Без ворожого софту. Чи зможе законопроєкт про заборону російського програмного забезпечення стати ефективним законом

Кабінет міністрів уніс до парламенту законопроєкт про заборону використання в Україні програмних продуктів, розроблених в Росії та інших країнах, проти яких запроваджені санкції. Його ухвалення та реалізація, пояснюють автори документа, необхідні, щоб посилити захист державних інформаційних ресурсів і персональної інформації жителів України, а також убезпечити інформаційно-комунікаційні системи країни від кіберзагроз.

Чому не дали результату всі попередні спроби викоренити з українського цифрового простору російський софт і чи можна очікувати, що це вдасться зробити у разі заборони на законодавчому рівні? «Детектор медіа» шукав відповіді на ці питання разом із представниками українського IT-бізнесу.

Що передбачає законопроєкт

Обмеження, які пропонує узаконити уряд, розповсюджується на програмні й інформаційні ресурси, створені російськими компаніями чи будь-якими представниками країн, які мають стосунок до країн-агресорів або терористичних організацій.

Зокрема, законопроєкт передбачає заборону поширення та використання в Україні програмних продуктів, які:

• створені фізичними чи юридичними особами з іноземних держав, до яких застосовано санкції;
• створені юридичними особами, частка у статутному капіталі яких перебуває у власності таких держав;
• створені юридичними особами, які перебувають під контролем іноземних юридичних чи фізичних осіб, які здійснюють терористичну діяльність;
• створені з використанням вихідного або об’єктного коду програмних продуктів, що підпадають під санкції;
• розроблені особами, які підпадають під санкції, незалежно від країни їхнього походження.

Також документ містить вимогу про блокування вебсайтів, вебсторінок, електронних комунікаційних мереж та інформаційно-комунікаційних систем, які належать або контролюються особами чи організаціями, щодо яких застосовано санкції.

Чи забороняли раніше

Санкції проти окремих розробників софту з Росії почали запроваджувати в Україні ще за часів президентства Петра Порошенка. 16 травня 2017 року тодішній глава держави підписав указ про черговий санкційний пакет, який разом із блокуванням доступу до соцмереж «ВКонтакте» й «Однокласники» та багатьох інших російських ресурсів передбачав також заборону на використання програмного забезпечення «1С», створеного в Росії ще на початку 90-х для бухгалтерії та управління підприємством.

Але це не спонукало приватний сектор до масових відмов від популярної програми. «Оскільки законом це не було заборонено, а штрафів не передбачалося, бізнес сприйняв це просто як рекомендації. Тому більшість компаній продовжували користуватися ворожим програмним забезпеченням», — розповів «Детектору медіа» Назарій Курочко, ІТ-фахівець, засновник Gigagroup (GigaTrans, GigaCenter, GigaCloud).

Згодом санкції були розширені та пролонговані на десять років указом президента Володимира Зеленського від 15 квітня 2023 року. Однак ситуація з використанням в Україні російського софту змінилася не надто суттєво. Як повідомили «ДМ» в Асоціації ІТ Ukraine (ІТU), кількість компаній і установ, які сьогодні використовують для обліку програмний продукт «1С» різних модифікацій, сягає 75%. Досі трапляються, хоча і поодинокі, випадки використання таких програмних продуктів навіть державними компаніями, а також закладами вищої освіти, інформують в ІТU.

З 2017 року (вже після того, як на використання «1С» було накладено заборону президентським указом) ворожий софт придбали понад 2100 українських державних компаній, заплативши за нього 860 млн грн. Майже половина цієї суми була витрачена на програмне забезпечення російського походження вже після повномасштабного вторгнення, 91 млн грн — за перші чотири місяці 2024 року. На першому місці за обсягом таких закупівель — енергетичні компанії, на другому — навчальні заклади. Такі дані за підсумками аналізу інформації на Prozorro навів партнер із розвитку бізнесу групи компаній IT-Enterprise Олексій Щербатенко на конференції «Своє.ІТ 2024 — Шоурум українського ПЗ», яка відбулась у червні цього року.

Більш позитивна динаміка спостерігається у відмові українського бізнесу від використання російських CRM-систем — програмного забезпечення для керування взаємовідносинами з клієнтами. «Нещодавно платформа Ringostat провела дослідження, результати якого засвідчили: частка українських компаній, що використовують CRM-системи з країни-агресорки, зменшилася з 73% у 2021 році до 17% у 2024 році. Однак і ця частка здається нам завеликою. Ми відстежуємо тенденції та готові ділитися цими напрацюваннями з відповідними держорганами», — розповів Артем Бородатюк, засновник Netpeak Group, до якої входить платформа Ringostat.

Складнощі виявлення

Однією з перепон, які заважають українським компаніям відмовлятися від їхніх послуг, кажуть співрозмовники «ДМ», є здатність російських виробників ПЗ приховувати своє коріння. Інколи бізнес може не здогадуватися про те, що користується ворожими програмами — настільки вміло їхні виробники навчилися «перевдягатися», пояснює Назарій Курочко.

«Наприклад, усім нам відома історія маскування російського Iiko –– програми, яку використовує ресторанний бізнес. Після повномасштабного вторгнення її власники змінили назву на Syrve, зареєстрували компанію в ОАЕ та заявили про себе як про новий софт. Але всі ми розуміємо, що змінилася лише обгортка, — каже засновник Gigagroup. Така ж ситуація і з російським бухгалтерським ПЗ BAS, що базується на архітектурі «1С», продуктом для керування електронними документами Only Office, програмним забезпеченням для барбершопів Altegio та десятками інших менш відомих російських продуктів.

Ще навесні 2022 року «Опендатабот» і Netpeak створили перелік програмного забезпечення російського походження та запропонували альтернативу для кожного з них. А у 2023 році базу софту, який може становити небезпеку для України, створила Асоціація ІТ Ukraine, ініціювавши проєкт «Ворожий софт».

«На сьогодні ця база налічує понад сто таких програмних продуктів і, безумовно, кожен із них становить загрозу національній безпеці. По-перше, інформація з EPR- та CRM-систем може використовуватися для шпигування за українськими організаціями та заподіяння їм шкоди. По-друге, є ризик наявності небезпечного коду, адже ворожий софт може містити вбудовані баги, вразливості або шпигунський код, який дозволить державним органам країни-терористки отримати доступ до конфіденційних даних, щоб використати їх для військових цілей. Йдеться про цільовий фішинг, самоінфікування тощо», — розповіла в інтерв’ю «ДМ» виконавча директорка ІТU Марія Шевчук.

Кінцевого бенефіціара компанії, яка просуває на українському ринку той чи той програмний продукт, можна перевірити у відкритих джерелах, каже Назарій Курочко. Також це можна зробити через бот, який ідентифікує походження ПЗ. Інша справа, що далеко не всі представники вітчизняної бізнес-спільноти мають для цього ресурси, сумління та волю.

Поштовх до розвитку вітчизняного ринку програмних продуктів

Заборона російського софту на законодавчому рівні позитивно вплине на розвиток національної ІТ-індустрії, яка вже створила велику кількість українських альтернатив. Та ж Асоціація ІТ Ukraine, наприклад, разом із переліком ворожого програмного забезпечення формує й список альтернативного українського ПЗ, яке може слугувати замінником російським продуктам.

Українські розробки також були представлені на конференції «Своє.ІТ 2024 — Шоурум українського ПЗ». Серед них:

• CRM і сервіси з їх впровадження: Creatio, NetHunt, CRMiUM, SuiteCRM, Servio, VoIPTime CRM, MASTER:СRM, KeyCRM;
• аналоги 1С: «Дебет Плюс», «MASTER:Бухгалтерія», «Вправно», ISPro, «Універсал 9:ERP», ERP-система IT-Enterprise, ITFin, Self-ERP, BJet ERP;
• програми, які дозволяють обмінюватися інформацією та файлами, робити цифрові підписи, зберігати документи в електронних архівах: Centredo, MEDoc, «АСКОД», «Вчасно», «MASTER:Документообіг», E-Docs, Megapolis.DocNet, Deals, Signy;
• програми для кол-центрів і служб технічної підтримки: рішення для IP-телефонії з використанням штучного інтелекту VoIPTime Contact Center; віртуальна телефонія UniTalk; тікет-система комунікації з клієнтами HelpDeskStar;
• рішення для військової та агросфер: TATL technology;
• EDTech рішення: освітня інформаційна система «Єдина школа» та цифрова платформа для освіти «Навчання і технології».

«Якщо на операції з продажу та послуги з впровадження і підтримки російського софту буде накладено залізне табу, то українські компанії переходитимуть на впровадження вітчизняних та міжнародних програмних продуктів, а отже буде більш активно розвиватися ринок розробки українських IT-рішень», — говорить Олексій Щербатенко. За його підрахунками, відмова від російського софту дасть зростання ринку українських продуктів на 300—400%.

Що не так із законопроєктом

За словами засновника Netpeak Group Артема Бородатюка, необхідність ухвалення закону про заборону ворожого ПЗ була очевидна ще у 2014 році, коли відбулося вторгнення російських військ на територію України. Однак ресурси держави були сфокусовані навколо фізичного захисту території, і питання витіснення російського софту з українського простору просто відійшло на другий план, пояснює він.

«Хочеться вірити, що законодавці нарешті зрозуміли важливість не лише фізичної, але і цифрової безпеки України. Однак чи буде цей закон ефективним, залежить від наявності механізму його реалізації та інструментів контролю за дотриманням встановлених ним правил», — каже Бородатюк.

Саме цього запропонованому урядом законопроєкту й бракує, сказали наші співрозмовники. Документ, зокрема, не передбачає відповідальності за невиконання вимог, які у ньому містяться, а також Закону України «Про санкції», звертає увагу виконавча директорка ІТU Марія Шевчук. Тому в нинішній редакції навряд чи буде дієвим.

«До того ж документ не містить методології визначення програмного забезпечення, яке підпадатиме під заборону поширення та використання на території України. А це закладає ризики неоднозначного тлумачення положень майбутнього закону, що матиме несприятливі наслідки його правозастосування», — пояснила Шевчук. Асоціація, за її словами, ініціюватиме створення експертної робочої групи для доопрацювання законопроєкта, щоб усунути ці та інші недоліки документа під час спільної роботи з авторами та депутатами.

«Детектор медіа» звернувся з запитом до Державної служби спеціального зв’язку та захисту інформації України, яка, за словами міністра цифрової трансформації Михайла Федорова, розробила законопроєкт. Серед питань, які ми адресували відомству, було й таке: «Цей документ передбачає великий перелік заборон на використання в Україні програмного продукту, який створений фізичними чи юридичними особами з іноземних держав, до яких застосовано санкції. Натомість не містить механізму контролю за їхнім розповсюдженням і використанням. Чи передбачено розробку такого механізму і, якщо так, — коли й ким?».

У своїй відповіді на наш запит голова Держспецзв’язку Юрій Мироненко пояснив, що це питання «не належать до повноважень Адміністрації Держспецзв’язку».

Та навіть якщо документ буде доповнений положеннями про санкції за його невиконання та методологію визначення програмного забезпечення, яке підпадатиме під заборону, швидкої відмови державними й приватними компаніями від ворожого софту не варто очікувати, сказав Курочко.

«Наївно очікувати, що з першого дня після ухвалення закону бізнес стрімголов почне відмовлятися від ворожого ПЗ. За оптимістичного сценарію, протягом пів року після запровадження законодавчих змін із російського софту “зістрибнуть” трохи більш ніж половина компаній, що досі його використовують. І справа навіть не в санкціях. Штрафи працюють у нашій країні, але лише цього механізму контролю недостатньо. Варто подумати також про допомогу бізнесу в такому переході. Створити менторські програми або платформи, що будуть навчати функціоналу українських аналогів, запустити безплатні консультації фахівців з українського ПЗ тощо. Адже така міграція займає купу часу, ресурсів і потребуватиме відповідних фахівців», — прокоментував Курочко.

У великих компаній, каже він, ресурси на такий перехід знайдуться, але проблема може виникнути з невеликими компаніями та ФОПами, які не знають альтернатив, не мають коштів, а нерідко й бажання шукати ці альтернативи. А між тим саме таких користувачів ПЗ найважче відстежувати, адже великий бізнес — «на виду», тоді як за кожним ФОПом не додивишся. І от яким чином працювати з ними, законодавцям варто подумати. Але це однозначно мають бути не лише санкції, а й просвітницька робота, сказав IT-фахівець.