Українські держустанови продовжують використовувати російську «1С». Розбираємося, чому так і чи є альтернативи (UPD)

З 2017 року компанії, які є правовласниками російського програмного забезпечення для автоматизації бізнесу «1С», перебувають під санкціями в Україні. А 2020 року до цього переліку додалась безпосередньо компанія «1С». Її продукти заборонено проводити через державні закупівлі та використовувати держустановами.

Однак ПЗ російського виробника не пішло з українського ринку. Ба більше, попри повномасштабну війну, за бюджетні кошти «1С» купують державні установи та органи місцевого самоврядування.

Це другий матеріал про небезпеку російського ПЗ після розслідування DOU щодо «1С» в Україні.

Хто контролює дотримання санкційних обмежень

Рада національної безпеки та оборони України повідомила DOU, що реалізацію та дотримання санкцій на території країни забезпечує Кабінет міністрів разом зі Службою безпеки та Національним банком.

У НБУ на наше прохання пояснити, яким чином відстежують виконання рішення РНБО про впровадження санкцій щодо компанії «1С», надали посилання на постанову 2015 року, яка, зокрема, визначає механізм блокування активів у разі накладання санкційних обмежень.

У відповіді на запит DOU у квітні 2022 року, коли ми готували попереднє розслідування, в Службі безпеки України повідомили про непоодинокі випадки використання та впровадження на об’єктах критичної інфраструктури програмного забезпечення, розробленого або виготовленого суб’єктами господарювання держави-агресора. Причиною в СБУ назвали те, що наразі санкційне законодавство містить серйозні прогалини, адже не встановлено порядок притягнення та виду відповідальності порушників санкцій.

Варто зазначити, що державним фінансовим аудитом використання інформаційних технологій займається Державна аудиторська служба, на базі якої два роки тому створили окремий підрозділ. У відомстві повідомили, що 12 липня 2022 року головний офіс Держаудитслужби скерував до своїх регіональних управлінь лист-доручення щодо контролю використання російського ПЗ, зокрема «1С».

«Використання будь-якого програмного забезпечення російського виробництва призводить до зниження рівня інформаційної безпеки держави та створює реальну небезпеку виникнення надзвичайних подій на об’єктах критичної інфраструктури. До того ж це програмне забезпечення продовжує обслуговуватись та оновлюватись шляхом проведення публічних закупівель», — підкреслили в Держаудитслужбі.

При цьому, якщо дослідити реєстр публічних закупівель Prozorro, можна знайти чимало фактів придбання програм «1С» за бюджетні кошти навіть під час повномасштабної війни.

Загроза національній безпеці

Крім того, що купівля російського ПЗ фактично спонсорує країну-агресора, в умовах повномасштабної війни використання програми «1С» загрожує національній безпеці.

Наразі неможливо повною мірою гарантувати безпечність російського ПЗ чи те, що в ньому немає недокументованих функцій, повідомили DOU в Держспецзв’язку. Це пов’язано з тим, що для перевірки цього треба мати вихідний код продукту, наданий виробником, та/або повний комплект документації на ПЗ, в якому описані ці функції:

«Використання російського підсанкційного ПЗ, а також сайтів та сервісів загалом загрожує національній безпеці держави, зокрема даним, що обробляються в автоматизованих системах, а самі такі програмні продукти є точкою входу для спонсорованих державою-агресором кібертерористів», — заявили у відомстві.

У Держспецзв’язку нагадують, що навіть спецслужби росії не рекомендують російським виробникам його використовувати, про це російське ГУР повідомляло ще у квітні цього року.

До того ж російське ПЗ через низку санкцій проти країни-агресора доволі складно, а подекуди й неможливо закупити офіційно. Це стосується і продуктів «1С»:

«Цілком імовірно, що досі використовуючи „підсанкційний софт“, компанії чи окремі несвідомі держустанови, підприємства та організації мають його піратські (неліцензійні) версії. Нагадаємо, що використання неліцензійного ПЗ аж ніяк не зменшує безпекових ризиків. Держспецзв’язку під час закупівлі ПЗ рекомендує аналізувати походження і країну-виробника та віддавати перевагу вітчизняним програмним продуктам. Зокрема, програмному забезпеченню з відкритим кодом, яке відповідає вимогам безпеки, або ліцензійному непідсанкційному програмному забезпеченню. Декларована окремими прибічниками російського ПЗ „зручність“ та „звичка“ не може бути виправданням для порушення вимог законодавства чи нехтування елементарною безпекою».

На російському гачку

Про ризики використання продуктів «1С» DOU також розповів керівник компанії TG Consulting, яка спеціалізується на софтверних бізнес-рішеннях, Ігор Сошніков. За його словами, санкції фактично не діють, адже нині й далі існує лінійка продуктів BAS, побудована на архітектурі «1С», якою наразі оперує САБ — «Спілка автоматизаторів бізнесу». Тобто після введення санкцій продукти російської компанії «1С» з українського ринку не пішли, а просто змінили назву.

«Ставлення українського бізнесу до продуктів „1С“ змінилось, але поки у країні війна, бюджетів на міграцію на інші сервіси у компаній дуже мало», — підкреслює Сошніков, зазначаючи, що замінити російське ПЗ для оперування бухгалтерією підприємств цілком можливо — є й міжнародні системи, і локальні виробники.

Щодо питань безпеки й можливості співпраці російських компаній із ворожими спецслужбами з надання інформації про своїх клієнтів Ігор Сошніков зазначив, що власник російської компанії «1С» Борис Нуралієв має відверту пропутінську позицію:

«Випадки передачі назовні інформації з „1С“ фіксувались у росії. Основне питання полягає в тому, що платформа розробляється в росії, її ніхто не контролює. І є можливість того, що розробник вимкне основну фінансову систему для 80% українського бізнесу».

Про загрозу від використання російського ПЗ зазначає і голова «Східноукраїнського технокластера» Павло Зайцев, який розробив концепцію підвищення економічної та безпекової незалежності України «1С идет вслед за рускім кораблем».

За словами Зайцева, коли він приїздив до Києва, багато років на Центральному залізничному вокзалі височіла реклама «1С». А 2014 року замість неї почали рекламувати BAS:

«Тільки сліпий не міг побачити їхньої схожості та не зрозуміти, що це один і той самий рекламодавець», — підкреслює голова кластера, стверджуючи, що вихідні коди «1С» і BAS належать російській компанії.

Крім цього, спеціаліст наголошує, що в росії, «щоб потрапити на ринок софту фінансових послуг, треба обов’язково пройти через будівлю ФСБ».

«Тому боротьба з „1С“ та її клонами в Україні повинна бути не боротьбою з якимось „іноземним софтом“. Це екзистенційна боротьба саме з російським софтом, який має на меті знизити нашу економічну спроможність та покласти країну на лопатки. Вже після того, як мій бізнес вимушено релокувався у Львів навесні цього року (раніше „Східноукраїнський технокластер“ базувався у Краматорську — ред.), я дослідив місцевий ринок ПЗ бухгалтерського обліку. Мене шокувало, що „1С“ використовують і в державних, і в комунальних, і у приватних клініках, і навіть на ринках», — наголошує Зайцев.

Головна причина використання «1С» українськими компаніями, за словами експерта, — висока вартість переходу на інший софт або відсутність якісних аналогів.

«Російський софт взагалі та „1С“ зокрема — це абсолютне зло. З ним треба боротись. І тільки спільними зусиллями ІТ, суспільства, бізнесу та влади ми переможемо. Повинна увімкнутися вся екосистема: розробники, інтегратори, навчальні та освітні заклади».

Складна мережа компаній

Після введення санкцій 2017 року щодо ДП «Єврософтпром», яка була компанією-постачальником програмного продукту «1С: Підприємство» в Україні, правонаступницею їхніх технологічних рішень в Україні стала система BAS, підтримкою якої опікується українська «Спілка автоматизаторів бізнесу». Спілку зареєстрували в липні 2017 року, тобто вже після введення санкцій щодо «дочки» російської компанії в Україні.

При цьому компанія «Єврософтпром» досі не припинила роботу попри санкції. «Спілка автоматизаторів бізнесу» має ту ж саму юридичну адресу, що й «Єврософтпром» — вулиця Депутатська, 16/8 у Києві.

Припускаємо, що вони можуть бути пов’язаними.

Раніше в головному офісі «1С» у рф нам повідомили, що продали свою українську «дочку» кіпрській компанії Chemlero Holdings Limited ще 2014 року, натякаючи, що стосунку до української компанії не мають уже багато років. Саме ця компанія наразі значиться засновницею ДП «Єврософтпром». Однак раніше в засновниках української «дочки» російської компанії була інша кіпрська компанія 1С Limited.

Згідно з реєстрами, юридична адреса обох кіпрських компаній однакова. Тому цілком вірогідно, що продаж був номінальним, а українське ДП «Єврософтпром» досі пов’язане з російською компанією «1С».

Наразі на сайті «Спілки автоматизаторів бізнесу» через пів року після початку повномасштабного вторгнення щодо цього факту з’явилась заява. В ній, зокрема, вказано, що з березня 2014 року жодної копійки за програмні продукти чи сервіси не потрапили до країни-агресора:

«Кошти, які отримуються в Україні, повністю залишалися й залишаються в Україні, за них побудована система розробки, підтримки та просування продуктів, що рекомендовані „САБ“. Кошти, які виплачуються європейським правовласникам, залишаються в західних правовласників в Європі й жодним чином не потрапляють до російської федерації».

Однак якщо за ланцюгом кіпрських офшорів приховуються російські власники, то все-таки українські гроші, зокрема бюджетні, осідають саме в їхніх кишенях. Ще й з ризиком витоку даних щодо українських компаній до ворожих спецслужб.

Ми звернулись до «Спілки автоматизаторів бізнесу», але не отримали відповіді.

На наш запит відреагував Chief of R&D в bas-soft.eu Володимир Олексієнко, який ще 2019 року представляв САБ. Він зазначив:

«Конспірологічні теорії, на які ви намагаєтесь натякати у статтях, я не підтримую. Технології, мови розробки, які ми використовуємо для того, щоб підтримувати роботу тисяч підприємств в Україні, вас не цікавлять. Не маю „мандату“ на висловлення офіційної позиції організації пресі».

На прохання надати контакти тих, хто міг би прокоментувати отриману інформацію, Олексієнко не відповів.

Оновлення від 28 жовтня

Уже після виходу статті розслідувачі відділу OSINT спільноти Molfar надали докази, що підтверджують зв’язки BAS із російською компанією «1С».

Так, за даними аналітиків, 2014 року російська компанія «1С» заснувала BAS — розробника ERP та бухгалтерських систем для українського ринку. Купівля ПЗ та підтримка користувачів BAS здійснюється за договором Інформаційно-технологічного супроводу (ІТС), розробленим компанією «1С», через членів «Спілки автоматизаторів бізнесу» (САБ), які мають ліцензію на продаж та підтримку BAS та «1С». Виходячи з цього, безпосереднього BAS на території України як компанія не представлена, а поширення ПЗ здійснюється через українських ритейлерів, які працюють через САБ — 364 компанії, включно із ФОПами.

Директором САБ значиться Вадим Броніславович Мазур — керівник та засновник «Скайлайн софтвер», яка до 2014 називалася «1С Україна» і належала російським юрособам «1С». САБ належить двом юрособам: «Навчання та сервіси» та «Обрії софту». Власниками вказані українці Павло Ратушняк та Андрій Сіруш, які, ймовірно, є номінальними бенефіціарами.

Один із номерів, підв’язаних до LinkedIn Мазура, значиться в контактах юрособи ДП «Єврософтпром». Бенефіціар ДП — кіпрське Chemlero Holdings Limited (засновник — сейшельське Bakka Holdings Limited). В Україні ДП Єврософтпром володіє авторськими правами на 1С, а компанія Мазура «Скайлайн Софтвер» координує обслуговування, доопрацювання та розповсюдження програми. Обидві перебувають під санкціями в Україні.

Домен 1c.ua та ТМ в Україні зареєстровані на кіпрську Ravi Innovation Limited (раніше Astolerem Investments Limited), яка має юридичну адресу на Кіпрі в тому самому місці, що й Chemlero, й має тих же директорів.

З 2018 року ТМ BAS належить польській юрособі NetHelp Piotr Jarocki, яка зареєстрована поляком Piotr Jarocki ([email protected]). Він з 2008 по 2010 роки працював розробником у польській філії «1C». NetHelp вказана як резидент Park Naukowo-Technologiczny Euro-Centrum. З 2020 року Jarocki працює в польському аутсорсі Euvic.

Довірена особа BAS в Україні — ТОВ «Міжнародна правова група». Також ТОВ «Міжнародна правова група» є юридичним представником правовласника «1С» — естонської юрособи OÜ Molenari. Засновником Molenari є засновник литовського «1C: Andi» Dmitrijs Muratovs.

Цікава й ситуація з правами на російське ПЗ. Відповідно до судової справи за 2019 рік, ТОВ «Сандеро» подало позов до ТОВ «Ін-Агро Софт» з метою розірвати договір про купівлю ПЗ «1С» на $5,2 тисячі. Засновник «Ін-Агро Софт», Роман Чемерис також є засновником члена САБ та української спільноти 1С:Франчайзинг — ПП «Раск. Ін-Агро» (раніше ПП «Ін-Агро»). Представники компанії «Сандеро» вказали, що отримали угоду користувача від імені Molenari. Для отримання ПЗ в компанії «Ін-Агро Софт» відправили ТОВ «Сандеро» посилання на російський сайт 1С — portal.1c.ru, вказавши, що документацію підсистем відправлять пізніше. Однак компанія «Ін-Агро Софт» не надала документів з правами на ПЗ, а документація підсистем отримана за іншим договором і не стосувалась договору про купівлю ПЗ. В «Ін-Агро Софт» вказували, що виробником ПЗ є Molenari, проте права на ТМ «1С» належать Astolerem Investments Limited (станом на березень 2022 Ravi Innovation Limited), засновницею якого є Longina Feodorova. Людина з таким ПІБ у 2013 році залишала коментарі на порталі семінару «Свято бухгалтера», організатор якого литовський 1C:Andi.

Станом на 2020 рік домен bas-soft.eu мав один номер Google Analytics (ua-54805322) з доменом its.1c.ua — української філії російської компанії «1С». А також у футері сайту розташоване посилання на сайт ИТС («1С») у вигляді субдомену ts.bas-soft.eu. Крім цього, BAS має спільний портал з «1С» — ИTC Портал.

При цьому 2017 року Мазур обурювався рішенням тодішнього президента України Петра Порошенка про внесення «1С» до санкційного списку. А через два місяці в Україні зареєстрували САБ на чолі із Мазуром, який тоді заявляв, що ПЗ не має нічого спільного з російським «1С», оскільки з моменту купівлі прав ДП вийшло вже 20 місцевих релізів програми, й що ПЗ ніяк не залежить від компанії «1С» у Москві.

Авторка — Олена Чернишова.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU