Український бізнес досі проходить складний шлях відмови від російського та санкційного програмного забезпечення. Найпомітніше це питання проявляється навколо 1С — системи, яка роками була вбудована у фінансові, бухгалтерські та операційні процеси компаній.
Цій темі була присвячена дискусія Deloitte "Відхід від забороненого ПЗ. Регуляторні виклики, кібербезпека, цифрова трансформація". Розмову модерувала Вікторія Сидоренко, директорка юридичної практики Deloitte. Серед учасників були Денис Яструб, СЕО Національної асоціації страховиків України, Катерина Барсукова, представниця адміністрації Держспецзв’язку, Андрій Красний, директор і керівник підрозділу кіберризиків Deloitte, та Юрій Шаповал, член Національної комісії з цінних паперів та фондового ринку.
Редакція Oblik-ERP відвідала дискусію та зібрала ключові тези про те, чому відхід від забороненого ПЗ вже не можна сприймати лише як формальну вимогу.
1С досі присутня в бізнесі, навіть коли про це не говорять відкрито
Система 1С і далі використовується великою кількістю українських компаній. За оцінками Deloitte, ідеться про 70-90% всіх підприємств малого та середнього бізнесу.
Частина компаній уже декларує відмову від забороненого ПЗ, але продовжує використовувати його в окремих процесах — неофіційно, фрагментарно або "в підсобці". Саме такі приховані практики створюють регуляторний і кібербезпековий ризик.
Юрій Шаповал звернув увагу на чинні вимоги НКЦПФР до програмних продуктів, які використовуються на ринках капіталу та організованих товарних ринках. Вони визначають, що таке ПЗ має відповідати законодавству України, зокрема санкційним обмеженням.
Для фінансового сектору це означає, що питання ПЗ більше не можна розглядати як внутрішню ІТ-тему. Воно стає частиною управління операційними ризиками, комплаєнсом і безперервністю діяльності.
Регуляторний тиск зростатиме, але бізнесу бракує готових альтернатив
Денис Яструб звернув увагу на інший бік проблеми. Частина компаній продовжує працювати на цьому ПЗ не лише через інерцію, а й через відсутність зрозумілих альтернатив.
“Ми залежні від 1С, але є дефіцит, на що переходити. Потрібно знайти рішення, поєднати зусилля та розробити продукт не для однієї компанії”, — зазначив Денис.
У цьому контексті також важливою є домовленість із регулятором. Вона дає бізнесу можливість не просто реагувати на вимоги, а планувати перехід, оцінювати ризики й шукати рішення, які можна масштабувати для цілого сектору.
Заборонене ПЗ — це не лише перелік назв
Окремий блок дискусії був присвячений тому, як формується перелік забороненого програмного забезпечення та як він оновлюється.
Катерина Барсукова пояснила, що перелік визначається законом України та відповідними постановами. Держспецзв’язку виокремила з указів президента список із близько 40 продуктів, однак загальна кількість потенційно ризикових рішень значно більша. Через зміну санкцій перелік потребує регулярного оновлення.
Вона також звернула увагу на важливу прогалину. Навіть коли продукт потрапляє до санкційного переліку, бізнес може використовувати кастомізовані рішення, створені на базі забороненого ПЗ, без стандартної ліцензії або публічної назви. Це ускладнює контроль і створює зону, де ризики залишаються прихованими.
"Інформаційні ресурси потребують такої самої уваги, як і фінансові", — підкреслила Катерина.
Кіберризики починаються з толерування слабких місць
Андрій Красний звернув увагу, що команди, які роками працювали навколо 1С, мають нижчий рівень зрілості в кібербезпеці. Проблема не лише в самому програмному забезпеченні. Часто поруч із ним немає комплексної системи захисту, регулярної перевірки вразливостей, оцінки постачальників, тестування безперервності та зрозумілих процедур реагування.
"Відмова від 1С та іншого санкційного ПЗ має починатися з етичної позиції бізнесу — бажання бути незалежним та стійким", — зазначив Андрій.
У цьому контексті Андрій згадав DORA — європейський регламент про цифрову операційну стійкість фінансового сектору. Його логіка будується навколо управління ІТ-ризиками, оцінки третіх сторін і здатності компанії продовжувати роботу навіть у складних умовах.
Серед важливих елементів він виділив оцінку ризиків і їх зменшення, перевірку постачальників, тестування захисту та безперервність процесів. Для компанії це означає необхідність знати не лише власні слабкі місця, а й ризики всіх ІТ-партнерів, від яких вона залежить.
Питання до постачальника мають бути конкретними
Бізнесу варто не лише відмовлятися від санкційних продуктів, а й будувати систему контролю навколо всього ПЗ, яке використовується в компанії. Ідеться про авторизацію доступів, регулярні оновлення, резервне копіювання, перевірку вразливостей, контроль змін і відповідальність постачальника.
Такі питання мають стати частиною звичайної роботи з ІТ-постачальниками. Компанії повинні розуміти, хто має доступ до систем, де зберігаються дані, як оновлюється продукт, як швидко закриваються вразливості та що станеться, якщо постачальник не зможе підтримувати систему.
Перехід варто починати до того, як він стане вимогою
Дискусія показала, що відхід від забороненого ПЗ — це процес, який не можна звести до заміни однієї системи на іншу. Для багатьох компаній це перегляд внутрішньої архітектури, договірних відносин із постачальниками, системи контролю, кібербезпеки та управління ризиками.
Регуляторні вимоги поступово посилюються. Україна рухається до часткової імплементації норм, пов’язаних із цифровою операційною стійкістю. Для фінансового сектору це означає, що операційні та ІТ-ризики дедалі частіше оцінюватимуться не формально, а через здатність компанії підтримувати безперервність роботи, контролювати постачальників і захищати дані.
Бізнесу варто починати з інвентаризації. Потрібно зрозуміти, яке ПЗ використовується, де воно встановлене, хто його підтримує, чи є воно в санкційних переліках, які дані через нього проходять і які процеси залежать від нього щодня.
Наступний крок — оцінити альтернативи. У деяких випадках це буде готове ринкове рішення, в інших — спільна розробка для галузі або поетапна міграція з кількох систем. Важливо, щоб цей процес не відкладався до моменту, коли регуляторна вимога або кіберінцидент змусять діяти швидко й без підготовки.
Фінальна думка дискусії — починати цей шлях потрібно якнайшвидше. Не тому, що цього вимагає окремий документ, а тому, що залежність від небезпечного ПЗ поступово перетворюється на ризик для даних, процесів, репутації та безперервності бізнесу.
Альтернативи 1С: практична частина події Deloitte
Окремою частиною події Deloitte стала презентація провайдерів, які пропонують бізнесу можливості для заміни 1С та автоматизації бухгалтерського обліку. Зокрема, ми мали можливість представити українське рішення Oblik-ERP. Володимир Ткаченко, Head oh Sales, розповів про його функціональність та показав, як воно може допомогти компаніям у переході на сучасніші та безпечніші інструменти для обліку. 
Учасники могли ознайомитися з різними продуктами, поставити запитання командам і краще зрозуміти, які варіанти переходу вже доступні на українському ринку.
Запрошення Oblik-ERP до участі в події Deloitte стало для нас важливим підтвердженням цінності нашого продукту та експертизи команди. Участі провайдерів передувало вивчення рішень і відбір компаній, які можуть запропонувати бізнесу дієві альтернативи для заміни 1С та автоматизації бухгалтерського обліку. Для нас це була можливість представити Oblik-ERP професійній аудиторії та долучитися до важливої для ринку розмови про безпечний перехід українських компаній на нові облікові системи.
Цей захід був цінним як практичний майданчик для бізнесу. Компанії отримали можливість побачити альтернативи, порівняти різні рішення та обрати той варіант, який найкраще відповідає їхнім процесам, вимогам безпеки й планам цифрової трансформації.