Без використання ворожого програмного забезпечення. Чи зможе законопроєкт, що пропонує заборону російських ІТ-рішень, перетворитися на дієвий закон?

Перешкодою для цього може стати недолік у документі механізму впровадження закону, неясні визначення та небажання користувачів російського програмного забезпечення відмовитися від нього.

Кабінет Міністрів подав до Верховної Ради законопроєкт, що спрямований на заборону використання в Україні програмного забезпечення, розробленого в Росії та інших країнах, які підпадають під санкції. Як зазначають автори ініціативи, його прийняття та втілення є необхідними для зміцнення захисту державних інформаційних ресурсів і особистих даних громадян України, а також для забезпечення інформаційно-комунікаційних систем країни від можливих кіберзагроз.

Чому всі попередні спроби усунути російське програмне забезпечення з українського цифрового середовища не принесли очікуваних результатів? Чи є можливість досягти успіху в цій справі, якщо буде введено законодавчу заборону? "Детектор медіа" звернувся до експертів українського IT-сектору в пошуках відповідей на ці запитання.

Які положення містить цей законопроєкт?

Обмеження, які планує легалізувати уряд, стосуються програмного та інформаційного забезпечення, розробленого російськими компаніями або особами з країн, пов'язаних із державами-агресорами чи терористичними групами.

Зокрема, законопроєкт передбачає заборону поширення та використання в Україні програмних продуктів, які:

Також документ містить вимогу про блокування вебсайтів, вебсторінок, електронних комунікаційних мереж та інформаційно-комунікаційних систем, які належать або контролюються особами чи організаціями, щодо яких застосовано санкції.

Чи було заборонено раніше?

В Україні санкції проти окремих російських розробників програмного забезпечення почали впроваджуватися ще за часів президентства Петра Порошенка. 16 травня 2017 року президент підписав указ, що містив новий пакет санкцій. Цей пакет, окрім блокування доступу до соціальних мереж "ВКонтакте" та "Однокласники", а також багатьох інших російських онлайн-ресурсів, також передбачав заборону на використання бухгалтерської програми "1С", яка була розроблена в Росії на початку 90-х років для управління бізнесом.

Але це не спонукало приватний сектор до масових відмов від популярної програми. "Оскільки законом це не було заборонено, а штрафів не передбачалося, бізнес сприйняв це просто як рекомендації. Тому більшість компаній продовжували користуватися ворожим програмним забезпеченням", -- розповів "Детектору медіа" Назарій Курочко, ІТ-фахівець, засновник Gigagroup (GigaTrans, GigaCenter, GigaCloud).

Незабаром після цього, 15 квітня 2023 року, президент Володимир Зеленський видав указ, яким санкції були продовжені та розширені на термін десять років. Проте ситуація з використанням російського програмного забезпечення в Україні не зазнала значних змін. За інформацією, наданою "ДМ" Асоціацією ІТ Ukraine (ІТU), близько 75% компаній та установ продовжують використовувати різноманітні модифікації програмного продукту "1С" для облікових цілей. Хоча й рідко, все ще є випадки, коли такі програмні рішення використовуються навіть державними підприємствами та вищими навчальними закладами, повідомляють в ІТU.

З 2017 року, після введення президентського указу про заборону використання програмного забезпечення "1С", понад 2100 українських державних підприємств продовжили купувати ворожий софт, витративши на нього близько 860 мільйонів гривень. Приблизно половина цієї суми була витрачена на програмне забезпечення російського виробництва вже після початку повномасштабного вторгнення, зокрема 91 мільйон гривень було витрачено за перші чотири місяці 2024 року. Найбільшими покупцями стали енергетичні компанії, а на другому місці опинилися навчальні заклади. Ці дані були озвучені партнером з розвитку бізнесу компанії IT-Enterprise Олексієм Щербатенком під час конференції "Своє.ІТ 2024 – Шоурум українського ПЗ", що проходила в червні цього року.

Зростання позитивних змін спостерігається в українському бізнесі, який все активніше відмовляється від російських CRM-систем — програм, призначених для управління взаєминами з клієнтами. Нещодавно платформа Ringostat провела дослідження, яке показало, що частка українських компаній, що користуються CRM-системами з країни-агресора, зменшилася з 73% у 2021 році до 17% у 2024 році. Проте навіть цей показник видається нам занадто високим. Ми слідкуємо за тенденціями і готові ділитися нашими висновками з відповідними державними установами, — зазначив Артем Бородатюк, засновник Netpeak Group, до складу якої входить платформа Ringostat.

Виявлення труднощів

Однією з перепон, які заважають українським компаніям відмовлятися від їхніх послуг, кажуть співрозмовники "ДМ", є здатність російських виробників ПЗ приховувати своє коріння. Інколи бізнес може не здогадуватися про те, що користується ворожими програмами -- настільки вміло їхні виробники навчилися "перевдягатися", пояснює Назарій Курочко.

Наприклад, відома всім історія про маскування російського Iiko — програмного забезпечення, яке активно використовують у ресторанному бізнесі. Після початку повномасштабного вторгнення власники вирішили змінити назву на Syrve, зареєструвати компанію в Об’єднаних Арабських Еміратах та представити себе як новий продукт. Проте, як зазначає засновник Gigagroup, зміни торкнулися лише зовнішнього вигляду. Схожа ситуація спостерігається і з російським бухгалтерським програмним забезпеченням BAS, яке побудоване на основі архітектури "1С", а також з продуктом для управління електронними документами Only Office, програмним забезпеченням для барбершопів Altegio та багатьма іншими менш відомими російськими програмами.

Навесні 2022 року платформа "Опендатабот" у співпраці з компанією Netpeak розробила список програмного забезпечення російського виробництва та запропонувала альтернативи для кожного з них. У 2023 році Асоціація ІТ Ukraine ініціювала проект "Ворожий софт", створивши базу програм, які можуть становити загрозу для України.

"На сьогодні ця база налічує понад сто таких програмних продуктів і, безумовно, кожен із них становить загрозу національній безпеці. По-перше, інформація з EPR- та CRM-систем може використовуватися для шпигування за українськими організаціями та заподіяння їм шкоди. По-друге, є ризик наявності небезпечного коду, адже ворожий софт може містити вбудовані баги, вразливості або шпигунський код, який дозволить державним органам країни-терористки отримати доступ до конфіденційних даних, щоб використати їх для військових цілей. Йдеться про цільовий фішинг, самоінфікування тощо", -- розповіла в інтерв'ю "ДМ" виконавча директорка ІТU Марія Шевчук.

Кінцевого бенефіціара компанії, яка просуває на українському ринку той чи той програмний продукт, можна перевірити у відкритих джерелах, каже Назарій Курочко. Також це можна зробити через бот, який ідентифікує походження ПЗ. Інша справа, що далеко не всі представники вітчизняної бізнес-спільноти мають для цього ресурси, сумління та волю.

Імпульс для зростання національного ринку програмного забезпечення

Заборона російського програмного забезпечення на законодавчому рівні матиме позитивний вплив на розвиток української ІТ-індустрії, яка вже пропонує чимало вітчизняних альтернатив. Наприклад, Асоціація ІТ Ukraine не лише складає список ворожого софту, але й формує перелік українського ПЗ, яке може замінити російські продукти.

На конференції "Своє.ІТ 2024 – Вітрина українського програмного забезпечення" були представлені також українські розробки. У їх числі:

"Якщо на операції з продажу та послуги з впровадження і підтримки російського софту буде накладено залізне табу, то українські компанії переходитимуть на впровадження вітчизняних та міжнародних програмних продуктів, а отже буде більш активно розвиватися ринок розробки українських IT-рішень", -- говорить Олексій Щербатенко. За його підрахунками, відмова від російського софту дасть зростання ринку українських продуктів на 300 -- 400%.

Що не так із законопроєктом

Засновник Netpeak Group Артем Бородатюк зазначає, що потреба у введенні закону, що забороняє ворожі програмні забезпечення, стала очевидною ще в 2014 році, коли російські війська вторгнулися в Україну. Проте, на думку Бородатюка, ресурси держави були зосереджені на фізичному захисті країни, і питання виключення російського програмного забезпечення з українського ринку виявилося на другому плані.

"Сподіваюсь, що законодавці нарешті усвідомили значення не лише фізичної, а й цифрової безпеки України. Проте ефективність цього закону залежатиме від існуючих механізмів його впровадження та інструментів для моніторингу дотримання його норм", -- зазначає Бородатюк.

Наші співрозмовники зазначили, що запропонований урядом законопроєкт має суттєві недоліки. Зокрема, у документі відсутня відповідальність за порушення його вимог, а також за невиконання положень Закону України "Про санкції", на що звернула увагу виконавча директорка ІТU Марія Шевчук. Отже, в поточному вигляді законопроєкт навряд чи буде ефективним.

Крім того, у документі відсутня чітка методологія для визначення програмного забезпечення, яке підпадатиме під заборону на поширення та використання в Україні. Це створює ризики неоднозначного тлумачення норм майбутнього закону, що може призвести до негативних наслідків у його застосуванні, -- зазначила Шевчук. Вона додала, що Асоціація планує ініціювати створення експертної робочої групи, яка займеться доопрацюванням законопроєкту з метою усунення цих та інших недоліків у тісній співпраці з авторами та депутатами.

Редакція "Детектор медіа" надіслала запит до Державної служби спеціального зв'язку та захисту інформації України. За словами міністра цифрової трансформації Михайла Федорова, установа працює над відповідним законопроєктом. Одне з питань, яке ми поставили, стосувалося того, що документ містить чималий список заборон на використання в Україні програмного забезпечення, створеного фізичними чи юридичними особами країн, до яких введено санкції. Однак у ньому не зазначено механізму контролю за поширенням і використанням таких продуктів. Чи планується розробка подібного механізму, і якщо так, то коли та ким він буде реалізований?

У відповіді на наш запит голова Державної служби спеціального зв'язку Юрій Мироненко зазначив, що це питання "не входить до компетенції Адміністрації Держспецзв'язку".

Навіть якщо документ буде оновлено додатковими пунктами, що стосуються санкцій за його недотримання та методів ідентифікації програмного забезпечення, яке підлягатиме забороні, швидкого відмовлення державних і приватних підприємств від ворожих програм не слід сподіватися, зазначив Курочко.

Наївно вважати, що з моменту ухвалення закону бізнес миттєво почне масово відмовлятися від ворожого програмного забезпечення. У найоптимістичнішому варіанті, протягом півроку після впровадження нових нормативів, близько половини компаній, які досі користуються російським софтом, зможуть перейти на альтернативи. Однак проблема не лише в санкціях. Хоча штрафи мають місце в нашій країні, цього механізму контролю недостатньо. Важливо також подумати про підтримку бізнесу в процесі переходу. Можна створити менторські програми чи платформи для навчання українським аналогам програмного забезпечення, організувати безкоштовні консультації з експертами у цій сфері тощо. Адже така міграція вимагатиме значних витрат часу, ресурсів та залучення відповідних фахівців, -- зазначив Курочко.

Великим компаніям, за його словами, вдасться знайти ресурси для переходу на нові технології, проте труднощі можуть виникнути у малих підприємств та фізичних осіб-підприємців. Вони часто не мають альтернатив, фінансових ресурсів, а іноді й бажання шукати нові рішення. Важливо зазначити, що саме таких користувачів програмного забезпечення важче контролювати, оскільки великі підприємства завжди на поверхні, тоді як за маленькими бізнесами важче стежити. Тому законодавцям варто знайти способи взаємодії з ними. Проте це не повинні бути тільки штрафи, а й просвітницькі кампанії, підкреслив IT-експерт.