Місяць тому в росіян опинився важливий український документ — відсканований каталог Генштабу ЗСУ з даними про українських виробників дронів і боєприпасів: адреси, контакти, назви компаній і продукції. Ворог почав поширювати отриману інформацію через пропагандистські Z-канали в телеграмі.

Одним із тих, чия компанія засвітилася в цій базі, є Борис Дрожак, співзасновник компанії Rovertech, що розробляє комплекси наземного розмінування.  

У розмові з AIN він ділиться думкою, що проблема цього зливу в тому, що дані централізовані в одному документі і жодним чином не зашифровані, а назви компаній не закодовані. Якщо дотримуватись цих правил, каже Дрожак, росіяни не дізнаються чутливої інформації.

«Так само адреси в документі мають бути фіктивними. У нас цього немає на законодавчому рівні, але має бути», — додає він. 

Що ж стосується телефонних номерів, то винахідник пропонує налаштувати доступ на них через посилання, яке могло б відкриватися лише через портал чи застосунок для військовослужбовців ЗСУ, кому можна надати цей доступ.

Співзасновник Rovertech каже, що чимало виробників не довіряють державі інформацію про себе і своє підприємство, але повинні передати всі дані про заводи, креслення, щоб кодифікуватися і встати на озброєння — перевірці підлягає все.

«Кожен раз, коли про це просять, ти думаєш: «Я даю копію документа, і вона точно, 100% буде валятись вже потім на якомусь комп'ютері. Її комусь передадуть, і рано чи пізно зіллють».

Втім, злив інформації Дрожак не вважає системною проблемою. На його думку, це результат помилки конкретних людей, а не всієї держави. 

Borys_DrozhakСпівзасновник Rovertech Борис Дрожак. Фото: Facebook-сторінка Дрожака

Це не єдиний випадок витоку інформації. Днями редактор сайту «Наші гроші» Юрій Ніколов в дописі на власній Facebook-сторінці повідомив про те, що росіяни отримали посібник українських Сил спеціальних операцій про бойовий досвід в Курській області. За словами Ніколова, ворог вже переклав отриману інформацію російською і поширив через пропагандистські канали. 

«Як кажуть наші осінтери, після недавнього зливу презентації з адресами і контактами всіх наших виробників дронів – це вже навіть не другий злив суперсекретних даних. Був також злитий звіт СБУ після інспекції купи обʼєктів стратегічного призначення з фото, ТТХ і планами на майбутнє», - додає редактор «Наші гроші». 

Уникнення витоку інформації

«Дуже багато питань можна вирішити не лише технологічним, а й організаційним шляхом, — каже фахівець із кібербезпеки, підприємець Єгор Аушев. — Ми завжди радимо клієнтам в одному місці присвоїти кожній організації номер, а в іншому — дати до кожного номера адресу. І таким чином зробити умовний шлюз. Якщо в одному файлі буде злито назви компаній і їхні номери — це ні про що. Більш критичним є витік номерів компаній з адресами. Але ти точно не можеш знати, де яка адреса».

У такий саме спосіб його компанія Cyber Unit Technologies анонімізує учасників змагань на кіберполігонах: кожній команді просто присвоюється номер — жодних назв, контактів, електронних адрес тощо. 

Підприємець і фахівець з питань кібербезпеки Єгор Аушев. Фото: Facebook-сторінка АушеваПідприємець і фахівець з питань кібербезпеки Єгор Аушев. Фото: Facebook-сторінка Аушева

Профілактикою подібних зливів, зламів і шпигунства прессекретар Ukrainian Cyber Alliance, хакер Шон Таунсенд називає дисципліну в роботі з інформацією:

  • не зберігати те, що не можна зберігати;

  • не зберігати всю інформацію в одному місці;

  • дотримуватись принципу need-to-know — тобто кожен знає лише те, що йому потрібно знати для виконання своїх посадових завдань.

Таунсенд додає, що, попри всі превентивні заходи, треба пам’ятати: можливість зламу завжди залишається. Тому має бути план Б для того, щоб відновити систему після стороннього втручання і діяти в умовах втраченої секретної інформації. 

Наприкінці листопада 2024 року Технологічні сили України презентують «Путівник Зброяра» для убезпечення виробників і зменшення ризиків зливів.

За словами виконавчої директорки Технологічних сил України Катерини Михалко, у ньому зібрані безпекові рекомендації для приватних зброярів про те, як перевірити контрагентів і працівника на доброчесність, що треба враховувати при виборі локації для виробництва, якою має бути публічність відомостей про виробника тощо. 

Витік таємної інформації, злами систем і атаки — деякі гучні кіберінциденти в Україні

  • Атака на «Київстар»

12 грудня 2023 року стався масштабний збій у роботі найбільшого мобільного оператора України «Київстар». Абоненти скаржились на мобільний зв’язок і доступ до інтернету. Пізніше до цього додалися проблеми з роботою деяких банківських терміналів.

Поступово ситуацію вдалося стабілізувати — протягом 36 годин відновилися найнеобхідніші сервіси. Згодом стало відомо, що причиною збою стала кібератака на ядро системи, проте витоку даних абонентів не сталося, — про це повідомляли в компанії «Київстар».

За словами президента компанії, хакерам вдалося отримати доступ до системи за допомогою облікового запису одного зі співробітників. За даними СБУ, хакери перебували в системі щонайменше з травня 2023 року. 

  • Потенційний витік даних з платформи «Дія»

22 січня 2022 року, невдовзі після масштабної хакерської атаки на державні органи, спільнота «Гільдія IT Фахівців України» повідомила про витік даних користувачів платформи «Дія», що стався напередодні. Згідно з заявою спільноти, на одному з тематичних форумів користувач під нікнеймом Free Civilian оголосив продаж пакету даних вартістю в $15 000.

Як доказ своїх слів ймовірний зловмисник начебто оприлюднив декілька пробних файлів різного розміру, які містили закриту інформацію державного підприємства «Дія»: паспорти та ID-картки, водійські посвідчення, документи для виїзду за кордон тощо.

Пізніше в МВС України заявили, що інформація щодо зламу порталу «Дія» не відповідає дійсності. А міністр цифрової трансформації Михайло Федоров пояснив, що «Дія» не зберігає персональні дані, тому під час авторизації документи підтягуються заново. Він також повідомив, що дані, які начебто злили, є старою скомплектованою інформацією з різних джерел, що була оприлюднена раніше. 

  • Оприлюднений план контрнаступу

«Перший прорив російської розвідки» — так назвали автори статті The New York Times витік інформації про підготовку до українського контрнаступу в Twitter і Telegram у квітні 2023 року.

Посилаючись на аналітиків, журналісти західних медіа повідомляли, що у відкритому доступі опинилися графіки постачань та обсяг військової допомоги з боку партнерів України, дані про 12 бригад, що готуються до бойових дій (з них дев’ять навчаються в США та в країнах НАТО), оцінки втрат на полі бою з обох сторін тощо.

Радник керівника Офісу Президента Михайло Подоляк зреагував на витік інформації, але  заявив, що оприлюднена інформація спирається на статистичний аналіз поставок, можливі оперативно-тактичні задуми, а також великий обсяг фіктивної інформації.

У статті The New York Times аналітики не відкидають того, що частина даних на документах дійсно виправлена, але й стверджують, що деякі дані мають автентичний вигляд. Вони не розуміють, як документи могли потрапити в соцмережі. Водночас засвідчують поширення слайдів із брифінгу. Якого саме — автори статті не пояснюють. 

Нагадаємо, саме в той час ГШ ЗСУ готував контрнаступ на окуповані росією території. Пізніше на одній із пресконференцій Володимир Зеленський повідомив, що росіяни дізналися про цей план ще до початку операції. 

Людський фактор

Інститут дослідження кібервійни (ICWR) з посиланням на дослідження фахівця з захисту даних Роджера Граймса повідомляє, що людська помилка в кібератаках становить від 70 до 90%. Знизити цей ризик зможуть курси кібергігієни та підготовка у сфері кіберзахисту. Атаки на державний сектор підкреслюють необхідність регулярних тренінгів і навчання саме для держслужбовців. 

«У сфері державного управління часто виникають проблеми через недбалість або недостатню кваліфікацію працівників у галузі кібербезпеки. Наприклад, у 2022-2024 роках державний сектор став основною мішенню масових кібератак. Відомо про випадки, коли працівники випадково відкривали шкідливі файли або переходили за фішинговими посиланнями, що дозволяло зловмисникам отримати доступ до важливих даних», — кажуть в Інституті дослідження кібервійни. 

Єгор Аушев розповідає AIN про ініціативу тренінгів з кібербезпеки для мерів українських міст. Він пригадав нещодавню атаку на органи місцевого самоврядування, яку можна було б попередити, якби посадовець ідентифікував фейкову сторінку. За переконаннями кіберфахівця, навчання людей, діяльність яких не має технічної специфіки, може посилити запуск технологічних процесів. 

«Якщо навчити [кібербезпеки] керівника технічного департаменту в мерії, то ми дамо рибу. А якщо навчити мера розуміти всі ці нюанси, то дамо йому вудку, щоб він міг потім, розуміючи всі ризики, вимагати від свого технічного спеціаліста отримувати нові знання і запускати технологічні процеси». 

Кібербезпека — це люди, процеси й технології, каже Аушев. 

«Люди і процеси — це найбільша вразливість. Технології — менша, бо всі на них звикли звертати увагу, тому що це простіше: купив обладнання, встановив його і чекаєш, щоб воно захищало систему. А людьми треба займатися, процеси потрібно оновлювати, тому що постійно щось з’являється нове». 

Нагадаємо, AIN писав про те, як влаштований курс "Кіберзахисники" для ветеранів війни з росією

Шон Таунсенд вважає, що дороге залізо — так само, як і вимоги регуляторів, і «насуплені обличчя правоохоронців» — не працюють самостійно, без залучення людських зусиль. На його погляд, в Україні панує магічне мислення щодо покращення кібербезпекової ситуації: нібито для цього достатньо написати новий закон, створити новий реєстр, заборонити щось і відрегулювати. Втім, безпека комп’ютерних систем залежить від адміністраторів і фахівців відповідної спеціалізації. Останніх, за оцінкою хакера, катма. 

Відповідальність 

Якщо злив інформації стався через людський фактор, то хто саме в цьому винен і чи понесе відповідальність? Такі питання порушують користувачі в соцмережах під дописом про отриманий росіянами доступ до бази розробників. 

За словами кіберфахівця Аушева, в Україні станом на сьогодні немає закону про кібербезпеку. І коли стаються кібератаки, їх фіксують як форс-мажорні ситуації. Як приклад він наводить атаку за допомогою вірусу NotPetya — тоді постраждалі компанії та організації могли звернутися до Торгово-промислової палати і лише отримати довідку про форс-мажор. 

Вдосконалення нормативно-правової бази є одним із заходів посилення спроможностей із кіберзахисту, — зазначають в Інституті дослідження кібервійни. В організації вважають за необхідне прийняти новий закон про захист персональних даних з урахуванням вимог GDPR (General Data Protection Regulation). 

Закон має посилити відповідальність за неналежне зберігання персональних даних і стосуватись як приватної, так і державної сфери. Для порівняння, в Інституті дослідження кібервійни наводять такий приклад:

«В ЄС протягом останніх років були накладені значні штрафи на великі компанії за порушення процедури обробки персональних даних: 

  • Amazon — €746 мільйонів, 

  • WhatsApp — €225 мільйонів, 

  • Google — €50 мільйонів, 

  • H&M — €35 мільйонів, 

  • British Airways — £20 мільйонів. 

Крім цього, національні регулятори з питань захисту даних накладали штрафи на муніципалітети. Варто відзначити, що розміри штрафів для державних установ зазвичай є меншими, ніж для приватних компаній, оскільки деякі країни мають політику обмеження штрафів для державного сектору. Однак застосування санкцій служить важливим нагадуванням про необхідність дотримання норм щодо захисту персональних даних у всіх секторах, включаючи державні установи». 

Кіберзахист державних органів

Спираючись на власне дослідження національних кіберспроможностей, ICWR характеризує загальний рівень захисту як помірно високий, але який все одно потребує постійних покращень — особливо в контексті забезпечення безперервної кіберстійкості та надійності реєстрів.

В Інституті дослідження кібервійни відзначають, що наразі в Україні немає відкритої статистики кібератак, тому оцінити загальний стан із кіберінцидентами неможливо. 

Втім, команда Інституту дослідження кібервійни розповіла, в яких напрямках можна покращити кіберзахист:

  • Посилення інфраструктури кіберзахисту — інвестиції в оновлення обладнання, забезпечення сучасних засобів для захисту від кібератак: системи виявлення та запобігання вторгненням (IDS/IPS), моніторингу, фільтрації та блокування шкідливого трафіку (WAF), шифрування даних, управління інформаційною безпекою (SIEM та інші), захисту від розподілених атак на відмову в обслуговуванні (DDoS Protection) тощо.

  • Регулярні оцінки ризиків та аудити безпеки. Серед таких заходів — проведення penetration testing та Bug Bounty програм, які були законодавчо врегульовані в постанові Кабінету Міністрів України № 497, яка затверджує Порядок пошуку та виявлення потенційних вразливостей. Задля прикладу ICWR наводять досвід ДП «Прозорро», яке проводить Bug Bounty програми не тільки для свого ресурсу, але і забезпечує проведення таких програм для афільованих майданчиків.

  • Навчання персоналу — курси кібергігієни, тренінги з кібербезпеки та змагання на полігонах (зокрема на CyberRangeUa від Національного авіаційного університету).

  • Впровадження стандартів безпеки та відповідність міжнародним практикам. Йдеться про уніфікацію підходів до безпеки даних за міжнародними стандартами (ISO, NIS2 або GDPR у контексті персональних даних). На думку ICWR, це допоможе покращити захист і знизити вразливості до кібератак.

  • Співпраця з міжнародними партнерами. В Інституті дослідження кібервійни пояснюють, що Україна вже співпрацює з багатьма міжнародними структурами, але розширення цих програм й активне залучення до обміну інформацією, експертизою та технологіями допомогає запобігати атакам або швидше на них реагувати.

Окрім напрямків покращення кібербезпеки державних органів, в організації розповіли, що саме впливає на процес посилення кіберзахисту: це вищезгадані законодавчі зміни та достатнє фінансування. Але в Україні немає зрілого розуміння необхідності фінансування кібербезпекових заходів, коментують ситуацію в ICWR. 

«На запит нашої організації до багатьох органів влади ми отримали відповіді, що за 2023 рік у них не було передбачено витрат на кібербезпеку. Проте всі ми розуміємо, що це не тротуарна плитка, не асфальт і не озеленення територій — безпека нашої країни залежить і від кібербезпеки державного сектору». 

Більшість державних установ взагалі не можуть дозволити собі розкіш підтримувати власну інфраструктуру, вважає Шон Таунсенд. 

І додає, що в державних органах рівень кібербезпеки завжди був надзвичайно низьким, значно гіршим, ніж у приватному секторі. Пояснює це так: бізнес знає, що в разі злому почне втрачати гроші, а чиновнику здебільшого все одно. Ситуація трохи змінилася після початку війни.

За словами Таунсенда, держава змирилася з думкою, що тепер вона стала ціллю, і кіберобізнаність підвищилася, а також після повномасштабного вторгнення, коли на службу в ЗСУ та Міноборони прийшли деякі кіберфахівці. 

Лідер української хакерської групи Cyber Anarchy Squad The Way каже, що найкращий кіберзахист мають ті державні органи, на яких зосереджена постійна увага, але і це «не є панацеєю».

Тому The Way дає три рекомендації, як забезпечити кіберзахист інформації. 

«Не робити централізацію даних, не допускати ід**тів до штурвалу і не робити те, чого просять не робити хакери», — каже співрозмовник. 

Принагідно пригадує, як українські хакери публічно радили Міністерству цифрової трансформації і тим, хто займається розробкою «Дії», «Резерв+», не робити цього під час війни, адже для ворога це ціль №1. 

Ключових відмінностей між атаками на державний і комерційний сектор лідер CAS не бачить і каже, що абсолютно всі вони трапляються через людський фактор: неуважність кодера, відкритий фішинг-лист, зламаний слабкий пароль тощо. Тому він переконаний, що сценарій атаки, наприклад, на «Київстар» може повторитися і в державному секторі. 

«Навіть якби не вийшло зламати “Київстар” через того співробітника, атака була б цілком реалізована з опором на інших його колег, які також припускалися купи помилок. На те він і є людський фактор, людині властиво постійно помилятись. Враховуючи, що за атакою на “Київстар” стоїть ГРУ, вони це робили не з комерційних міркувань, а з політичних», — каже співрозмовник AIN.

Лідер CAS розповідає, що державні хакерські угруповання — як українські, так і російські — регулярно атакують державні структури своїх ворогів і за можливості намагаються зберігати присутність у зламаних системах якомога довше. 

«Навіть зараз, відповідаючи вам, я можу припустити, що в цей момент якийсь UAC-0001 [російські державні хакери, також відомі під назвою APT28, — ред.] сидить і викачує гігабайти даних з умовного Мінфіну чи іншої структури. Абсолютно такі ж дії виконуємо й ми стосовно рф». 

У пресслужбі «Київстар» повідомили, що наразі компанія реалізовує велику програму змін із підвищення кіберстійкості та мінімізації відповідних ризиків. Виокремили такі пріоритетні заходи:

  • перебудова інфраструктури;

  • впровадження нових політик і правил;

  • застосування в роботі передового досвіду та найкращих міжнародних стандартів;

  • підтримка професійного розвитку команди фахівців з кібербезпеки. 

«Усі співробітники компанії максимально залучені до системи забезпечення кіберзахисту, яка керується принципом zero trust, що передбачає недовіру до будь-якого користувача за замовчуванням, мінімізацію надання доступу до ресурсів компанії, сегментацію мережі та багаторівневу аутентифікацію, постійний моніторинг та аналіз для виявлення потенційних загроз», — зазначили в пресс-службі "Київстар".

Додатково вона повідомила, що компанія поглиблює співпрацю з профільними державними інституціями: Національним координаційним центром кібербезпеки, Держспецзв’язку, СБУ та Кіберполіцією, — та значно збільшила інвестиції в напрямок кібербезпеки.

Соцмережі

Єгор Аушев наводить своє бачення щодо «зливу» документа Генштабу з даними про українських розробників військової техніки. За його припущенням, хтось із доступом до відповідної папки з адресами та контактами не був навчений обходитись із такою чутливою інформацією та переслав цю інформацію в умовному Telegram, російському месенджері, з якого адміністратори можуть через бекдори [несанкціонований віддалений доступ до комп’ютера, — ред.] витягувати дані. 

«Жоден месенджер не є безпечним», — каже засновник Cyber Unit Technologies, коментуючи питання соцмереж. І питання походження месенджера, за його словами, — це питання «ланцюжка постачання». Він має перевірятися, особливо якщо йдеться про продукцію, якою користуються на державному рівні або у війську. 

Як приклад неперевіреного ланцюжка постачання Аушев навів вибухи пейджерів. Йдеться про масові вибухи цих гаджетів у Лівані у вересні 2024 року. Згодом члени угруповання «Хезбола» звинуватили в інциденті Ізраїль. Аушев стверджує, що гаджети були «інфіковані» вибухівкою.

Пейджери Хезболла

Один з пейджерів Хезболли, що вибухнули. Джерело: Al Arabiya

На його думку, те ж саме може статися і з програмним забезпеченням, коли ПЗ постачається в певний державний орган або приватну компанію. Але про програмне забезпечення російського походження ми поговоримо трохи згодом. 

«І навіть якщо у вас супербезпечна, зашифрована комунікація через месенджер, то сам пристрій може бути інфікований, і тому зловмисник може мати доступ до екрана вашого телефона, і тому все одно не є безпечно користування цим месенджером. Тож не треба довіряти їм на 100%», — радить Аушев. 

AIN запитав в інших експертів про безпечні і небезпечні месенджери. Лідер CAS надає перевагу Matrix і Jabber. За його словами, ці месенджери перевірені часом і досвідом, а їхня репутація — це роки використання. В ICWR попереджають, що месенджери та соцмережі — це канали, якими ворог може збирати інформацію, проте одним із найбільш захищених серед популярних месенджерів називають Signal. Пояснюють це тим, що він використовує наскрізне шифрування для повідомлень і не зберігає дані користувачів на серверах.

Крім того, в Інституті дослідження кібервійни кажуть, що месенджер Threema забезпечує високий рівень анонімності, адже користувачі можуть реєструватися без прив'язки до телефонного номера або електронної пошти.

Водночас команда ICWR знову звертає увагу на людський фактор:

«Якщо не розглядати такі месенджери, як Telegram чи Viber, основна проблема часто полягає не в самих месенджерах, а в людях. Навіть найзахищеніші месенджери, як Signal або Threema, можуть бути скомпрометовані через недостатні базові знання кібербезпеки. Недооцінка важливості сильних паролів, неуважність до фішингових атак і нехтування оновленнями безпеки можуть зробити будь-який застосунок вразливим», — говорять в організації.

Шон Таунсенд характеризує Signal непоганим із технічного погляду, але попереджає, що Україна не контролює жоден із популярних месенджерів, тому говорити про надійність не доводиться. Втім, він наголошує на важливості того, як саме людина користується месенджером. За словами кіберфахівця, військових таємниць у телефоні не повинно бути взагалі.

Кібергігієна на передовій

У липні 2022 року в МВС України попереджали про ризик потрапляння телефонів до рук ворога в зоні активних бойових дій, і для уникнення витоку даних радили не зберігати фото, відео, документи, що можуть бути використані окупантами. 

Є низка інших порад, яких варто дотримуватись на передовій. Ось які рекомендації надає Інститут вивчення кібервійни:

  • уникайте розблокування телефона за допомогою відбитка пальця чи обличчя. Замість цього використовуйте складні паролі або PIN-коди, які буде важче зламати, і які можуть забезпечити більш надійний захист, якщо пристрій захоплений ворогом. Окрім паролів для розблокування екранів, варто налаштувати паролі месенджерів і хмарні паролі. Та й паролі мають бути не стандартні, на кшталт 1111 або 777.

  • Фотографії та іншу інформацію необхідно видаляти також з кошика.

  • Налаштуйте автовидалення повідомлень, використовуйте ніки під час листувань і розмов.

  • Більшість смартфонів мають функцію віддаленого блокування та видалення даних, яку варто активувати. Це дозволяє за необхідності видалити дані з телефону, якщо він був загублений або захоплений.

  • Багато смартфонів і застосунків мають функцію автоматичного видалення даних після кількох невдалих спроб введення пароля або PIN-коду. Ця функція може запобігти несанкціонованому доступу, якщо телефон потрапить до рук ворога.

  • Використовуйте телефони не старіші як 2022 року, в ідеалі на процесорах Exynos або Qualcomm, оскільки їх складно зламати.

  • Не використовуйте месенджер Telegram.

Також декілька порад дав хакер The Way. Він назвав цей перелік коротким посібником про те, як поводитись з пристроями в умовах технологічної війни. 

  • Оновлюйте ПЗ та прошивку. 

  • Якщо ви військовослужбовець чи представник держави, знайте, що ви завжди будете ціллю для осінтерів і хакерів. Ви маєте інформацію, яку росіяни спробують отримати безоплатно. Тому намагайтесь не комунікувати з незнайомими людьми, зберігайте інформаційну чистоту (фото, відео, записи про пересування військових чи техніки, місця ведення бойових дій тощо — не оприлюднюйте це в соцмережах, не передавайте цю інформацію друзям, знайомим і тим паче — незнайомцям). 

  • Якщо ви сумніваєтеся в цілісності інформації на вашому пристрої, і вам здається, що вас могли зламати, краще зверніться до знайомих спеціалістів.

Для довідки: 0-day (інша назва — вразливість нульового дня) — це вразливість у системі, про яку не знають навіть її виробники (операційної системи або будь-якого іншого продукту). Якщо ворог знає про таку вразливість, то він може безперешкодно отримати доступ до пристрою з нею — телефонів чи ноутбуків. 

Єгор Аушев радить вимикати геолокацію на пристроях і доступ до мікрофона в тих аплікаціях, якими власник гаджету не користується. Водночас він відзначає, що йдеться про мінімізацію ризиків, а не про їхнє повне усунення. 

«Сьогодні немає систем, які неможливо зламати», — застерігає кіберфахівець. 

Втім, дати кілька порад, на думку Аушева, є недостатнім. Він вважає, що кібергігієна має стати частиною військової, державницької, бізнес-культури.

Важливо, щоб про кібербезпеку почали говорити всі керівники і передавати цей меседж нижче за вертикаллю, починаючи з Головнокомандувача і Верховного Головнокомандувача. Якщо перенести це у військовий контекст, то для того щоб пересічні бійці дотримувалися правил кібергігієни, їхні командири мають бути взірцем для них. 

«Керівник має розуміти будь-який інтеграційний технологічний елемент і потім спускати ці пояснення до своїх співпрацівників», — каже Аушев. 

Програмне забезпечення російського походження

У березні 2022 року сервіс моніторингу даних Opendatabot виявив, що українці активно користуються 44 продуктами з числа програмного забезпечення російського походження та невизнаних республік. Разом з агенцією інтернет-маркетингу Netpeak сервіс склав перелік українських і світових компаній, яким можна замінити продукти російського походження. 

AIN звернувся за коментарем до Head of marketing AI-платформи телефонії, колтрекінгу та аналітики дзвінків Ringostat (входить до Netpeak Group) Єлизавети Омельченко. У липні 2024 року платформа провела дослідження «Чи справді український бізнес відмовляється від російських CRM-систем?». Кажучи про небезпеку російського ПЗ, Єлизавета Омельченко зазначила, що будь-яка організація з країни-агресора тісно співпрацює з державою та спецслужбами. 

«Це означає, що всі дані, які зберігаються в ПЗ, можуть бути використані на шкоду вітчизняному бізнесу та Україні загалом. Ба більше — токсичне ПЗ вкрай небезпечне для установ, що займаються волонтерством або підтримкою фронту. Якщо ж казати, наприклад, про CRM [система управління взаємовідносинами з клієнтами — ред.] з країни-агресора, то росія отримує доступ до особистих даних клієнтів. І може згодом дізнатися про тисячі людей майже все, що завгодно», — зазначає Єлизавета Омельченко.

Читайте також про те, як працював київський офіс "Вконтактє" і які запити були у російського менеджменту до українського представництва соцмережі. 

В Інституті дослідження кібервійни наводять ще кілька аргументів проти використання російського ПЗ, окрім контролю з боку російського уряду. Так чи інакше всі вони стосуються втручання в роботу української інфраструктури. 

  • Потенційні бекдори та кіберрозвідка. Програмне забезпечення, за даними ICWR, може містити приховані механізми, що дозволяють здійснювати несанкціонований доступ до систем, на яких воно встановлене. Це дає змогу віддалено відслідковувати дії користувачів, викрадати дані або поширювати шкідливе програмне забезпечення.

  • Вплив на критичну інфраструктуру. Якщо російське ПЗ використовується у важливих галузях, таких як енергетика, транспорт, фінансовий сектор. Це може створити ризики саботажу або порушення роботи систем.

Що ж стосується ризику зливу даних, то в організації попереджають: це залежить ще й від того, де і як використовується програмне забезпечення, а також від рівня доступу, який воно отримує до систем. «Чим вищий рівень інтеграції російських програм у критичні або приватні мережі, тим більша вірогідність несанкціонованого зливу або крадіжки даних, що робить їх особливо небезпечними в умовах війни», — пояснюють в ICWR. 

В Україні є позитивна динаміка відмови від використання російського програмного забезпечення. Згідно з дослідженням платформи Ringostat, частка використання українським бізнесом російських CRM-систем дійсно зменшилася з 2021 року — більше ніж в чотири рази. Водночас частка компаній, що використовують вітчизняні CRM, зросла майже у вісім разів. 

Результати дослідження Ringostat. Інфографіка надана представництвом компанії

Втім, російські CRM-системи все ще використовують 17% бізнесів, які дослідила компанія. Ще 14% компаній хочуть встановити ворожу CRM. А дві російські системи входять до трійки найпопулярніших CRM.  

За словами Омельченко, найбільш популярним російським ПЗ серед українців є CRM та ERP-системи, програми для складського та бухгалтерського обліку.

«Більшість компаній встановили їх ще до повномасштабного вторгнення і не наважуються перейти на більш безпечні системи. Одні таким чином намагаються уникнути витрат. Другі — через те, що мають сумніви в можливостях українських рішень. Треті побудували складну систему на основі ворожого софту та побоюються, що усі налаштування буде важко перенести на інше ПЗ», — каже співрозмовниця. 

Фахівчиня звертає увагу на те, що токсичний софт часто мімікрує під нібито міжнародні рішення. На її думку, деякі компанії просто закривають очі на це чи не досліджують достатньо глибоко походження таких програм.

Кабінет Міністрів України підтримав законопроєкт «Про внесення змін до Закону України “Про санкції” щодо заборони використання програмних продуктів і доступу до електронних інформаційних ресурсів». Це означає, що усі українські компанії мають відмовитися від софту, розробленого в державі-агресорі, — каже Єлизавета Омельченко.