна Не одиничн Не и
критич орядже
інформаці вплине их станеться й
на нь 
я клієнтів  
(не VIP) в
п
л
л
и
в 
 
Аналогічно оцінці рівня вразливості, експерти, незалежно один від одного, 
оцінюють кожен фактор ризику за чотирибальною шкалою. За результатами оцінки 
розраховується розмір збитку від настання побічної події з переведенням на 10-
бальну шкалу. 
При переході від якісного до кількісного аналізу вводяться назви змінних, які 
є основними в алгоритмі кількісного методу оцінки. Для наочності вхідні параметри 
 
для якісного і кількісного аналізу представлені в таблиці 15. 
 
Таблиця 15 – Відповідність вхідних змінних якісних та кількісних методів 
оцінки кіберризиків 
Кількісна оцінка 
Якісна оцінка Одиниці 
Позначення Опис 
вимірювання 
Критичність 
Рівень загрози ER реалізації % 
загрози 
Рівень Ймовірність 
вразливості P(V) реалізації % 
ресурсу загрози 
Розмір 
очікуваних Критичність 
D Від 1 до 10 
фінансових ресурсу 
втрат 
 
Кількісна оцінка проводиться на основі алгоритму з методики ГРІФ. 
1. Розраховується рівень загрози вразливості (Th) на основі критичності 
(ER) та ймовірності реалізації кібератаки (P(V)). Розрахунок проводиться за 
формулою 2:  
 
     
 (2) 
 
 Значення Th в інтервалі від 0 до 1. 
 
 
 
2. Рівень загрози розраховується для всіх вразливостей (CTh), за 
допомогою яких ця загроза може бути реалізована. Розрахунок проводиться за 
формулою 3: 
 
    (3) 
 
 Значення CTh в інтервалі від 0 до 1. 
3. Аналогічно розраховується сумарний рівень загрози на ресурс (CThR) 
(з урахуванням всіх загроз, що діють на ресурс). Розрахунок проводиться за 
формулою 4: 
 
   (4) 
  
    
 Значення CThR в інтервалі від 0 до 1. 
4. Ризик на ресурс (R) розраховується як добуток загального рівня 
загрози на ресурс (CThR) і критичності ресурсу  (D) (формула 5):  
 
(5) 
 
Значення R  коливається від 0 до 10. У разі, коли аналізується тільки один 
конкретний вид ресурсу, на цьому етапі завершується кількісна оцінка і 
визначається рівень кіберризику для даного ресурсу за шкалою, представленою в 
таблиці 16. 
 
Таблиця 16 – Шкала рівня кіберризику для даного ресурсу 
Рі
ве
Низький Середній Високий Критичний 
нь 
Кі
 
бе
р-
ри
зи
ку 
Зн
ач
1
ен 1 2 3 4 5 6 7 8 9 
0 
ня 
R 
 
5. На завершальному етапі кількісної оцінки розраховується кіберризик 
за інформаційною системою (КР). Розрахунок проводиться за формулою 6: 
 
(6) 
 
 
Значення CR  коливається від 0 до 100. Таким чином, рівень кіберризику в 
інформаційній системі в цілому визначається за шкалою, аналогічною попередньої 
та представленої в таблиці 17. 
 
Таблиця 17 – Шкала рівнів кіберризиків за інформаційними системами (КР) 
Рів
ен
ь 
Кі
бе Низький Середній Високий Критичний 
р-
ри
зи
ку 
 
Зн
ач
ен
1 2 3 4 5 6 7 8 9 10 
ня 
С
R 
 
Четвертий етап методології включає подальші дії з управління виявленими 
кіберризиками; складання короткострокових, середньострокових та довгострокових 
планів управління ризиками, удосконалення систем безпеки банку, розробку та 
впровадження різноманітних пропозицій з кібербезпеки для кредитної установи. 
Завершальний  етап розробленої методики включає в себе роботу з 
документацією і звітами про проведений аналіз. Також на цьому етапі 
розраховуються різні фінансові показники, такі як: рентабельність інвестицій у 
кібербезпеку (ROI); Індикатор очікуваних збитків (ALE) вартість впровадження цієї 
методології оцінки кіберризиків тощо. 
 
3.3 «Пілотна» практика застосування оцінного підходу 
Результатом проведеного дослідження став розроблений підхід до оцінки 
кібер-ризиків, заснований на поширених методиках оцінки ризиків інформаційної 
безпеки (CRAMM та ГРІФ). Для перевірки коректності цієї методики проведено її 
апробацію на прикладі  комерційного банку - ПАТ «Приватбанк» 
Всебічний аналіз та оцінка сукупного кібер-ризику комерційного банку (або 
навіть будь-якого одного виду кібер-ризиків) по розробленою методикою є вкрай 
відповідальним та непростим завданням. 
Для оцінки дієвості розробленого алгоритму проведено якісна та кількісна 
оцінка кібер-ризику від реалізації трьох загроз, пов'язаних з хакерськими атаками на 
мобільний додаток банку. Для прикладу було обрано комерційний банк – ПАТ 
«Приватбанк».  
Перший етап.  
 
1. Визначення розмірів аналізованої інформаційної системи. Інформаційна 
система банку є дуже великою і здебільшого є банківську таємницю. Тому внаслідок 
обмеженості інформації було вирішено розглянути в як досліджувану систему – 
мобільний додаток «Privat24», як один із найбільш критичних компонентів IT-
інфраструктури.  
2. Виділення меж прийняття ризику. Ризик буде стосуватися категорії 
допустимого, якщо за результатами якісної оцінки усі три показники (рівень 
загрози; рівень) вразливості; розмір очікуваних фінансових втрат) матимуть 
значення нижче 20%.  
3. Розподіл ролей.  
 відповідальний за зміну параметрів методики оцінки ризиків у разі виявлення 
її недостатньої ефективності;  
 відповідальний за оцінку кібер-ризиків;  
 відповідальний за помилки та порушення у розробленій методиці оцінки 
ризиків;  
 відповідальний за розробку планів обробки кібер-ризиків.  
4. Виділення актуальних кіберзагроз (за джерелами), уразливостей та 
потенційних втрат.  
 Ресурси: інформаційні, фінансові, програмні.  
 Загрози за джерелами: пов'язані з внутрішніми/зовнішніми порушниками 
кібербезпеки, з технічними збоями та ін. 
 Вразливості: недостатній рівень технічного захисту; низький рівень якості 
мобільного додатку; низька кваліфікація персоналу у питаннях кібербезпеки 
тощо.  
 Втрати: конфіденційності, цілісності та доступності інформації; фінансові 
втрати; втрата репутації банку та ін.  
Другий етап.  
На попередній стадії дослідження було вирішено зупинитися на такому 
вигляді кібератаки, як атака мобільного додатка. На другому етапі (Детальніше 
 
дослідження виявлених загроз) виділені найцінніші ресурси, які можуть стати 
потенційною метою атаки мобільного додатки комерційного банку (таблиця 18).  
 
Таблиця 18 – Ресурси, які можуть стати потенційною метою кібератаки 
мобільного додатка «Privat24» (за класами ресурсів) 
Клас ресурсу Втрати 
Персональні дані клієнтів 
Інформація про рахунки 
Інформаційні 
Інформація про транзакції 
Інформація про вклади/депозити, кредити 
Прямий фінансовий збиток 
Розкрадання коштів з рахунків клієнтів різними 
опосередкованими способами 
Фінансові Втрата банком частини своїх доходів через 
тимчасове призупинення роботи 
Фінансові витрати банку на усунення наслідків 
кібератаки 
Витрати виявлення джерела кібератаки 
Тимчасові витрати на відновлення роботи та 
Тимчасові 
усунення наслідків кібератаки 
Витрати на можливі судові розгляди 
 
Третій етап.  
Необхідно скласти перелік загроз та вразливостей, через які можуть бути 
реалізовані кібератаки та визначити рівень ризику якісним способом. При оцінці 
кібер-ризиків на рівні комерційного банку експертам галузі інформаційної безпеки 
та кібербезпеки рекомендується скласти список питань, в результаті відповіді на які 
будуть отримані оцінки рівня небезпеки; рівня вразливості та розміру очікуваних 
втрат. У поточному дослідженні дані величини будуть визначені автором.  
Таким чином, за ризиком кібератаки на мобільний додаток банку виділено 
три загрози, кожна з яких реалізується за допомогою низки уразливостей, таких як:  
 низький рівень технічного захисту;  
 недостатність інвестицій банку у забезпечення кібербезпеки;  
 
 некомпетентність клієнта в основах безпеки (Самостійне розкриття особистої  
інформації з незнання);  
 низька кваліфікація персоналу IT-відділу банку;  
 привабливість розкрадання (великі суми на рахунках клієнтів);  
 особиста неприязнь третіх осіб до цього банку тощо.  
У рамках цього дослідження було вирішено виділити по одній ключову 
вразливість для кожної з загроз (таблиця 19).  
Далі була проведена експертна оцінка трьох основних показників:  
 рівня загрози;  
 рівня вразливості;  
 розміру очікуваних втрат.  
Результати оцінки представлені у таблиці 19. 
 
Таблиця 19 – Результати якісної оцінки основних загроз та вразливостей 
досліджуваної системи 
Розмір 
Рівень очікува
Загроза Вразливість Рівень загрози уразливості, них 
бал втрат, 
бал 
1. Цільова атака Привабливість 
хакера на розкрадання 
мобільний (великі суми на 
додаток з рахунках 
можливістю клієнтів) 
обходу засобів 
захисту з метою Середній 13 з 16 16 з 24 
розкрадання 
коштів. 
Результат: 
розкрадання 
коштів із рахунку 
клієнта 
2. Хакерська Некомпетентність 
атака на мобільне клієнта в основах 
додаток для безпеки 
отримання (самостійне 
особистої розкриття Середній 13 з 16 15 з 24 
інформації про особистої 
клієнта з метою інформації з 
подальших незнання) 
шахрайських 
 
операцій 
Результат: 
розкрадання 
персональної 
інформації про 
клієнта 
  
3. Хакерська Низький рівень 
атака на технічного 
мобільний захисту та 
додаток з метою кібербезпеки 
виведення з ладу банку 
мобільного 
банкінгу та 
ослаблення 
пильності банку, 
а також з метою 
зниження ділової    
репутації банку. Середній 12 з 16 21 з 24 
Результат: втрата 
частини доходів 
банку через 
тривалий 
тимчасовий 
простой; можлива 
втрата ділової 
репутації у разі 
розкриття 
інформації про 
атаку 
Якісна оцінка починається з оцінки рівня перелічених загроз. Загалом для 
Приватбанк найкритичнішою є третя загроза, оскільки втрати від такого типу 
загрози впливають у сукупності на весь банк, це і недоотримання доходів банку у 
зв'язку з тривалими тимчасовими простоями і втрата репутації, яка також вплине на 
весь банк негативно. Тому рівень загрози №3 вирішено визначити, як «високий». На 
підставі таблиці 12 визначено, що цей рівень загрози відповідає інтервалу 61–80%, 
таким чином вирішено зупинитися на значення – 70%. Загрози № 1 та № 2 схожі за 
своїм впливом на банк, обидві призведуть до можливої втрати клієнтів, однак перша 
загроза супроводжується реальними фінансовими втратами, що є найбільш 
критичним. Тому вирішено визначити рівень загроз №1 та №2 як «середній», проте 
після переведення показника у відсоткове значення загрозі № 1 надається значення - 
60%, а загрозі № 2 - 55%.  
Для оцінки рівня вразливості проведена оцінка за декількома ризиками, 
результати якої представлені в таблиці 20. 
 
 
Таблиця 20 - Результати оцінки рівня вразливості 
Ризик-фактори, бали С
у
Вразливіст Потенці м
Загроз Загроза Ефективність 
ь (частота ал а 
а (частота захисних 
використан порушн ба
реалізації) заходів 
ня) ика лі
в 
1 3 4 4 2 13 
2 3 4 4 2 13 
3 2 4 4 2 12 
Щоб розрахувати рівень уразливості, виставлені бали були переведені у 
відсотки: 
 
13 балів
Загроза №1:   *100% = 81,25% 
16 балів
 
13 балів
Загроза №2:    *100% = 81,25% 
16 балів
 
12 балів
Загроза №3:    *100% = 75% 
16 балів
 
Для визначення розміру очікуваних втрат проведено оцінку кільком ризик-
факторам, результати якої представлені в таблиці 21. 
 
Таблиця 21 - Результати оцінки розміру очікуваних втрат 
Ризик-фактори, бали С
у
м
За Репута а
Категор Клієнт
гр Поруше ція  
ія Критичні и та Регулят
оз ння (розгол б
інформа сть АС партне ори 
а процесів ос у а
ції ри 
ЗМІ) л
і
в 
1
1 4 2 3 3 2 2 
6 
2 3 2 3 3 2 2 1
 
5 
2
3 4 4 4 2 2 4 
1 
 
Щоб розрахувати розмір очікуваних втрат, виставлені бали були переведені 
в 10-ти бальну шкалу (що знадобиться при кількісної оцінки ризику): 
 
16 балів
Загроза №1:   *10 = 6,667 
24 балів
 
15 балів
Загроза №2:    *10 = 6,25 
24 балів
 
21 балів
Загроза №3:    *10 = 8,75 
24 балів
 
 
За результатами якісної оцінки отримано, що жоден ризик не є прийнятним, 
відповідно необхідно проведення кількісної оцінки. Переходячи до кількісного 
аналізу, необхідно ввести змінні, методики, що застосовуються в даному алгоритмі 
(таблиця 22).  
 
Таблиця 22 - Вхідні змінні якісного та кількісного методів оцінки кібер-
ризиків 
Рівень Розмір 
Позначення 
Рівень загрози вразливості очікуваних 
якісної оцінки 
ресурсу втрат 
P(V) 
ER (Критичність D 
Позначення у (Ймовірність 
реалізації (Критичність 
кількісній оцінці реалізації 
загрози) ресурсу) 
загрози) 
6,667 із 10 
Загроза №1 60 % 81,25 % 
балів 
6,25 із 10 
Загроза №2 55 % 81,25 % 
балів 
8,75 із 10 
Загроза №3 70 % 75 % 
балів 
 
 
Для зручності перша загроза позначена Th1, друга Th2, а третя – Th2 
Th3. Обчислення рівня кібер-ризику кількісним методом: 
1. Розрахунок рівня загрози за вразливістю (Th) на основі критичності (ER) та 
ймовірності реалізації кібератаки (P(V)) 
60 81,25
Th1 =   x  = 0,4875 
100 100
 
55 81,25
Th2 =   x   = 0,4469 
100 100
 
70 75
Th3 =   x   = 0,525 
100 100
 
2. Значення показників загрози за всіма вразливістю (CTh) у цьому 
дослідженні рівні значенням показників з 1 етапу кількісної оцінки (Th), оскільки на 
початковому етапі дослідження було умовно прийнято, що кожна загроза може бути 
реалізована лише через одну вразливість, тому: 
 
CTh1 = Th1 = 0,4875 
 
CTh2 = Th2 = 0,4875 
 
CTh3 = Th3 = 0,4875 
 
3. Розрахунок загального рівня загроз ресурсу (CThR) (враховуючи всі 
загрози, діють на ресурс): 
 
����ℎ �� = 1 − 1 − 0,4875 × 1 − 0,4469 × 1 − 0,525 ≈ 0,865 
 
4. Розрахунок ризику за ресурсом (R).  
Перш ніж розрахувати ризик ресурсу необхідно визначити значення показника 
 
D, як середнє за наявними значеннями рівня очікуваних втрат за трьома загрозами:  
 
D = (6,667 + 6,25 + 8,75) / 3 = 7,222 
 
Таким чином, ризик за ресурсом дорівнює: 
 
�� = 0,865 × 7,222 = 6,247 
 
Так як це дослідження обмежується оцінкою кібер-ризику тільки по 
мобільному додатку «Privat24», то розрахунок ризику по інформаційна система (CR) 
не є доцільною. Тому, завершуючи кількісну оцінку, необхідно звернутися до шкали 
оцінки кібер-ризику, представленої в таблиці 23.  
 
Таблиця 23 – Шкала визначення рівня кібер-ризику за розглянутому ресурсу 
Рі
ве
нь 
Кі
бе Низький Середній Високий Критичний 
р-
ри
зи
ку 
Зн
ач
1
ен 1 2 3 4 5 6 7 8 9 
0 
ня 
R 
 
Прогнозний та завершальний етапи. Отриманий результат R = 6,247 
потрапляє в інтервал «високого» рівня кібер-ризику. Це означає, що мобільний 
додаток Приватбанку з досить високою ймовірністю піддається кібератакам. Це 
 
пояснюється тим, що мобільний додаток Приватбанку має безліч вразливостей, а 
кібершахраї з кожним днем знаходять все більш витончені способи розкрадання. 
Так, дуже важливим фактором, як і раніше, залишається людський фактор. 
Користувачі найчастіше самі винні у зломі через некомпетентності у базових 
питаннях безпеки, які рекомендують:  
 не розголошувати дані про логіни, паролі та іншу особисту інформацію 
третім особам, ким би вони не були;  
 не здійснювати переходи за сторонніми посиланнями в Інтернеті;  
 використовувати тільки офіційні мобільні програми; розроблені 
Ощадбанком своїх клієнтів;  
 не вводити паспортні дані, номери телефонів чи інші персональні дані 
під час підтвердження операцій;  
 для встановлення програм використовувати смартфон з оригінальним 
програмним забезпеченням виробника і т.п.  
Також є й інші важливі небезпеки. Наприклад, не усі співробітники банку є 
компетентними у питаннях кібербезпеки, що також може спричинити ризик 
кібератаки. 
Щодо технічного захисту Приватбанку також постійно удосконалюється та 
впроваджує сучасні технології та процеси управління безпекою.  
Таким чином, оцінивши кібер-ризики мобільного додатку Приватбанку було 
зроблено висновок, що «Privat24» з досить високою ймовірністю схильний до 
кібератак. 
Це цілком зрозуміло масштабами даного банку, його привабливістю для 
шахраїв, кількістю користувачів та ін. Однак високий рівень кібер-ризику не 
означає, що Приватбанк не зможе відбити атаку та врятуватися від шахраїв.  
 
3.4 Перспективи розвитку розробленого підходу до оцінки кіберризиків 
Так, у результаті дослідження розроблено підхід до оцінки кіберризиків 
кредитних організацій, який має свої переваги та недоліки, представлені в таблиці 
 
24. 
Таблиця 24 – Переваги та недоліки розробленої методики оцінки 
кіберризиків комерційних банків 
Переваги Недоліки 
1) Дає уявлення про розмір кіберриску у 1) Залежить від суб'єктивної 
банку експертної думки 
2) Дає можливість відстежувати динаміку 2) Вимагає формування списку 
кібер-ризику ризик-факторів для кожної оцінки 
3) Дозволяє оцінити кібер-ризик як у 
3) Несе великі тимчасові та кадрові 
цілому по банку, так і за окремими 
витрати на проведення оцінки 
ресурсами 
4) Не дає прогнозної кількості 
4) Має зрозумілу структуру та порядок 
кібератак і величини ймовірної 
оцінки, прості розрахунки 
шкоди (у грошах) 
 
Ця методологія може допомогти комерційним банкам в оцінці кіберризиків, 
але має суттєвий недолік – суб'єктивність експертної думки. Цей недолік можна 
мінімізувати, залучивши експертів з різних галузей, які не зацікавлені в результатах 
і прагнуть до максимальної об'єктивності. 
В цілому методологія вийшла досить структурованою, використовувати її 
може як людина, пов'язана з IT-індустрією, так і будь-який фінансист, оскільки 
основне навантаження роботи при аналізі та оцінці лягає на плечі експертів. 
При цьому можна відзначити такі основні напрями підвищення ефективності 
та якості оцінки кіберризиків у банківському секторі: 
 підвищення об'єктивності оцінки на основі набору та використання 
статистичних даних щодо ризиків;  
 формування базового переліку ризик-факторів для найбільш критичних 
систем, що дозволить оптимізувати процес оцінки;  
 вдосконалення методів побудови моделі із застосуванням інших методик 
оцінки банківських ризиків;  
 
 переважання кількісної оцінки ризик-факторів над якісною тощо. 
 
ВИСНОВОКИ 
 
Розвиток інформаційних технологій, що відбувається в сучасному світі, має 
негативні наслідки у вигляді розвитку кіберзлочинності, яка не стоїть на місці і 
постійно породжується новими видами атак, інструментів і методів, що дозволяють 
шахраям проникати в найскладніші і контрольовані середовища, завдавати великої 
шкоди і часто залишатися непоміченими. Особливої популярності серед 
кіберзлочинців набув фінансовий сектор економіки, зокрема комерційні банки. 
«Кіберризик» є однією з найпопулярніших загроз для банків і потребує особливої 
уваги. 
Боротьба з кіберзлочинністю здійснюється на всіх рівнях: міжнародному, 
державному, регіональному, галузевому та на рівні окремих суб'єктів (зокрема, 
кредитних організацій). 
Однак збитки від кібератак продовжують зростати щорічно і, за прогнозами, 
коштуватимуть світові понад 6 трильйонів доларів до 2021 року порівняно з 3 
трильйонами доларів у 2015 році. 
На основі дослідження компанії SYMANTEC були визначені ключові 
аспекти кібератак у 2021 році: 
 Кількість унікальних кібератак зростала щомісяця, і за підсумками року на 
19% перевищила кількість кібератак у 2021 році; 
 Найбільша кількість кібератак зафіксована на державні установи, 
промисловість, медицину, науку та освіту, фінансовий сектор (загалом 54%); 
 Частка атак на промислові підприємства зросла до 10% з 4% у 2020 році; 
 Частка цілеспрямованих атак (порівняно з масованими) зросла на 5 п.п. 
порівняно з 2020 роком і склала 60%; 
 Частка кібератак, спрямованих на викрадення інформації, склала 60% проти 
юридичних осіб та 57% проти фізичних осіб; 
 Кількість заражень шкідливим ПЗ у 2020 році була на 38% вищою, ніж у 
2021 році; 
 
 Трояни-вимагачі є однією з найактуальніших кіберзагроз для компаній у 
всьому світі (31% заражень шкідливим програмним забезпеченням серед юридичних 
осіб). 
Аналіз сучасних тенденцій кіберзлочинності в України показав, що вони 
схожі з такими в світі і супроводжуються аналогічними проблемами. Однак, 
проаналізувавши статистику щодо обсягів збитків українськими банкам від 
кібератак, з'ясувалося, що у 2021 році обсяг збитків зменшився. Напевно, досвід 
попередніх років, коли був справжній бум кіберзлочинності, змусив банки серйозно 
зайнятися своєю кібербезпекою, що допомогло багатьом уникнути збитків. 
У ході дослідження також були визначені основні проблеми 
кіберзлочинності: 
 Складність у визначенні джерела загрози; 
 Анонімність інтернету; 
 Складність розробки заходів протидії кіберзлочинності; 
 Опора на стандартні засоби захисту; 
 Транснаціональний характер мережі та відсутність механізмів контролю; 
 Кількість користувачів 
 Автоматизація та швидкість використання; 
 Недосконалість законодавства; 
 Напружена політична ситуація у світі; 
 Приховування фактів про кібератаки, що відбулися; 
 Неефективність роботи органів внутрішніх справ 
 Нестача кваліфікованих кадрів. 
Для вирішення виявлених проблем були розроблені шляхи вирішення, в тому 
числі глобального співробітництва; удосконалення законодавчої бази; проведення 
форумів і конференцій, заходів з підвищення ІТ-грамотності користувачів мережі 
Інтернет; навчання банківських працівників основам кібербезпеки; розробка 
банками економіко-математичних моделей для прогнозування напрямку кібератак 
та оцінки потенційного збитку (ризиків) тощо. 
 
Тому в рамках даного дослідження було прийнято рішення про модернізацію 
методології оцінки кіберризиків для кредитних організацій, заснованої на 
загальновідомих методах оцінки ризиків інформаційної безпеки - CRAMM і GRF. 
Розроблена методологія включає кількісну та якісну оцінку, переважно на основі 
експертних оцінок. Модель вийшла досить логічною та структурованою, зрозумілою 
не лише особам, задіяним в ІТ-індустрії, а й фінансистам, бізнесменам тощо. 
В результаті розробки методика була апробована на найбільшому 
українському комерційному банку. Проаналізовано отримані результати,  
сформульовано основні переваги та недоліки запропонованої методики. Також були 
визначені перспективні напрями підвищення ефективності та якості оцінювання: 
 підвищення об'єктивності оцінки на основі набору та використання 
статистичних даних щодо ризиків;  
 формування базового переліку ризик-факторів для найбільш критичних 
систем, що дозволить оптимізувати процес оцінки;  
 вдосконалення методів побудови моделі із застосуванням інших методик 
оцінки банківських ризиків;  
 переважання кількісної оцінки ризик-факторів над якісною тощо. 
Управління кіберризиками, детально розглядається понятійний апарат. 
Вирішено основні завдання дослідження, як з точки зору систематизації 
теоретичних засад управління кіберризиками, так і з точки зору розробки 
методичного підходу до оцінки кіберризиків комерційного банку. 
Немає сумнівів, що кіберзлочинність продовжуватиме розвиватися, 
перетворюючи методи шахрайства на більш витончені форми. Необхідно 
передбачити дії зловмисників та створити систему обмежень, яка блокує 
кіберзлочинність. 
Посилення системи кібербезпеки фінансового сектору в сучасному світі має 
мінімізувати масштабні втрати фінансових установ. Однак створення стратегічних 
засад безпеки на рівні банківської системи та окремих банківських установ може 
стати серйозним бар'єром для економічних злочинів в інформаційному полі.