Статьи / Аналитика

Киберпространство как еще один фронт войны

Кибератаки давно стали частью российской войны против Украины, и с каждым годом их становится больше. Только в 2025 году против Украины зафиксировали почти 6 тысяч таких атак — на 37% больше, чем годом ранее.
Мария Крикуненко28 апреля 2026UA RU

Ілюстративне зображення, © Марія Крікуненко Иллюстративное изображение, © Мария Крикуненко

Иллюстративное изображение, © Мария Крикуненко

Международный уголовный суд уже расследует российские удары по гражданской инфраструктуре Украины в киберпространстве как вероятные военные преступления.

Украина как полигон российских кибератак

После Революции достоинства и начала российской агрессии в 2014 году кибератаки стали для РФ еще одним инструментом войны против Украины. Под ударом оказались государственные учреждения, энергетика, медиа, бизнес и критическая инфраструктура.

Одним из первых громких случаев стала атака на Центральную избирательную комиссию во время президентских выборов 2014 года. Тогда хакеры пытались вмешаться в работу системы и вывести на сайт ЦИК фальшивые результаты голосования. По данным CEPA, атаку удалось остановить, поэтому на итоги выборов она не повлияла. Несмотря на оперативное предотвращение атаки, российский “Первый канал” уже на следующий день показал в новостях якобы “сайт ЦИК” с подтасованными результатами.

В следующем году группировка Sandworm совершила атаку на украинскую энергосистему, из-за которой без света остались около 230 тысяч потребителей. 17 декабря 2016 года в Украине произошел второй такой случай, но на этот раз — в части Киева. По данным отчета Государственной службы специальной связи и защиты информации Украины, в 2022-2024 годах Sandworm приписывают уже 80 взломов — в среднем два в месяц.

В 2017 году Россия применила против Украины вирус NotPetya. Он начался с атаки на украинские системы для дестабилизации ситуации в Украине, но быстро распространился по миру и нанес компаниям в Европе, Азии и США миллиардные убытки. Тогда Белый дом называл NotPetya “самой разрушительной и дорогостоящей кибератакой в истории”. В МИД Великобритании утверждали, что целью кибератаки было нарушение работы украинских госучреждений, финансового и энергетического секторов экономики.

В том же году Валентин Петров, тогдашний руководитель Службы по вопросам информационной безопасности Аппарата СНБО, заявил, что российские спецслужбы и связанные с ними хакерские группы используют Украину как площадку для тестирования новых способов вывода инфраструктуры из строя.

Как менялась тактика РФ во время кибератак

После начала полномасштабного вторжения Россия продолжила использовать кибератаки почти параллельно с ударами на поле боя. 24 февраля 2022 года, примерно за час до начала наступления, произошла атака на спутниковую сеть Viasat. Ее основной целью могла быть украинская военная коммуникация, но последствия ощутили также гражданские пользователи и компании в других странах Европы.

По данным Госспецсвязи, во время полномасштабного вторжения количество зарегистрированных киберинцидентов ежегодно растет: в 2021 году их было 1350, в 2022-м — 2194, в 2023-м — 2543, а в 2024 году — уже 4315, в 2025-м — почти 6000. При этом, по данным ее отчета, тактика России постепенно меняется. Если в начале полномасштабного вторжения враг чаще делал ставку на разрушительные атаки, то впоследствии все больше внимания начал уделять шпионажу, скрытому присутствию в системах и сбору информации. В 2024 году фокус сместился на организации, непосредственно связанные с военными операциями, а также на поставщиков услуг, поддерживающих военные усилия.

В 2024 году Украина подверглась одной из самых масштабных за последнее время кибератак на государственные реестры. В результате атаки, которую связывают с российскими хакерами, временно остановилась работа ключевых систем Министерства юстиции. По словам руководителя Департамента кибербезопасности СБУ Владимира Карастелева, атаку осуществила одна из российских хакерских групп. Служба безопасности Украины установила ее связи с Главным разведывательным управлением Генштаба Вооруженных сил РФ.

Отдельной мишенью российских кибератак на протяжении всей войны остаются украинские медиа. Взломы телеканалов, информационных агентств и онлайн-платформ часто используют для публикации фейков под видом новостей от известных медиа. Один из таких случаев произошел в феврале 2024 года. По данным Института массовой информации, 18-19 февраля российские хакеры атаковали как минимум шесть украинских медиаресурсов: сайты “Телеграф”, “Апостроф”, LIGA.net, страницу “Украинской правды” в соцсети X, а также телеканалы “Эспрессо” и “Прямой”. На взломанных ресурсах хакеры разместили дезинформацию о якобы “разгроме” россиянами элитных подразделений ВСУ в Авдеевке.

Под удар попадают и телекоммуникации. От стабильной связи зависят оповещения о воздушных тревогах, банковские сервисы, государственные услуги, работа бизнеса и возможность людей оставаться на связи во время обстрелов. Одной из самых масштабных стала кибератака на “Киевстар” 12 декабря 2023 года: из-за технического сбоя миллионы абонентов временно остались без мобильной связи и интернета.

Можно ли считать кибератаки военным преступлением?

14 июня 2024 года агентство Reuters сообщило, что прокуроры МУС расследуют российские кибератаки, направленные против украинской гражданской инфраструктуры, как вероятные военные преступления. Если будет собрана достаточная доказательная база, обвиняемые в киберпреступлениях могут получить ордеры на арест.

Соответствующее расследование МУС, когда кибератаки рассматриваются как вероятные военные преступления, может создать прецедент в международном праве.

В ноябре 2023 года Генеральный прокурор Андрей Костин заявил изданию TIME, что Украина расследует российские кибератаки как военные преступления. По его словам, это чрезвычайно сложный и почти беспрецедентный процесс, в котором украинским правоохранителям помогают Palantir и Microsoft.

Это расследование важно не только для Украины, но и для международного права в целом. Женевские конвенции запрещают атаки на гражданские объекты, однако в случае киберпространства до сих пор нет полностью устоявшегося понимания, что именно считать “кибервоенным преступлением”. Например, остается дискуссионным вопрос, можно ли считать данные отдельным объектом атаки и является ли военным преступлением их уничтожение, если это приводит к серьезным последствиям для гражданских.

В центре внимания МУС, в частности, могут быть атаки на энергетическую инфраструктуру и телекоммуникации. Reuters писало, что среди подозреваемых фигурирует группировка Sandworm, о которой говорилось выше.

Атака на “Киевстар” — один из примеров того, почему кибератаки могут выходить за пределы “технического инцидента”. Профессор международного права Майкл Шмитт, которого цитирует Reuters, считает, что взлом “Киевстара” может соответствовать критериям военного преступления, ведь исполнители должны были понимать предсказуемые последствия такой атаки для гражданских.

Поделиться