Законодавство,Опитування,Рубрикація,IT в логiстиці

Заборона ворожого ПЗ: що чекає бізнес і як діяти

Написати коментар

На якому ПЗ тримається ваш бізнес сьогодні: самописному, міжнародному, вітчизняному, чи забороненому? Нещодавно Держспецзв’язку оприлюднило перелік забороненого програмного забезпечення. Тому ми запитали фахівців: Валентину Левицьку, компанія Customera, Сергія Люльченка, консультанта з інформаційної безпеки та Сергія Мовчана, директора з цифрової трансформації ALVIVA GROUP:

  • Кого стосується заборона?
  • Чи варто «ховатися» в закритій мережі?
  • Як справи з придбанням нового ПЗ офіційно?
  • Які аналоги наявні для бізнесу?

Відповіді — нижче.
На додачу, ми зібрали перелік альтернативного ПЗ. Завантажити можна за посиланням у кінці статті — безоплатно. Раптом когось не згадали або у вас є додаткова інформація та/або досвід переходу — пишіть у коментарях або в повідомлення!

Тож…

Чому рішення викликало “знову” бурхливу реакцію?

Валентина Левицька: Тема 1С/ворожого ПЗ дуже чутлива і для бізнесу, і для суспільства. З одного боку — це питання безпеки та принципів під час війни. З іншого — багато компаній роками працюють на цих системах, мають інтеграції та бояться зупинки процесів. Кожна новина про заборону піднімає хвилю дискусій: що саме заборонили, кого це стосується та як перейти на альтернативу без втрат.

Сергій Мовчан: Це рішення фактично не принесло нової інформаціїдля недержавного сектору, але знову підсвітило стару, відкладену проблему. Бізнес уже давно усвідомлює ризики, пов’язані з використанням такого ПЗ, але здебільшого зупинився на рівні усвідомлення, не дій. Коли держава повторно фіксує цю позицію, це сприймається не як новина, а як виклик власним попереднім рішенням “нічого не робити”. Додатково реакцію підсилює:

  • людський фактор: бізнес — це human-based система, і перша реакція на зміни — заперечення;
  • виклик особистій експертності (“я знаю 1С”, “ми розуміємо, як це працює”);
  • страх змін і потенційних витрат у воєнний час, який часто сильніший за раціональне зважування ризиків.

Фактично ми знову бачимо не дискусію про ПЗ, а стадію заперечення після усвідомлення ризику.

Сергій Люльченко: Для початку я хочу підкреслити, що заборона напряму стосується підприємств, які задіяні у обробці державних даних чи визнані критичними.

Є декілька проблемних моментів, які створюють “точку напруження”: брак фахівців з кібербезпеки та кіберризиків, які можуть вплинути на підприємство зсередини, відсутність повноцінних замінників (1С розроблялася десятиліттями), суспільний запит. Втім перелік з 27 позицій (лише про 1С, BAS, UA-Бюджет) явно не тягне на повний перелік, який був анонсований ще 5 травня 2025 року, тому це дуже вибіркове обмеження. У підсумку, хтось радіє – “нарешті”, хтось не знає “що тепер робити”, а хтось вимагає “продовжити банкет” (розширити список).

Дехто зауважує, що згідно ЗУ Про основні засади забезпечення кібербезпеки України ПЗ можна використовувати в разі, якщо не має зовнішнього доступу. Чи це так?

Сергій Люльченко: Так, я належу до їх числа. Перелік сформований на основі “Порядку формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання”, який є доповненням до ЗУ “Про основні засади забезпечення кібербезпеки України”.
Стаття 2. “Принципи застосування Закону” чітко визначає обмеження дії Закону, і нас цікавить п. 4) “комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних (крім технологічних систем).”

Можна спробувати погратися з визначеннями, оскільки термін “комунікаційна система” в Законі не визначений, а в сумісному законодавстві використовуються терміни “інформаційно-комунікаційна система” чи “електронна комунікаційна система” і, знаючи державну бюрократію, можна передбачити певні проблеми, як то просто не визнання перевіряючим, що перед ним саме “комунікаційна система” з виключення, а не “інформаційно-комунікаційна система”, про яку ні слова.

Тепер про технічне обмеження, і воно тут дуже суттєве. Необхідно вирішити питання “як система буде комунікувати з усіма виробничими процесами”? Це ж не просто бухгалтерія сама по собі – на великих підприємствах це ще і облік і звітність і всі переміщення товару. Такий комплекс складно відокремити від офісної мережі, необхідно буде піти на певні жертви – щось таки перестане працювати, щось стане не зручним.

Я вважаю, що відокремлена від основної робочої мережі система при певних зусиллях може використовуватися, і це не буде суперечити загальній забороні. Плюс ізоляція є однією з “кращих практик” – якщо є необхідність використовувати застаріле і вразливе ПЗ, можна його ізолювати, унеможлививши розповсюдження потенційних проблем по всій мережі. Також необхідно прийняти додаткові заходи для перевірки вивантажень з такої системи перед подальшим використанням. Наприклад згенерований звіт у pdf може містити зловмисний код, який використовує дірки у Adobe Acrobat – колись були такі інциденти, можуть статися і в майбутньому, то ж варто поберегтися.

Валентина Левицька: У чинній редакції ЗУ «Про основні засади забезпечення кібербезпеки України» немає норми, яка дозволяє використовувати «вороже ПЗ» (типу 1С/BAS) лише тому, що воно працює в закритій/ізольованій мережі. Натомість у ст. 4 ч. 4 прямо встановлено інший критерій: використання ПЗ/мережевого обладнання в системах, де обробляються державні інформаційні ресурси / службова інформація / держтаємниця, а також на об’єктах критичної інформаційної інфраструктури, можливе лише за умови, що такого продукту немає у «відкритому переліку забороненого до використання». Про «зовнішній доступ» чи «закриту мережу» як виняток там не йдеться. Навіть закритий сервер не знімає проблеми: придбання — це фінансування агресора, а оновлення без інтернету неможливе, з інтернетом — ризиковане.

Сергій Мовчан: Кіберризик не обмежується наявністю або відсутністю зовнішнього доступу. Ризики виникають через: оновлення і підтримку, інтеграції з іншими системами, резервні копії, людський фактор. Також позиція держави важлива не лише з технічної, а й з управлінської точки зору. ЗУ Про основні засади забезпечення кібербезпеки України є рамковим законом, але перелік, оприлюднений Держспецзв’язку та захисту інформації України, — це чіткий сигнал бізнесу(як тому який користується так і тому, який пропонує ці рішення), який рівень ризику держава вважає неприйнятним.

Аргумент «у нас закрита мережа» не знімає:

  • vendor-risk — залежність від постачальника, який фактично втрачає присутність на ринку;
  • юридичних і репутаційних ризиків;
  • проблеми контролю життєвого циклу ПЗ;
  • відтоку якісного людського ресурсу: досвідчені фахівці з 1С/BAS поступово йдуть з ринку або змінюють технологічний стек;
  • зменшення кількості представників та партнерів вендора, а отже — падіння якості підтримки, експертизи й швидкості реакції у критичних ситуаціях.

Із управлінської точки зору обмеження зовнішнього доступу — це не стратегія, а тимчасова раціоналізація.

Чи можна офіційно придбати таке програмне забезпечення?

Сергій Мовчан: Для державного сектору це питання закрите однозначно. Але це скоріше питання до експертів в юридичній площині. Для бізнесу — це рішення, яке може працювати технічно, але не мало би витримувати перевірки на рівні CFO, Board і аудиту ризиків.

Валентина Левицька: ТОВ «1С» (м. Москва) перебуває під санкціями України (рішення РНБО, введене в дію Указом Президента №280/2023). У додатку прямо вказані санкції, зокрема повне обмеження торговельних операцій та зупинення виконання економічних і фінансових зобов’язань, а також заборона передання технологій/прав інтелектуальної власності.

Сергій Люльченко: Офіційні продавці прямо кажуть, що ні, проте в Інтернеті можна знайти багато оголошень, навіть на OLX. Якщо компанія-видавець в переліку підсанкційних, то така покупка дуже сумнівна. Адже одне діло тихо користуватися чимось, що вже є, а інше –– показово порушувати. Підприємства з зони уваги Держспецзв’язку на це не підуть, я думаю (маю на увазі саме нову покупку). Всі інші, на свій страх і ризик.

Які варіанти/альтернативи є для бізнесу та де їх шукати?

Валентина Левицька: Кожен бізнес унікальний, але для управлінського обліку ми пропонуємо Customera, яка відтворює можливості 1С, додає AI-технології, забезпечує комфортну міграцію.

Сергій Люльченко: Особисто не вирішував це питання. Маю відгук і від державних і комерційних великих підприємств, які не дуже оптимістичні –– прямого аналога, який би можна було легко імплементувати поки що не виявлено, принаймні я не чув про таке. Але є достойні альтернативи, тобто заміна все ж можлива, це не унікальна практика. Я не хочу називати нічого конкретного, але достатньо погуглити “альтернативу 1С”, або спитати інтеграторів.

Насправді проблема у іншому: інтеграція з бізнес-процесами. Таку систему складно замінити, це потребує коштів, зусиль, часу, нервів.

На завершення, можу порадити спеціалістам ІТ, які вирішуватимуть це питання, скористатися даною забороною як можливістю. Можливістю аргументувати необхідність заміни. Не чекати, коли прийде задача “за вихідні поміняйте”, а отримати “зелене світло” від вищого керівництва і вирішити це питання в рамках великого проєкту з достатніми ресурсами. Також сподіваюся, що цей масовий запит підштовхне наших виробників до цікавих і актуальних пропозицій.

Сергій Мовчан: Варіанти точно існують, оглядів цих варіантів з різним ступенем об’єктивності доволі багато. Але тут важливо правильно поставити питання. Ключова помилка — шукати «пряму заміну 1С/BAS». Правильне питання — які процеси і ризики бізнес хоче закрити.

Що реально доступно бізнесу:

  • міжнародні та українські ERP та фінансові платформи;
  • українські розробки для бухгалтерії, обліку, бюджетування;
  • модульний підхід: не один моноліт, а заміна окремих процесів;
  • поетапна міграція без зупинки бізнесу.

Де дивитись:

  • каталоги українських ІТ-рішень і розробників;
  • галузеві форуми (конкретно профільні по системах — Ukrainian ERP Forum, Своє.ІТ) та професійні спільноти CFO/CIO;
  • реальні кейси впроваджень, які зараз публікують доволі багато.

Важливо розуміти: мова не про дорогі трансформації “тут і зараз”, а про:

  • контроль ризиків;
  • сценарії дій;
  • поступовий, керований перехід.

Мені здається, ця дискусія насправді не про конкретне ПЗ, а про розрив між «ми знаємо» і «ми робимо». Страх фінансових витрат на перехід часто зводять лише до вартості нової системи, ігноруючи вартість простоїв, технічного боргу, кадрового дефіциту та ризику втрати керованості бізнесом. Завдання — дивитися на рішення не однобоко, а через повну картину витрат і ризиків.

Перелік Програмного ЗабезпеченняЗавантажити

Залишити коментар