ІНТЕГРОВАНИЙ ПІДХІД ДО ЗАБЕЗПЕЧЕННЯ КІБЕРБЕЗПЕКИ ПІДПРИЄМСТВА ЗАСОБАМИ ЕТИЧНОГО ХАКІНГУ ТА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Орест Полотай; Тарас Брич; Артур Ткаченко; Валентина Ящук; Богдана Федина

doi:10.28925/2663-4023.2025.31.1009

Автор(и)

Орест Полотай Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0003-4593-8601
Тарас Брич Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0001-6853-1981
Артур Ткаченко Львівський державний університет безпеки життєдіяльності https://orcid.org/0009-0009-6830-4741
Валентина Ящук Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0003-2651-4918
Богдана Федина Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0001-9487-2851

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1009

Ключові слова:

кібербезпека, етичний хакінг, технічний захист інформації, офенсивне тестування, кіберстійкість підприємства, інформаційна безпека, моделювання загроз, вразливість систем, аудит безпеки, інтегрована система захисту, превентивні заходи, моніторинг кіберзагроз, управління ризиками, тестування на проникнення, концептуальна модель кіберзахисту.

Анотація

У статті було здійснено комплексний аналіз сучасних підходів до організації кібербезпеки на підприємствах, що дозволило не лише систематизувати наявні концепції управління інформаційною безпекою, а й виявити ключові тенденції, суперечності та проблемні аспекти у сфері технічного захисту інформації. Особливу увагу приділено співвідношенню між організаційними та технологічними складовими кіберзахисту, адже саме їхня неузгодженість часто стає причиною критичних вразливостей у корпоративних системах. Встановлено, що традиційні засоби захисту, орієнтовані переважно на превентивні заходи — зокрема, антивірусні рішення, міжмережеві екрани, системи контролю доступу — вже не здатні забезпечити повного рівня кіберстійкості в умовах динамічного розвитку кіберзагроз, зростання ролі соціальної інженерії та поширення цільових атак. Зазначене свідчить про необхідність переходу від реактивних моделей кіберзахисту до проактивних стратегій, у яких виявлення потенційних ризиків передує їх реалізації. Обґрунтовано важливість етичного хакінгу як інструмента активного виявлення вразливостей інформаційних систем до того, як ними можуть скористатися зловмисники. Етичний хакінг дозволяє підприємству оцінювати реальний рівень захищеності своїх інформаційних активів у максимально наближених до реальних умовах, що робить його одним із найефективніших засобів незалежного аудиту безпеки. На основі проведеного аналізу доведено, що інтеграція офенсивних методів тестування безпеки з технічними засобами захисту створює синергетичний ефект, завдяки якому досягається глибше розуміння слабких місць системи, підвищується оперативність реагування на потенційні загрози, а процес управління ризиками стає більш гнучким і адаптивним. Взаємодія офенсивних практик з інструментами моніторингу (IDS/IPS, SIEM), криптографічними системами та засобами резервного копіювання сприяє формуванню замкненого циклу інформаційного захисту. Розроблена концептуальна модель інтеграції етичного хакінгу в систему технічного захисту інформації демонструє можливість поєднання превентивних, детекційних і реактивних механізмів у єдиному циклі безперервного вдосконалення кіберзахисту. Такий підхід базується на принципах динамічної адаптації, де результати тестів на проникнення безпосередньо впливають на налаштування та розвиток технічних засобів захисту. У результаті формується система, здатна до самонавчання та постійного оновлення відповідно до нових векторів атак. Це забезпечує не лише підвищення рівня кіберстійкості, а й оптимізацію використання ресурсів підприємства, оскільки превентивне виявлення загроз значно дешевше, ніж ліквідація наслідків інцидентів. Очікуваними перевагами впровадження інтегрованого підходу є суттєве підвищення рівня довіри до інформаційної інфраструктури підприємства, посилення репутаційної стійкості на ринку, зменшення ризиків несанкціонованого доступу та втрати даних. Крім того, такий підхід сприяє удосконаленню процесів внутрішнього аудиту безпеки, формуванню єдиної корпоративної політики управління інформаційними ризиками та розвитку культури відповідального ставлення до питань кіберзахисту на всіх рівнях організаційної структури. Важливо й те, що інтеграція етичного хакінгу стимулює підвищення кваліфікації персоналу, сприяє розвитку внутрішньої експертизи з безпеки та створює передумови для довгострокового підвищення конкурентоспроможності підприємства в цифровому середовищі.

Завантаження

Дані завантаження ще не доступні.

Посилання

Skandylas, C., & Asplund, M. (2025). Automated penetration testing: Formalization and realization. https://www.sciencedirect.com/science/article/pii/S0167404825001439

Kitsios, F., Chatzidimitriou, E., & Kamariotou, M. (2023). The ISO/IEC 27001 information security management standard: How to extract value from data in the IT sector. Sustainability, 15(7), 5828. https://www.mdpi.com/2071-1050/15/7/5828

Adam, H. M., Widyawan, W., & Putra, G. D. (2023). A review of penetration testing frameworks, tools, and application areas. In 2023 IEEE 7th International Conference on Information Technology, Information Systems and Electrical Engineering (ICITISEE) (pp. 319–324). IEEE.

ISO/IEC. (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements. https://www.iso.org/standard/27001

Parambil, M. M. A., Rustamov, J., Ahmed, S. G., Rustamov, Z., Awad, A. I., Zaki, N., & Alnajjar, F. (2024). Integrating AI-based and conventional cybersecurity measures into online higher education settings: Challenges, opportunities, and prospects. https://www.sciencedirect.com/science/article/pii/S2666920X24001309

Yulianto, S., Soewito, B., Gaol, F. L., & Kurniawan, A. (2024). Enhancing cybersecurity resilience through advanced red-teaming exercises and MITRE ATT&CK integration: A paradigm shift in cybersecurity assessment. https://www.sciencedirect.com/science/article/pii/S2772918424000432

Zhang, W., Xing, J., & Li, X. (2025). Penetration testing for system security: Methods and practical approaches. arXiv preprint. https://arxiv.org/html/2505.19174v1

Kukharska, N. P., Semeniuk, S. A., & Polotai, O. I. (2025). Key aspects of the updated ISO/IEC 27002:2022 standard. Modern Information Protection, (2), 76–87.

Lukianenko, T. Yu., Ponochovnyi, P. M., & Lehominova, S. V. (2022). A methodology for detecting network intrusions and signs of computer attacks based on an empirical approach. Modern Information Protection, 2(50), 15–21.

Polotai, O. I. (2025, June 11–12). Zero trust architecture: A new security standard for corporate enterprise networks. In Information Society: Technological, Economic and Technical Aspects of Development (Vol. 100, pp. 17–20). Ternopil.

Polotai, O. I., & Dovhanyk, S. (2020, March 16–22). SIEM systems as an element of event analysis and management in CSOC. In All-Ukrainian Scientific and Practical Online Conference “Automation and Computer-Integrated Technologies in Production and Education: State, Achievements, Prospects of Development” (pp. 60–61). Cherkasy: Bohdan Khmelnytsky National University of Cherkasy.

Polotai, O. I., & Puzyr, A. O. (2024). Analysis and implementation of tools for preventing confidential information leakage in enterprises: A case study of DLP systems. Bulletin of Lviv State University of Life Safety, (30), 134–144.

Tkachenko, A. M., Ivanusa, A. I., & Brych, T. B. (2025). Development of an automated vulnerability scanning program for web applications. In Information and Analytical Support for the Activities of Security and Defense Sector Bodies of Ukraine: Scientific and Practical Conference (pp. 37–40). Lviv: Lviv State University of Internal Affairs.

Tkachuk, R. L., Ivanusa, A. I., Yashchuk, V. I., Maslova, N. O., & Tkachenko, A. M. (2025). Methods and models of information security and cybersecurity management in higher education institutions. Bulletin of Lviv State University of Life Safety: Collection of Scientific Papers, (31), 101–116.

Toliupa, S., Pliushch, O. H., & Parkhomenko, I. I. (2020). Construction of attack detection systems in information networks based on neural network structures. Cybersecurity: Education, Science, Technique, 2(10), 169–181.

Chychkarov, Ye., Zinchenko, O., Bondarchuk, A., & Asieieva, L. (2023). Feature selection method for intrusion detection systems using an ensemble approach and fuzzy logic. Cybersecurity: Education, Science, Technique, 1(21), 234–251.