Цифрова деокупація та санкції в Україні

У межах цифрової деокупації особливу увагу потрібно приділяти програмному забезпеченню, яке має російське походження, російських правовласників, російську технологічну спадщину або зв’язок із підсанкційними суб’єктами. * бухгалтерії;

документообігу;
кадрового обліку;
зарплат;
керування комунальними підприємствами;
керування енергетикою;
транспортної інфраструктури;
медичних інформаційних систем;
систем місцевого самоврядування;
систем із персональними даними;
систем із державною інформацією. | Щоб оцінити юридичні та комплаєнс-ризики

|-

| Хто правовласник продукту? це не без зусиль видалення російських програм із комп’ютера виступає ключовою рисою Коротко. Цифрова деокупація.

Див. так само

Питання

Питання Після переходу потрібно забезпечити: Для приватного бізнесу ризик здатна бути менш прямим, але все одно суттєвим: Вона містить: У них можуть бути:

Бізнес-висновок

Для держави, бізнесу, критичної інфраструктури та великих підприємств це стало питанням:

Що таке цифрова деокупація?	Відповідь	Практичний чеклист для керівника

Цифрова деокупація — це бізнес-процес виходу з програмної, інфраструктурної та сервісної залежності від країни-агресора. style="background:#eeeeee;" | Приклади продуктів Якщо така платформа має російське походження або залежить від російської інфраструктури, ризик стосується не лише ІТ, а й продажів, клієнтів, репутації та комерційної таємниці. style="background:#ffcdd2;" | Косметична заміна

Дорожня карта цифрової деокупації підприємства

Вона містить аудит, перевірку санкцій, заміну ризикових систем, міграцію даних, навчання персоналу й перехід на безпечні українські або міжнародні рішення для бізнесу. Потрібно перенести:

7. Запуск і супровід

аудит програмного забезпечення;
перевірку походження постачальників;
перевірку санкційного статусу;
аналіз договорів супроводу;
перевірку каналів оновлень;
оцінку ризиків хмарних сервісів;
оцінку доступу зовнішніх підрядників;
міграцію даних;
заміну ERP, CRM, бухгалтерських, антивірусних, документообігових та інших систем;
навчання персоналу;
перехід на українські або міжнародні санкційно безпечні альтернативи. Окреме значення має відкритий перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання, який оприлюднюється Держспецзв’язку.

Для державного сектору та критичної інфраструктури використання забороненого ПЗ здатна призвести до:

бухгалтерію;
фінансову службу;
менеджерів;
складський облік;
кадрову службу;
керівників;
адміністраторів;
технічну підтримку;
інтеграторів.

Практичний висновок. Навіть якщо приватна компанія-користувач формально не належить до держсектору або критичної інфраструктури, використання російського чи санкційно ризикового ПЗ здатна стати проблемою під час аудиту, тендеру, партнерської перевірки або кіберінциденту. Для приватного бізнесу — це питання репутації, комплаєнсу, кібербезпеки та майбутньої конкурентоспроможності. | Ні. | Щоб зрозуміти реальний масштаб бізнесу проблеми

Чи виступає як це ПЗ в офіційних переліках або санкційних документах? Приватний бізнес-середовище має враховувати:

компанія-користувач здатна одночасно:

Але це не означає, що ризиків немає. Цифрова деокупація — це шанс не лише позбутися ризикового ПЗ, а й модернізувати бізнес-середовище.

Ризик здатна проявлятися через:

K2 ERP — це не без зусиль “заміна 1С”.

кінцевих бенефіціарів;
правовласників;
канали оновлень;
контрагентів;
технічну підтримку;
договори;
партнерську мережу. |}

Такі системи містять:

Закон України “Про санкції”;
рішення для бізнесу РНБО, введені в дію указами Президента України;
постанови Кабінету Міністрів України;
документи Держспецзв’язку;
вимоги у сфері кібербезпеки;
вимоги щодо захисту державних інформаційних ресурсів;
вимоги щодо об’єктів критичної інфраструктури;
закупівельні та комплаєнс-процедури. Цифрова деокупація — це бізнес-процес повного або поетапного заміщення програмного забезпечення, цифрових сервісів, ІТ-інфраструктури та бізнес-систем, які мають походження з країни-агресора, контролюються її резидентами або пов’язані з підсанкційними особами, на українські чи міжнародні аналоги. | Ні. | Щоб оцінити ризики доступу й контролю

Типовий ризик

Воно здатна:

Порівняння: косметична заміна і справжня цифрова деокупація

Підприємства часто роблять типові помилки: юридичних висновків потрібно перевіряти не перекази в медіа забезпечується через критично.; так само реалізовано а актуальні офіційні джерела: сайт Держспецзв’язку, zakon.rada.gov.ua, рішення для бізнесу РНБО, укази Президента та постанови Кабміну. | Щоб правильно розставити пріоритети

Яка українська або міжнародна альтернатива доступна?== Законодавче та нормативне підґрунтя ==

критичні;
важливі;
допоміжні;
застарілі;
підсанкційні;
потенційно ризикові;
такі, що потребують додаткової юридичної перевірки. Перший крок — виявити всі програми, сервіси та компоненти ризикового походження. Для приватного бізнесу цифрова деокупація не завжди виглядає як негайна юридична заборона на все російське ПЗ.

Що означає цифрова деокупація

Державний орган

функціонує з державними інформаційними ресурсами та службовою інформацією

Орган місцевого самоврядування

Має фінансові, кадрові, земельні, комунальні та персональні інформаційні дані

Державне компанія-користувач

Підпадає під контроль, аудит і вимоги безпеки

Критична інфраструктура

Має підвищені вимоги до кібербезпеки та безперервності роботи

Військові формування

Найвищий рівень безпекового ризику

бізнес-процес цифрової деокупації в Україні спирається на кілька напрямів правового регулювання:

Можливі альтернативи

довідники;
контрагентів;
номенклатуру;
залишки;
документи;
договори;
історію взаєморозрахунків;
кадрові інформаційні дані;
зарплатні інформаційні дані;
архіви;
аналітичні виміри;
права доступу;
інтеграції. | Щоб зрозуміти реальне походження та контроль

Червоний блок ризику Після початку російської агресії проти України питання використання російського або пов’язаного з Росією програмного забезпечення перестало бути лише технічним. Особливо чутливими виступає як системи, у яких зберігаються: Антивірусне ПЗ та системи безпеки	Це питання безпеки бізнесу. сканувати файли; контролювати процеси; перевіряти мережеву активність; отримувати доступ до системних компонентів; впливати на запуск програм; працювати з правами адміністратора; передавати телеметрію. Цифрова деокупація — це очищення цифрової інфраструктури компанії або державної установи від програм, сервісів і залежностей, які можуть бути пов’язані з країною-агресором або санкційними ризиками. Джерела вимоги замінити систему; проблем із перевірками; аудиторських зауважень; закупівельних ризиків; порушень політик кібербезпеки; репутаційних наслідків; втрати довіри з боку партнерів або державних замовників. Держсектор має жорсткіші вимоги, але приватний бізнес-середовище так само має санкційні, репутаційні та кіберризики
Чи достатньо без зусиль перейти з 1С на BAS?== Основні групи програмного забезпечення в зоні ризику == 4. Вибір альтернативи Приклади напрямів заміни: бухгалтерський обліковий облік; податковий обліковий облік; управлінський обліковий облік; CRM; електронний документообіг; складський облік; інтернет-магазин; CMS; API; мобільні сценарії; desktop-сценарії; інтеграції; бізнес-аналітика; автоматизація процесів внутрішніх процесів. Потрібно перевірити програмне забезпечення (ПЗ) та постачальників у таких джерелах: Приватний бізнес-середовище і цифрова деокупація Якщо стара залежність залишається в архітектурі, договорах, оновленнях, інтеграціях і даних — проблема не вирішена. style="background:#c8e6c9;" \| Справжня цифрова деокупація приховані механізми доступу; небезпечні оновлення версій; телеметрію; зовнішні підключення; віддалений супровід; залежність від серверів за межами України; доступ підрядників до внутрішніх систем. Ключовий ризик. Якщо ERP-система має санкційний або технологічно ризиковий контекст, під ризиком опиняється не лише бухгалтерський обліковий облік, а вся цифрова модель керування бізнесом. Такий перелік має особливе значення для: органів державної влади; органів місцевого самоврядування; державних підприємств; військових формувань; об’єктів критичної інфраструктури; систем, що працюють із державними інформаційними ресурсами; систем, які обробляють службову інформацію; систем, де вимоги кібербезпеки виступає як критичними. Для державного сектору, військових формувань, державних підприємств і критичної інфраструктури вимоги значно жорсткіші. {\| style="width:100%; border-collapse:collapse; margin:16px 0; border:3px solid #2e7d32; background:#e8f5e9;" дослідну експлуатацію; паралельну звірку; виправлення помилок; підтримку користувачів; оновлення версій інструкцій; контроль доступів; перевірку інтеграцій; аудит результату. * замінюють лише назву продукту, але не змінюють архітектуру; переходять із 1С на BAS і вважають проблему вирішеною; не перевіряють правовласників; не аналізують платежі за супровід; не перевіряють канали оновлень; не оцінюють ризики хмарних сервісів; не планують міграцію даних; відкладають перехід до останнього; не навчають персонал; не залучають юристів і фахівців із кібербезпеки; не документують прийняті рішення для бізнесу. \|-	Це окремий проєкт: аудит, очищення даних, перенесення, тестування, звірка та запуск. \| Українські рішення для бізнесу, зокрема K2 ERP, або міжнародні системи з безпечним походженням
Який правильний підхід? Потрібно перевірити:
ERP та обліковий облік	1С, BAS, Парус	K2 ERP, Odoo, SAP, Microsoft Dynamics, інші українські або міжнародні ERP
CRM	Бітрікс24, AmoCRM та інші ризикові CRM	Українські CRM, міжнародні CRM, CRM-модулі ERP
Антивірус	Kaspersky, Dr.Web	Українські або міжнародні засоби кіберзахисту з безпечним походженням
електронний документообіг	Ризикові або застарілі системи	Українські системи документообігу, ERP-документообіг, міжнародні рішення для бізнесу
Віддалений доступ	Ризикові засоби адміністрування	Безпечні рішення для бізнесу з контрольованим доступом і журналюванням

Тому використання антивірусних систем із країни-агресора виступає як особливо небезпечним. | Планова міграція, а не аварійна заміна після перевірки, інциденту або санкційного ризику

CRM, портали та комунікаційні системи

Головна ідея: цифрова деокупація — це не разова ІТ-акція, а стратегія виходу з технологічної залежності. !== Відкритий перелік забороненого програмного забезпечення ==

! ! * посилення національної кібербезпеки;

захист державних інформаційних ресурсів;
захист персональних і комерційних даних;
зменшення ризиків кібершпигунства;
припинення фінансування країни-агресора через ліцензійні платежі, підтримку та оновлення версій;
зниження санкційних, юридичних і репутаційних ризиків;
дорожня карта розвитку української технологічної екосистеми;
формування цифрової незалежності бізнесу та держави. * клієнтські бази;
історія продукту перемовин;
задачі менеджерів;
документи;
комерційні пропозиції;
внутрішні чати;
інформаційні дані про угоди;
маркетингові кампанії;
телефонія;
інтеграції з поштою;
файли та вкладення. * Перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання — Держспецзв’язку
Повідомлення Держспецзв’язку про оприлюднення переліку забороненого ПЗ
Законодавство України — офіційний портал Верховної Ради України
Оригінальна стаття на erp.kyiv.ua

Це системний перехід від програмного забезпечення. style="background:#eeeeee;" | Що замінюється

Коротко для керівника

3. Перевірка офіційних джерел

ERP;
CRM;
бухгалтерські системи;
електронний документообіг;
антивіруси;
системи віддаленого доступу;
хмарні сервіси;
поштові сервіси;
телефонію;
файлообмінники;
системи моніторингу;
мережеве обладнання;
старі серверні компоненти;
контракти підтримки. style="background:#eeeeee;" | Сфера

Назва продукту

Змінюється

здатна змінюватися, але це не провідний критерій

технічна архітектура

Часто залишається старою

Переглядається й очищується від ризикової залежності

Постачальники

Можуть залишатися ті самі

Перевіряються за санкційними та комплаєнс-критеріями

інформаційні дані

без зусиль переносяться або залишаються в старій системі

Очищуються, структуруються й мігрують у безпечне середовище

Договори

Можуть залишатися без аналізу

Перевіряються юристами й комплаєнсом

Кібербезпека

Не змінюється суттєво

Вбудовується в нову модель

Бізнес-процеси

Залишаються старими

Переосмислюються й модернізуються

Результат

Нова вивіска для старої залежності

Реальний вихід із ризикової цифрової інфраструктури

Якщо програмне забезпечення (ПЗ) включене до офіційного переліку забороненого, його використання в державному секторі, критичній інфраструктурі або системах із державними інформаційними ресурсами створює високий юридичний, кібербезпековий та управлінський ризик.

Значення для українського бізнесу

|- | Яке ПЗ російського або ризикового походження застосовується для в компанії? ! | ERP, бухгалтерію, CRM, електронний документообіг, антивіруси, віддалений доступ, хмарні сервіси |- | Чи стосується це тільки держави? style="background:#2e7d32; color:white; text-align:left; padding:10px;" | Перевага K2 ERP

Технічне блокування та комплаєнс-ризики

Помилки під час цифрової деокупації

Навіть найкраща платформа не запрацює, якщо користувачі не розуміють нову логіку. Після перевірки компанія-користувач має обрати безпечну альтернативу.

Антивірус із ризиковим походженням — це не захист, а потенційний привілейований доступ до інфраструктури компанії.

санкційні ризики;
репутаційні ризики;
ризики платежів;
ризики договорів супроводу;
кібербезпекові ризики;
залежність від старих спеціалістів;
ризик блокування інтеграцій;
ризик несумісності з майбутніми вимогами держави;
ризик втрати клієнтів або партнерів через використання ризикового ПЗ. Оплата ліцензій, підтримки, оновлень або супроводу продуктів, пов’язаних із країною-агресором чи підсанкційними суб’єктами, здатна створювати ризик фінансування ворожої технологічної екосистеми. | Щоб захистити інфраструктуру

|-

| Які системи потрібно замінити першими?

6. Навчання персоналу

K2 ERP як інструмент цифрової деокупації

провідний ризик старого підходу. компанія-користувач продовжує користуватися ризиковим ПЗ, бо “так звикли”, але накопичує санкційні, кібербезпекові, міграційні та репутаційні проблеми.== Загальний контекст ==

Після аудиту потрібно класифікувати знайдені системи:

5. Міграція даних

Потрібно навчити:

class="wikitable" style="width:100%;"

офіційний перелік Держспецзв’язку;
санкційні списки РНБО;
укази Президента України;
постанови Кабінету Міністрів України;
zakon.rada.gov.ua;
внутрішні політики комплаєнсу;
вимоги партнерів і донорів. style="background:#eeeeee;" | Навіщо це потрібно

Державний сектор і критична інфраструктура

ERP і бухгалтерські системи виступає як однією з найважливіших зон цифрової деокупації. Міграція даних — один із найскладніших етапів цифрової деокупації. Головна перевага цифрової деокупації. бізнес-середовище отримує не без зусиль нові програми, а чистішу цифрову архітектуру, безпечніші інформаційні дані, меншу залежність від старої екосистеми та кращу готовність до майбутнього. | Щоб мати реалістичний план переходу

Скільки часу займе міграція? * фінансові інформаційні дані;

бухгалтерські документи;
податкову інформацію;
контрагентів;
договори;
зарплати;
кадрові інформаційні дані;
складські залишки;
виробничі інформаційні дані;
управлінську аналітику;
внутрішні документи;
комерційну таємницю. Потрібно перевірити, чи справді зникає технологічна й санкційна залежність

Що робити перш за все?== Основні ризики використання підсанкційного або ризикового ПЗ ==

бухгалтерські інформаційні дані;
податкова інформаційні матеріали;
кадрові інформаційні дані;
зарплати;
договори;
персональні інформаційні дані;
комерційна таємниця;
інформаційні матеріали про контрагентів;
фінансові документи;
складські залишки;
державні інформаційні ресурси;
інформаційні дані критичної інфраструктури.=== Фінансування агресора ===

Цифрова деокупація означає не лише видалення окремих програм із робочих місць.

* очистити ІТ-інфраструктуру;

зменшити санкційні ризики;
посилити кібербезпеку;
оновити ERP;
покращити CRM;
модернізувати електронний документообіг;
навести лад у даних;
переглянути бізнес-процеси;
перейти на українські рішення для бізнесу;
підвищити довіру партнерів;
підготуватися до аудиту;
зменшити залежність від старої технологічної школи. | Бо ризикове ПЗ здатна створювати загрози для даних, безпеки, репутації, комплаєнсу й фінансів

Щоб бізнес-процес мав власника й контроль

Навіть якщо платежі проходять через посередників, компанії потрібно перевіряти:

Головна помилка. Цифрова деокупація не відбувається через ребрендинг. |- | ERP та бухгалтерський обліковий облік | 1С, BAS, Парус, окремі галузеві конфігурації | Санкційні, міграційні, кібербезпекові та репутаційні ризики |- | CRM та корпоративні портали | Бітрікс24, AmoCRM та інші системи з російським походженням або зв’язками | Ризик доступу до клієнтських даних, комунікацій і внутрішніх процесів |- | Антивірусне ПЗ | Kaspersky, Dr.Web та інші продукти російського походження | Ризик глибокого доступу до системи та потенційного контролю над захистом |- | електронний документообіг | Системи з російською спадщиною або підсанкційними постачальниками | Ризик доступу до договорів, кадрових документів, внутрішньої переписки |- | Інфраструктурне ПЗ | Системи моніторингу, адміністрування, віддаленого доступу, мережеве обладнання | Ризик контролю над ІТ-інфраструктурою |}

програмне забезпечення (ПЗ) з ризиковим походженням здатна створювати загрозу несанкціонованого доступу до даних.K2 ERP здатна розглядатися як один із українських інструментів цифрової деокупації для компаній, які хочуть вийти зі старої 1С/BAS-екосистеми. Для державного сектору та критичної інфраструктури цифрова деокупація виступає як питанням відповідності вимогам безпеки й законодавства. * питання від міжнародних партнерів;

питання від аудиторів;
ризики участі в тендерах;
підвищення вартості майбутньої міграції;
залежність від старої екосистеми. style="background:#eeeeee;" | Група ПЗ

|}

CRM-системи, корпоративні портали та комунікаційні платформи зберігають не менш чутливу інформацію, ніж бухгалтерський обліковий облік. style="background:#eeeeee;" | Чому ризик високий

Ключова проблема. Російське або пов’язане з Росією ПЗ здатна бути не без зусиль “старою звичною програмою”, а каналом технологічної залежності, ризиком для даних і потенційним джерелом фінансування ворожої екосистеми.=== 2. Класифікація ризиків ===

! Цифрова деокупація має відбуватися не хаотично, а як керований проєкт. Окремо варто відзначити сервісів, інфраструктури і бізнес-процесів, пов’язаних із країною-агресором, до українських або санкційно безпечних міжнародних рішень.

1. Аудит

В Україні діє підхід, за якого окреме програмне забезпечення (ПЗ) та мережеве обладнання можуть включатися до відкритого переліку заборонених до використання. | Щоб виключити фінансування санкційних або ризикових суб’єктів |- | Де розміщені інформаційні дані? Особливо уважно потрібно перевіряти програмне забезпечення (ПЗ), яке застосовується для для: Антивірусне програмне забезпечення (ПЗ) має особливо високий рівень доступу до комп’ютерів і серверів. * національної безпеки;

кібербезпеки;
санкцій;
комплаєнсу;
фінансових потоків;
контролю над даними;
репутації;
довгострокової цифрової незалежності. ! style="background:#2e7d32; color:white; text-align:left; padding:10px;" | Просте визначення

Метою цифрової деокупації виступає як:

ERP та бухгалтерські системи як особливо чутлива зона

Це українська ERP-платформа, яку можна використовувати як частину стратегії цифрової деокупації підприємства. style="background:#eeeeee;" | Критерій ! | Провести аудит ПЗ, договорів, постачальників, платежів і каналів оновлень |- | Які альтернативи розглядати? style="background:#eeeeee;" | Сфера

Кібершпигунство

|- | style="padding:14px;" | K2 ERP здатна бути актуальною для заміни або поступового витіснення ризикових систем у таких напрямах:

! Практичне правило. Міграція з 1С/BAS або іншої старої системи — це не копіювання файлу.

Тому заміна 1С, BAS або інших систем зі старою російською чи санкційно ризиковою спадщиною — це не без зусиль ІТ-проєкт. | Щоб не переходити в аварійному режимі |- | Хто відповідає за цифрову деокупацію? | Вихід із програмної, сервісної та інфраструктурної залежності від країни-агресора |- | Чому це критично? {| class="wikitable" style="width:100%;"