Цифрова деокупація та санкції в Україні
Коротко. Цифрова деокупація — це не просто видалення російських програм із комп’ютера. Це системний перехід від програмного забезпечення, сервісів, інфраструктури та бізнес-процесів, пов’язаних із країною-агресором, до українських або санкційно безпечних міжнародних рішень.
Цифрова деокупація — це процес повного або поетапного заміщення програмного забезпечення, цифрових сервісів, ІТ-інфраструктури та бізнес-систем, які мають походження з країни-агресора, контролюються її резидентами або пов’язані з підсанкційними особами, на українські чи міжнародні аналоги.
Метою цифрової деокупації є:
- посилення національної кібербезпеки;
- захист державних інформаційних ресурсів;
- захист персональних і комерційних даних;
- зменшення ризиків кібершпигунства;
- припинення фінансування країни-агресора через ліцензійні платежі, підтримку та оновлення;
- зниження санкційних, юридичних і репутаційних ризиків;
- розвиток української технологічної екосистеми;
- формування цифрової незалежності бізнесу та держави.
Головна ідея: цифрова деокупація — це не разова ІТ-акція, а стратегія виходу з технологічної залежності.
Загальний контекст
Після початку російської агресії проти України питання використання російського або пов’язаного з Росією програмного забезпечення перестало бути лише технічним.
Для держави, бізнесу, критичної інфраструктури та великих підприємств це стало питанням:
- національної безпеки;
- кібербезпеки;
- санкцій;
- комплаєнсу;
- фінансових потоків;
- контролю над даними;
- репутації;
- довгострокової цифрової незалежності.
Особливо чутливими є системи, у яких зберігаються:
- бухгалтерські дані;
- податкова інформація;
- кадрові дані;
- зарплати;
- договори;
- персональні дані;
- комерційна таємниця;
- інформація про контрагентів;
- фінансові документи;
- складські залишки;
- державні інформаційні ресурси;
- дані критичної інфраструктури.
Ключова проблема. Російське або пов’язане з Росією ПЗ може бути не просто “старою звичною програмою”, а каналом технологічної залежності, ризиком для даних і потенційним джерелом фінансування ворожої екосистеми.
Що означає цифрова деокупація
Цифрова деокупація означає не лише видалення окремих програм із робочих місць.
Вона включає:
- аудит програмного забезпечення;
- перевірку походження постачальників;
- перевірку санкційного статусу;
- аналіз договорів супроводу;
- перевірку каналів оновлень;
- оцінку ризиків хмарних сервісів;
- оцінку доступу зовнішніх підрядників;
- міграцію даних;
- заміну ERP, CRM, бухгалтерських, антивірусних, документообігових та інших систем;
- навчання персоналу;
- перехід на українські або міжнародні санкційно безпечні альтернативи.
| Просте визначення |
|---|
|
Цифрова деокупація — це очищення цифрової інфраструктури компанії або державної установи від програм, сервісів і залежностей, які можуть бути пов’язані з країною-агресором або санкційними ризиками. |
Законодавче та нормативне підґрунтя
Процес цифрової деокупації в Україні спирається на кілька напрямів правового регулювання:
- Закон України “Про санкції”;
- рішення РНБО, введені в дію указами Президента України;
- постанови Кабінету Міністрів України;
- документи Держспецзв’язку;
- вимоги у сфері кібербезпеки;
- вимоги щодо захисту державних інформаційних ресурсів;
- вимоги щодо об’єктів критичної інфраструктури;
- закупівельні та комплаєнс-процедури.
Окреме значення має відкритий перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання, який оприлюднюється Держспецзв’язку.
Важливо. Для юридичних висновків потрібно перевіряти не перекази в медіа, а актуальні офіційні джерела: сайт Держспецзв’язку, zakon.rada.gov.ua, рішення РНБО, укази Президента та постанови Кабміну.
Відкритий перелік забороненого програмного забезпечення
В Україні діє підхід, за якого окреме програмне забезпечення та мережеве обладнання можуть включатися до відкритого переліку заборонених до використання.
Такий перелік має особливе значення для:
- органів державної влади;
- органів місцевого самоврядування;
- державних підприємств;
- військових формувань;
- об’єктів критичної інфраструктури;
- систем, що працюють із державними інформаційними ресурсами;
- систем, які обробляють службову інформацію;
- систем, де вимоги кібербезпеки є критичними.
| Червоний блок ризику |
|---|
|
Якщо програмне забезпечення включене до офіційного переліку забороненого, його використання в державному секторі, критичній інфраструктурі або системах із державними інформаційними ресурсами створює високий юридичний, кібербезпековий та управлінський ризик. |
Основні групи програмного забезпечення в зоні ризику
У межах цифрової деокупації особливу увагу потрібно приділяти програмному забезпеченню, яке має російське походження, російських правовласників, російську технологічну спадщину або зв’язок із підсанкційними суб’єктами.
| Група ПЗ | Приклади продуктів | Типовий ризик |
|---|---|---|
| ERP та бухгалтерський облік | 1С, BAS, Парус, окремі галузеві конфігурації | Санкційні, міграційні, кібербезпекові та репутаційні ризики |
| CRM та корпоративні портали | Бітрікс24, AmoCRM та інші системи з російським походженням або зв’язками | Ризик доступу до клієнтських даних, комунікацій і внутрішніх процесів |
| Антивірусне ПЗ | Kaspersky, Dr.Web та інші продукти російського походження | Ризик глибокого доступу до системи та потенційного контролю над захистом |
| Документообіг | Системи з російською спадщиною або підсанкційними постачальниками | Ризик доступу до договорів, кадрових документів, внутрішньої переписки |
| Інфраструктурне ПЗ | Системи моніторингу, адміністрування, віддаленого доступу, мережеве обладнання | Ризик контролю над ІТ-інфраструктурою |
ERP та бухгалтерські системи як особливо чутлива зона
ERP і бухгалтерські системи є однією з найважливіших зон цифрової деокупації.
Такі системи містять:
- фінансові дані;
- бухгалтерські документи;
- податкову інформацію;
- контрагентів;
- договори;
- зарплати;
- кадрові дані;
- складські залишки;
- виробничі дані;
- управлінську аналітику;
- внутрішні документи;
- комерційну таємницю.
Тому заміна 1С, BAS або інших систем зі старою російською чи санкційно ризиковою спадщиною — це не просто ІТ-проєкт. Це питання безпеки бізнесу.
Ключовий ризик. Якщо ERP-система має санкційний або технологічно ризиковий контекст, під ризиком опиняється не лише бухгалтерія, а вся цифрова модель управління підприємством.
CRM, портали та комунікаційні системи
CRM-системи, корпоративні портали та комунікаційні платформи зберігають не менш чутливу інформацію, ніж бухгалтерія.
У них можуть бути:
- клієнтські бази;
- історія перемовин;
- задачі менеджерів;
- документи;
- комерційні пропозиції;
- внутрішні чати;
- дані про угоди;
- маркетингові кампанії;
- телефонія;
- інтеграції з поштою;
- файли та вкладення.
Якщо така система має російське походження або залежить від російської інфраструктури, ризик стосується не лише ІТ, а й продажів, клієнтів, репутації та комерційної таємниці.
Антивірусне ПЗ та системи безпеки
Антивірусне програмне забезпечення має особливо високий рівень доступу до комп’ютерів і серверів.
Воно може:
- сканувати файли;
- контролювати процеси;
- перевіряти мережеву активність;
- отримувати доступ до системних компонентів;
- впливати на запуск програм;
- працювати з правами адміністратора;
- передавати телеметрію.
Тому використання антивірусних систем із країни-агресора є особливо небезпечним.
|
Антивірус із ризиковим походженням — це не захист, а потенційний привілейований доступ до інфраструктури компанії. |
Основні ризики використання підсанкційного або ризикового ПЗ
Кібершпигунство
Програмне забезпечення з ризиковим походженням може створювати загрозу несанкціонованого доступу до даних.
Ризик може проявлятися через:
- приховані механізми доступу;
- небезпечні оновлення;
- телеметрію;
- зовнішні підключення;
- віддалений супровід;
- залежність від серверів за межами України;
- доступ підрядників до внутрішніх систем.
Фінансування агресора
Оплата ліцензій, підтримки, оновлень або супроводу продуктів, пов’язаних із країною-агресором чи підсанкційними суб’єктами, може створювати ризик фінансування ворожої технологічної екосистеми.
Навіть якщо платежі проходять через посередників, компанії потрібно перевіряти:
- кінцевих бенефіціарів;
- правовласників;
- канали оновлень;
- контрагентів;
- технічну підтримку;
- договори;
- партнерську мережу.
Технічне блокування та комплаєнс-ризики
Для державного сектору та критичної інфраструктури використання забороненого ПЗ може призвести до:
- вимоги замінити систему;
- проблем із перевірками;
- аудиторських зауважень;
- закупівельних ризиків;
- порушень політик кібербезпеки;
- репутаційних наслідків;
- втрати довіри з боку партнерів або державних замовників.
Для приватного бізнесу ризик може бути менш прямим, але все одно суттєвим:
- питання від міжнародних партнерів;
- питання від аудиторів;
- ризики участі в тендерах;
- підвищення вартості майбутньої міграції;
- залежність від старої екосистеми.
Приватний бізнес і цифрова деокупація
Для приватного бізнесу цифрова деокупація не завжди виглядає як негайна юридична заборона на все російське ПЗ.
Але це не означає, що ризиків немає.
Приватний бізнес має враховувати:
- санкційні ризики;
- репутаційні ризики;
- ризики платежів;
- ризики договорів супроводу;
- кібербезпекові ризики;
- залежність від старих спеціалістів;
- ризик блокування інтеграцій;
- ризик несумісності з майбутніми вимогами держави;
- ризик втрати клієнтів або партнерів через використання ризикового ПЗ.
Практичний висновок. Навіть якщо приватна компанія формально не належить до держсектору або критичної інфраструктури, використання російського чи санкційно ризикового ПЗ може стати проблемою під час аудиту, тендеру, партнерської перевірки або кіберінциденту.
Державний сектор і критична інфраструктура
Для державного сектору, військових формувань, державних підприємств і критичної інфраструктури вимоги значно жорсткіші.
Особливо уважно потрібно перевіряти програмне забезпечення, яке використовується для:
- бухгалтерії;
- документообігу;
- кадрового обліку;
- зарплат;
- управління комунальними підприємствами;
- управління енергетикою;
- транспортної інфраструктури;
- медичних інформаційних систем;
- систем місцевого самоврядування;
- систем із персональними даними;
- систем із державною інформацією.
| Сфера | Чому ризик високий |
|---|---|
| Державний орган | Працює з державними інформаційними ресурсами та службовою інформацією |
| Орган місцевого самоврядування | Має фінансові, кадрові, земельні, комунальні та персональні дані |
| Державне підприємство | Підпадає під контроль, аудит і вимоги безпеки |
| Критична інфраструктура | Має підвищені вимоги до кібербезпеки та безперервності роботи |
| Військові формування | Найвищий рівень безпекового ризику |
Дорожня карта цифрової деокупації підприємства
Цифрова деокупація має відбуватися не хаотично, а як керований проєкт.
1. Аудит
Перший крок — виявити всі програми, сервіси та компоненти ризикового походження.
Потрібно перевірити:
- ERP;
- CRM;
- бухгалтерські системи;
- документообіг;
- антивіруси;
- системи віддаленого доступу;
- хмарні сервіси;
- поштові сервіси;
- телефонію;
- файлообмінники;
- системи моніторингу;
- мережеве обладнання;
- старі серверні компоненти;
- контракти підтримки.
2. Класифікація ризиків
Після аудиту потрібно класифікувати знайдені системи:
- критичні;
- важливі;
- допоміжні;
- застарілі;
- підсанкційні;
- потенційно ризикові;
- такі, що потребують додаткової юридичної перевірки.
3. Перевірка офіційних джерел
Потрібно перевірити програмне забезпечення та постачальників у таких джерелах:
- офіційний перелік Держспецзв’язку;
- санкційні списки РНБО;
- укази Президента України;
- постанови Кабінету Міністрів України;
- zakon.rada.gov.ua;
- внутрішні політики комплаєнсу;
- вимоги партнерів і донорів.
4. Вибір альтернативи
Після перевірки компанія має обрати безпечну альтернативу.
Приклади напрямів заміни:
| Сфера | Що замінюється | Можливі альтернативи |
|---|---|---|
| ERP та облік | 1С, BAS, Парус | K2 ERP, Odoo, SAP, Microsoft Dynamics, інші українські або міжнародні ERP |
| CRM | Бітрікс24, AmoCRM та інші ризикові CRM | Українські CRM, міжнародні CRM, CRM-модулі ERP |
| Антивірус | Kaspersky, Dr.Web | Українські або міжнародні засоби кіберзахисту з безпечним походженням |
| Документообіг | Ризикові або застарілі системи | Українські системи документообігу, ERP-документообіг, міжнародні рішення |
| Віддалений доступ | Ризикові засоби адміністрування | Безпечні рішення з контрольованим доступом і журналюванням |
5. Міграція даних
Міграція даних — один із найскладніших етапів цифрової деокупації.
Потрібно перенести:
- довідники;
- контрагентів;
- номенклатуру;
- залишки;
- документи;
- договори;
- історію взаєморозрахунків;
- кадрові дані;
- зарплатні дані;
- архіви;
- аналітичні виміри;
- права доступу;
- інтеграції.
Практичне правило. Міграція з 1С/BAS або іншої старої системи — це не копіювання файлу. Це окремий проєкт: аудит, очищення даних, перенесення, тестування, звірка та запуск.
6. Навчання персоналу
Навіть найкраща система не запрацює, якщо користувачі не розуміють нову логіку.
Потрібно навчити:
- бухгалтерію;
- фінансову службу;
- менеджерів;
- склад;
- кадрову службу;
- керівників;
- адміністраторів;
- технічну підтримку;
- інтеграторів.
7. Запуск і супровід
Після переходу потрібно забезпечити:
- дослідну експлуатацію;
- паралельну звірку;
- виправлення помилок;
- підтримку користувачів;
- оновлення інструкцій;
- контроль доступів;
- перевірку інтеграцій;
- аудит результату.
K2 ERP як інструмент цифрової деокупації
K2 ERP може розглядатися як один із українських інструментів цифрової деокупації для компаній, які хочуть вийти зі старої 1С/BAS-екосистеми.
K2 ERP може бути актуальною для заміни або поступового витіснення ризикових систем у таких напрямах:
- бухгалтерський облік;
- податковий облік;
- управлінський облік;
- CRM;
- документообіг;
- склад;
- інтернет-магазин;
- CMS;
- API;
- мобільні сценарії;
- desktop-сценарії;
- інтеграції;
- бізнес-аналітика;
- автоматизація внутрішніх процесів.
| Перевага K2 ERP |
|---|
|
K2 ERP — це не просто “заміна 1С”. Це українська ERP-платформа, яку можна використовувати як частину стратегії цифрової деокупації підприємства. |
Помилки під час цифрової деокупації
Підприємства часто роблять типові помилки:
- замінюють лише назву продукту, але не змінюють архітектуру;
- переходять із 1С на BAS і вважають проблему вирішеною;
- не перевіряють правовласників;
- не аналізують платежі за супровід;
- не перевіряють канали оновлень;
- не оцінюють ризики хмарних сервісів;
- не планують міграцію даних;
- відкладають перехід до останнього;
- не навчають персонал;
- не залучають юристів і фахівців із кібербезпеки;
- не документують прийняті рішення.
Головна помилка. Цифрова деокупація не відбувається через ребрендинг. Якщо стара залежність залишається в архітектурі, договорах, оновленнях, інтеграціях і даних — проблема не вирішена.
Порівняння: косметична заміна і справжня цифрова деокупація
| Критерій | Косметична заміна | Справжня цифрова деокупація |
|---|---|---|
| Назва продукту | Змінюється | Може змінюватися, але це не головний критерій |
| Архітектура | Часто залишається старою | Переглядається й очищується від ризикової залежності |
| Постачальники | Можуть залишатися ті самі | Перевіряються за санкційними та комплаєнс-критеріями |
| Дані | Просто переносяться або залишаються в старій системі | Очищуються, структуруються й мігрують у безпечне середовище |
| Договори | Можуть залишатися без аналізу | Перевіряються юристами й комплаєнсом |
| Кібербезпека | Не змінюється суттєво | Вбудовується в нову модель |
| Бізнес-процеси | Залишаються старими | Переосмислюються й модернізуються |
| Результат | Нова вивіска для старої залежності | Реальний вихід із ризикової цифрової інфраструктури |
Практичний чеклист для керівника
| Питання | Навіщо це потрібно |
|---|---|
| Яке ПЗ російського або ризикового походження використовується в компанії? | Щоб зрозуміти реальний масштаб проблеми |
| Чи є це ПЗ в офіційних переліках або санкційних документах? | Щоб оцінити юридичні та комплаєнс-ризики |
| Хто правовласник продукту? | Щоб зрозуміти реальне походження та контроль |
| Кому компанія платить за підтримку й оновлення? | Щоб виключити фінансування санкційних або ризикових суб’єктів |
| Де розміщені дані? | Щоб оцінити ризики доступу й контролю |
| Хто має зовнішній доступ до систем? | Щоб захистити інфраструктуру |
| Які системи потрібно замінити першими? | Щоб правильно розставити пріоритети |
| Яка українська або міжнародна альтернатива доступна? | Щоб мати реалістичний план переходу |
| Скільки часу займе міграція? | Щоб не переходити в аварійному режимі |
| Хто відповідає за цифрову деокупацію? | Щоб процес мав власника й контроль |
Значення для українського бізнесу
Цифрова деокупація — це шанс не лише позбутися ризикового ПЗ, а й модернізувати бізнес.
Компанія може одночасно:
- очистити ІТ-інфраструктуру;
- зменшити санкційні ризики;
- посилити кібербезпеку;
- оновити ERP;
- покращити CRM;
- модернізувати документообіг;
- навести лад у даних;
- переглянути бізнес-процеси;
- перейти на українські рішення;
- підвищити довіру партнерів;
- підготуватися до аудиту;
- зменшити залежність від старої технологічної школи.
Бізнес-висновок
Цифрова деокупація — це процес виходу з програмної, інфраструктурної та сервісної залежності від країни-агресора.
Вона включає аудит, перевірку санкцій, заміну ризикових систем, міграцію даних, навчання персоналу й перехід на безпечні українські або міжнародні рішення.
Для державного сектору та критичної інфраструктури цифрова деокупація є питанням відповідності вимогам безпеки й законодавства.
Для приватного бізнесу — це питання репутації, комплаєнсу, кібербезпеки та майбутньої конкурентоспроможності.
Головний ризик старого підходу. Компанія продовжує користуватися ризиковим ПЗ, бо “так звикли”, але накопичує санкційні, кібербезпекові, міграційні та репутаційні проблеми.
Головна перевага цифрової деокупації. Бізнес отримує не просто нові програми, а чистішу цифрову архітектуру, безпечніші дані, меншу залежність від старої екосистеми та кращу готовність до майбутнього.
Коротко для керівника
| Питання | Відповідь |
|---|---|
| Що таке цифрова деокупація? | Вихід із програмної, сервісної та інфраструктурної залежності від країни-агресора |
| Чому це важливо? | Бо ризикове ПЗ може створювати загрози для даних, безпеки, репутації, комплаєнсу й фінансів |
| Які системи потрібно перевіряти першими? | ERP, бухгалтерію, CRM, документообіг, антивіруси, віддалений доступ, хмарні сервіси |
| Чи стосується це тільки держави? | Ні. Держсектор має жорсткіші вимоги, але приватний бізнес також має санкційні, репутаційні та кіберризики |
| Чи достатньо просто перейти з 1С на BAS? | Ні. Потрібно перевірити, чи справді зникає технологічна й санкційна залежність |
| Що робити перш за все? | Провести аудит ПЗ, договорів, постачальників, платежів і каналів оновлень |
| Які альтернативи розглядати? | Українські рішення, зокрема K2 ERP, або міжнародні системи з безпечним походженням |
| Який правильний підхід? | Планова міграція, а не аварійна заміна після перевірки, інциденту або санкційного ризику |
Див. також
- K2 ERP
- Заміщення 1С
- Міграція з 1С
- BAS
- 1С
- Санкції
- Санкційні ризики ERP
- Кібербезпека
- Критична інфраструктура
- Українське програмне забезпечення
- Автоматизація бізнесу
- Цифрова трансформація
- Інформаційна безпека
- Комплаєнс
- ERP
- CRM
- Документообіг