Без ворожих технологій. Чи зможе проект закону щодо заборони російського програмного забезпечення виявитися дієвим - Новини Весь Харків.

Перешкодою цьому може стати брак у документі механізму виконання закону, неясні визначення та небажання користувачів російського програмного забезпечення відмовитися від нього.

Уряд України подав до Верховної Ради законопроєкт, який передбачає заборону на застосування програмного забезпечення, створеного в Росії та інших країнах, що підпадають під санкції. Автори ініціативи зазначають, що прийняття та втілення цього законопроєкту є важливими кроками для зміцнення захисту державних інформаційних ресурсів та особистих даних громадян України, а також для забезпечення безпеки інформаційно-комунікаційних систем від можливих кіберзагроз.

Чому всі попередні спроби усунути російське програмне забезпечення з українського цифрового простору не принесли результатів, і чи можна сподіватися на успіх у цій справі за умови запровадження законодавчої заборони? Видання "Детектор медіа" звернулося до експертів українського IT-сектору, щоб знайти відповіді на ці запитання.

Що передбачає законопроєкт

Обмеження, які планує легалізувати уряд, поширюються на програмне та інформаційне забезпечення, розроблене російськими компаніями або особами з країн, що мають зв'язки з агресорами чи терористичними угрупованнями.

Зокрема, даний законопроєкт встановлює обмеження на розповсюдження та застосування програмного забезпечення в Україні, яке:

● створені фізичними чи юридичними особами з іноземних держав, до яких застосовано санкції;

● засновані юридичними особами, частка статутного капіталу яких належить цим державам;

● засновані юридичними особами, контроль над якими здійснюють іноземні фізичні або юридичні особи, що займаються терористичною діяльністю;

● розроблені на основі вихідного або об'єктного коду програмного забезпечення, яке підлягає санкціям;

● створені особами, які знаходяться під санкціями, без огляду на країну їхнього походження.

Також документ містить вимогу про блокування вебсайтів, вебсторінок, електронних комунікаційних мереж та інформаційно-комунікаційних систем, які належать або контролюються особами чи організаціями, щодо яких застосовано санкції.

Чи існували раніше заборони?

Санкційні заходи проти окремих російських розробників програмного забезпечення почали впроваджувати в Україні ще під час президентства Петра Порошенка. 16 травня 2017 року він підписав указ, що став частиною нового пакету санкцій. Цей пакет, окрім блокування доступу до соціальних мереж "ВКонтакте" та "Однокласники", а також багатьох інших російських сайтів, включав заборону на використання програмного продукту "1С". Цей софт, розроблений в Росії ще на початку 90-х, призначався для бухгалтерії та управління підприємствами.

Проте це не призвело до широкого відмови приватного сектору від популярної програми. "Оскільки законодавство не містило заборон, а санкції не були передбачені, бізнес сприйняв це лише як рекомендації. З цієї причини більшість компаній продовжували використовувати заборонене програмне забезпечення", -- поділився Назарій Курочко, ІТ-експерт та засновник Gigagroup (GigaTrans, GigaCenter, GigaCloud), в інтерв'ю для "Детектора медіа".

Невдовзі після цього президент Володимир Зеленський підписав указ 15 квітня 2023 року, яким продовжив і розширив санкції на десять років. Проте ситуація з використанням російського програмного забезпечення в Україні залишилася практично незмінною. За інформацією, наданою "ДМ" Асоціацією ІТ Ukraine (ІТU), близько 75% компаній та установ досі використовують різні модифікації програмного продукту "1С" для бухгалтерського обліку. В ITU повідомили, що навіть державні підприємства та заклади вищої освіти іноді все ще застосовують ці програмні рішення, хоча такі випадки є поодинокими.

З 2017 року, після введення президентського указу про заборону використання "1С", понад 2100 державних підприємств України придбали ворожий програмний продукт, витративши на це близько 860 мільйонів гривень. Практично половина цієї суми була виділена на російське програмне забезпечення вже після початку повномасштабної агресії, при цьому 91 мільйон гривень було витрачено лише в перші чотири місяці 2024 року. Лідерами за обсягом таких закупівель стали енергетичні компанії, за ними слідують навчальні заклади. Цю інформацію навів Олексій Щербатенко, партнер із розвитку бізнесу групи компаній IT-Enterprise, під час конференції "Своє.ІТ 2024 -- Шоурум українського ПЗ", що пройшла в червні цього року, на основі аналізу даних з Prozorro.

Позитивна тенденція помітна в зменшенні використання українським бізнесом російських CRM-систем — програмного забезпечення для управління взаємовідносинами з клієнтами. Нещодавно платформа Ringostat опублікувала результати дослідження, які показали, що частка українських компаній, що користуються CRM-системами з країни-агресора, знизилася з 73% у 2021 році до 17% у 2024 році. Проте, навіть ця частка виглядає надто великою. "Ми слідкуємо за цими змінами та готові обмінюватися інформацією з відповідними органами влади," — зазначив Артем Бородатюк, засновник Netpeak Group, до складу якої входить Ringostat.

Складнощі виявлення

Однією з причин, чому українські компанії не поспішають відмовлятися від послуг російських постачальників програмного забезпечення, є вміння останніх маскувати своє походження, як зазначають співрозмовники "ДМ". Іноді бізнес може навіть не підозрювати, що використовує продукти ворожих компаній, оскільки їхні виробники навчилися дуже майстерно "перевдягатися", пояснює Назарій Курочко.

Наприклад, усім відома історія про маскування російського Iiko — програми, що активно використовується в ресторанному бізнесі. Після початку повномасштабного вторгнення її власники перейменували продукт на Syrve, зареєстрували компанію в Об'єднаних Арабських Еміратах і представили себе як новий програмний забезпечення. Проте, як зазначає засновник Gigagroup, зміни торкнулися лише зовнішнього вигляду. Те саме стосується російської бухгалтерської програми BAS, яка побудована на архітектурі "1С", а також продукту для управління електронними документами Only Office, програмного забезпечення для барбершопів Altegio та багатьох інших, менш знаних російських рішень.

Навесні 2022 року команда "Опендатабот" спільно з компанією Netpeak уклали список програм, що походять з Росії, і для кожної з них знайшли альтернативні рішення. У 2023 році Асоціація ІТ Ukraine ініціювала проект "Ворожий софт", створивши базу програмного забезпечення, яке може загрожувати безпеці України.

Сьогодні в цій базі міститься понад сто програмних продуктів, кожен з яких може становити серйозну загрозу національній безпеці. По-перше, дані з EPR- та CRM-систем можуть бути використані для шпигунства за українськими установами, що може призвести до шкоди. По-друге, існує ймовірність наявності небезпечного коду, оскільки ворожий програмний забезпечення може включати приховані баги, вразливості або шпигунські елементи, які нададуть державним структурам країни-агресора доступ до конфіденційної інформації з метою її використання у військових операціях. Це стосується таких загроз, як цільовий фішинг та самоінфікування, зазначила в інтерв'ю "ДМ" виконавча директорка ІТU Марія Шевчук.

З'ясувати, хто є кінцевим бенефіціаром компанії, що рекламує певний програмний продукт на українському ринку, можна за допомогою відкритих джерел, зазначає Назарій Курочко. Існує також бот, який допомагає визначити походження програмного забезпечення. Однак варто зауважити, що не всі учасники вітчизняного бізнесу мають необхідні ресурси, сумління або бажання для цього процесу.

Поштовх до розвитку вітчизняного ринку програмних продуктів

Заборона російського софту на законодавчому рівні позитивно вплине на розвиток національної ІТ-індустрії, яка вже створила велику кількість українських альтернатив. Та ж Асоціація ІТ Ukraine, наприклад, разом із переліком ворожого програмного забезпечення формує й список альтернативного українського ПЗ, яке може слугувати замінником російським продуктам.

На конференції "Своє.ІТ 2024 -- Шоурум українського ПЗ" були представлені унікальні українські розробки. У їх числі:

● Системи управління взаємовідносинами з клієнтами та їх реалізація: Creatio, NetHunt, CRMiUM, SuiteCRM, Servio, VoIPTime CRM, MASTER:СRM, KeyCRM.

● аналоги 1С: "Дебет Плюс", "MASTER:Бухгалтерія", "Вправно", ISPro, "Універсал 9:ERP", ERP-система IT-Enterprise, ITFin, Self-ERP, BJet ERP;

● Платформи, що сприяють обміну інформацією та файлами, створенню цифрових підписів та зберіганню документів в електронних архівах: Centredo, MEDoc, "АСКОД", "Вчасно", "MASTER:Документообіг", E-Docs, Megapolis.DocNet, Deals, Signy.

● програмне забезпечення для кол-центрів та сервісів технічної підтримки: рішення для IP-телефонії з інтеграцією штучного інтелекту VoIPTime Contact Center; віртуальна телефонія UniTalk; система управління запитами клієнтів HelpDeskStar;

● інноваційні рішення для оборонної та аграрної сфери: технологія TATL;

● Рішення у сфері освітніх технологій: освітня інформаційна система "Єдина школа" та цифрова платформа "Навчання та технології".

"Якщо буде встановлено сувору заборону на продаж та надання послуг з впровадження і підтримки російського програмного забезпечення, українські компанії почнуть активно переходити на використання вітчизняних та міжнародних програмних рішень. Це, в свою чергу, сприятиме значному розвитку ринку українських IT-інновацій", -- зазначає Олексій Щербатенко. Він також підкреслює, що відмова від російського софту може призвести до зростання ринку українських продуктів на 300-400%.

Які проблеми має цей законопроєкт?

Згідно з висловлюваннями Артема Бородатюка, засновника Netpeak Group, питання ухвалення закону про заборону ворожого програмного забезпечення стало актуальним ще в 2014 році, під час вторгнення російських військ в Україну. Проте тоді державні ресурси були зосереджені на фізичному захисті країни, через що проблема виведення російського програмного забезпечення з українського ринку опинилася на другому плані, зазначає він.

"Хочеться вірити, що законодавці нарешті зрозуміли важливість не лише фізичної, але і цифрової безпеки України. Однак чи буде цей закон ефективним, залежить від наявності механізму його реалізації та інструментів контролю за дотриманням встановлених ним правил", -- каже Бородатюк.

Наші співрозмовники зазначили, що запропонований урядом законопроєкт має суттєві недоліки. Зокрема, він не містить механізмів відповідальності за порушення його вимог, а також не враховує положення Закону України "Про санкції", на що звертає увагу виконавча директорка ІТU Марія Шевчук. Отже, в даній формі документ навряд чи зможе бути ефективним.

Крім того, в документі відсутня чітка методологія, яка б визначала, які саме програмні рішення підлягатимуть забороні на розповсюдження та використання в Україні. Це створює ризик неоднозначного тлумачення норм майбутнього закону, що може призвести до негативних наслідків у його правозастосуванні, -- зазначила Шевчук. Вона також повідомила, що асоціація планує ініціювати формування експертної робочої групи для доопрацювання законопроєкту, щоб виправити ці та інші недоліки документа в процесі спільної роботи з авторами та депутатами.

"Детектор медіа" звернувся з запитом до Державної служби спеціального зв'язку та захисту інформації України, яка, за словами міністра цифрової трансформації Михайла Федорова, розробила законопроєкт. Серед питань, які ми адресували відомству, було й таке: "Цей документ передбачає великий перелік заборон на використання в Україні програмного продукту, який створений фізичними чи юридичними особами з іноземних держав, до яких застосовано санкції. Натомість не містить механізму контролю за їхнім розповсюдженням і використанням. Чи передбачено розробку такого механізму і, якщо так, -- коли й ким?".

У відповіді на наш запит голова Державної служби спеціального зв'язку Юрій Мироненко зазначив, що це питання "не входить до компетенції Адміністрації Держспецзв'язку".

Навіть у випадку, якщо документ буде розширено новими пунктами про санкції за його недотримання та визначенням методології для програмного забезпечення, яке підлягатиме забороні, не слід очікувати на швидке відмовлення державних і приватних компаній від ворожих технологій, зазначив Курочко.

Наївно сподіватися, що бізнес почне масово відмовлятися від російського програмного забезпечення вже з першого дня після ухвалення нового закону. За найоптимістичнішими прогнозами, протягом пів року після введення змін у законодавстві понад половина компаній, які досі користуються таким софтом, можуть його залишити. Проте проблема не лише в санкціях. Хоча штрафи мають певний вплив в нашій країні, цього механізму контролю недостатньо. Необхідно також забезпечити підтримку бізнесу під час цього переходу. Наприклад, можна створити менторські програми або платформи, які навчать українським аналогам, а також організувати безкоштовні консультації з фахівцями у сфері українського ПЗ. Адже цей процес вимагає значних витрат часу та ресурсів, а також залучення кваліфікованих спеціалістів, — зазначив Курочко.

У великих компаній, каже він, ресурси на такий перехід знайдуться, але проблема може виникнути з невеликими компаніями та ФОПами, які не знають альтернатив, не мають коштів, а нерідко й бажання шукати ці альтернативи. А між тим саме таких користувачів ПЗ найважче відстежувати, адже великий бізнес -- "на виду", тоді як за кожним ФОПом не додивишся. І от яким чином працювати з ними, законодавцям варто подумати. Але це однозначно мають бути не лише санкції, а й просвітницька робота, сказав IT-фахівець.