Кібербезпека міста: що варто знати меру, а не ІТ-фахівцю

Кібератаки на міста та муніципальні служби по всьому світу суттєво зросли. Близько половини з них тепер націлені на енергетику, охорону здоров’я, транспорт, виведення з ладу критичної інфраструктури, водоканалів і житлових сервісів. 

2025 рік показав: жодне місто не застраховане. Від збоїв судових систем у Карибському басейні до атак на енергомережі міст Франції та Іспанії — цифрова вразливість призвела до тижневих збоїв у наданні базових послуг. В Україні ж збитки від атак на державні сервіси обчислюються сотнями мільйонів доларів.

Сьогодні кібербезпека є зоною відповідальності не тільки технічного відділу, але й мера: завдання керівника — ставити правильні запитання, щоб визначити пріоритети для захисту міста. 

Що ми захищаємо?

Які системи критичні: реєстри мешканців, платежі, транспорт, вода, опалення, системи оповіщення, контакти вразливих груп. Без такого списку неможливо вибудувати пріоритети для громади й зрозуміти зону найбільшого ризику.

Від чого захищаємо?

Для міст поширені сценарії атак:

• фішинг — лист/повідомлення, що змушує співробітника віддати пароль;
• шифрування даних (ransomware);
• атака на підрядника, через якого проходять сервіси;
• спроби доступу до систем управління інфраструктурою (вода, електрика, світлофори).

Як реагуємо?

Часто проблему поглиблює не сама атака, а хаос: ніхто не знає, кому дзвонити, хто приймає рішення, де резервні копії, як говорити з людьми. Нормальна практика передбачає, що є відповідальна особа чи команда, прописаний план дій та інструкції для співробітників.

Базові принципи безпеки: простою мовою

Як можна мінімізувати ризики без складних технічних налаштувань вже сьогодні? Кібербезпека має стати частиною щоденної міської політики:

• Мінімум доступів: працівник соцзахисту не повинен мати доступу до фінансів, а підрядник — до всієї бази даних міста. Кожен бачить лише те, що потрібно для його роботи.
• План «Б»: потрібно чітко знати, як часто робляться резервні копії, де вони зберігаються, скільки часу потрібно, щоб відновити ту чи іншу систему. Інакше найменший збій може обернутися катастрофою.
• Перевірені підрядники: в договорах з ІТ-виконавцями  важливо відразу прописувати вимоги до кібербезпеки, відповідальність і процедури реагування, а не згадувати про це після інциденту.
• Просвітницька робота: регулярне навчання працівників: як розпізнати фішинг, що робити при підозрі на атаку, як працювати з паролями й доступами тощо. 

Навіть ці прості кроки здатні суттєво посилити безпеку. Головне — діяти системно: кіберзахист — це не «тиждень кібергігієни» раз на рік, а щоденна перевірка оновлень та доступів.

Ми будували MISTO з розумінням простої речі: мер не повинен знати, як працює шифрування, але він повинен бути впевнений, що воно є. Тому безпека закладена в архітектуру платформи з першого дня як базова умова. В результаті місто отримує інфраструктуру, яка відповідає всім нормам захисту даних та зберігає працездатність навіть у кризових умовах.