Останні рішення уряду та розпорядження Держспецзв'язку викликали широкий резонанс: були введені обмеження на використання низки програмних продуктів, пов’язаних із російськими постачальниками. Серед найпомітніших у списку опинилися 1C та BAS. Водночас заборона стосується насамперед органів державної влади, місцевих органів влади та критично важливих об’єктів інфраструктури — саме там ризики потенційно найвищі.
1C, BAS і інші програми заборонили в Україні: у Держспецзв'язку пояснили, чим вони загрожуютьУ поясненні Держспецзв'язку наголошується, що використання програмного забезпечення, яке має зв’язки з країною-агресором, може становити пряму загрозу національній безпеці. Конкретні ризики включають можливість несанкціонованого доступу до баз даних, передачі конфіденційної інформації за межі України, віддаленого керування роботою систем, а також уразливості, які можуть використовуватися для кібератак. Держспецзв'язку зазначає, що навіть якщо програми використовуються для бухгалтерії чи обліку, вони обробляють важливі персональні й фінансові дані, що робить такі продукти привабливою ціллю для шпигунства.
Наявність автоматичних оновлень, з’єднання з віддаленими серверами розробника та закритий код ускладнюють перевірку програм на предмет прихованих механізмів передачі даних. Саме ці факти стали підставою для заборони в державних установах і на об’єктах критичної інфраструктури. У рішенні також підкреслено, що мова не йде про масову криміналізацію використання певних програм у приватному секторі, але органи влади зобов'язані мінімізувати можливі загрози.
Що означає заборона для державних органів і бізнесуНасамперед заборона вимагає проведення інвентаризації програмного забезпечення в державних установах. Керівникам доведеться забезпечити виведення з експлуатації 1C, BAS та інших підозрілих рішень на об’єктах, що підпадають під розпорядження. Це означає додаткові витрати на міграцію даних, підготовку технічних завдань і впровадження альтернативних рішень. Для локальної влади та департаментів у бюджетах можуть з’явитися статті на закупівлю ліцензійного ПЗ, адаптацію бізнес-процесів та підготовку персоналу.
Для малого й середнього бізнесу, який використовує 1C або BAS, безпосередні обмеження можуть бути менш суворими, але ринок обов’язково відреагує: з’являться пропозиції від українських розробників, міжнародних постачальників, а також консалтингові послуги з міграції. Важливо, щоб процес переходу був контрольованим — збереження архівів, створення резервних копій та юридичне оформлення передачі даних мають бути виконані згідно з нормативами.
Як зменшити ризики і що робити користувачамПередусім експерти радять скласти повний каталог використовуваного програмного забезпечення та визначити, які системи підпадають під заборону. Наступні кроки мають включати:
- проведення оцінки ризиків і пріоритезацію: відокремити системи критичного значення (де зберігаються персональні дані, фінансові звіти, дані оборонного значення) і опрацювати план заміни;
- забезпечення безпечного резервного копіювання та вивантаження даних у нейтральні формати для подальшої міграції;
- залучення сертифікованих постачальників і аудитів безпеки: обирати ПЗ з відкритою або перевіреною архітектурою та гарантіями від надійних постачальників;
- тимчасові технічні заходи: ізоляція підозрілих систем, блокування зовнішніх з’єднань та моніторинг мережевого трафіку з метою виявлення аномалій;
- навчання персоналу й внутрішні процедури безпеки: обмеження доступу, політики паролів, регулярні перевірки доступу до критичних даних.
Крім технічних заходів, важлива й правова складова: укладати договори з постачальниками, які передбачають відповідальність за витік даних, та дотримуватися розпоряджень державних органів. Для бізнесу це також шанс переглянути IT-стратегію, інвестувати в локальні рішення та підвищити довіру користувачів до захисту їхніх даних.
Заборона на використання певного програмного забезпечення — це не кінець роботи, а початок системних змін у підходах до кібербезпеки. Важливо, щоб політика переходу була прозорою, а рішення — технічно обґрунтованими й економічно взваженими. Для державних органів і керівників підприємств ключовим завданням є збереження цілісності даних, неприривності бізнес-процесів і мінімізація ризиків для національної безпеки. У цій ситуації Держспецзв'язку виступає не лише регулятором, а й джерелом рекомендацій для безпечної адаптації інфраструктури до нових викликів.