Чому у списку забороненого ПЗ лише 40 програм і як туди потрапляють. Роз’яснення Держспецзв’язку

На початку січня Державна служба спеціального зв’язку та захисту інформації опублікувала перелік забороненого програмного забезпечення, в який потрапили 1С, BAS та ще низка програм. Зараз регулятор пояснив, чому в списку всього 40 позицій і за яким принципом його наповнюють.

Про це йдеться на сайті Держспецзв’язку.

📌 Як наповнюють список

Там пояснили, що в список насамперед потрапляють ті продукти, правовласники або кінцеві бенефіціари яких знаходяться під українськими чи міжнародними санкціями або є відповідне рішення суду.

«Ключовим критерієм є не технічна оцінка безпечності продукту, а санкційний статус осіб, які володіють майновими правами на нього», — йдеться в релізі.

Саме тому до переліку потрапили продукти, пов’язані з ТОВ «1С», яке перебуває під санкціями з жовтня 2024 року. Наразі в списку близько 40 позицій, оскільки туди включили ті продукти, які прямо згадані в санкційних рішеннях. В Держспецзв’язку зазначили, що перелік буде доповнюватися і оновлюватися.

Окремо регулятор пояснив, що українських держпідприємств і служб обмеження діють незалежно від того, чи має система доступ до інтернету. Використання підсанкційного ПЗ заборонене і в ізольованих внутрішніх мережах, якщо йдеться про системи, де обробляються державні інформаційні ресурси, службова інформація або дані з обмеженим доступом, а також про об’єкти критичної інфраструктури.

Те саме стосується і хмарних сервісів. Законодавство не розділяє програмне забезпечення за моделлю використання — локально чи як SaaS. Якщо продукт внесений до переліку, його застосування у відповідних системах підпадає під обмеження незалежно від формату.

Якщо під час перевірки виявиться, що в державній системі використовують підсанкційне ПЗ або обладнання, вона не зможе пройти авторизацію з безпеки або отримати сертифікат відповідності. Для вже сертифікованих систем це може стати підставою для скасування авторизації, а власника зобов’яжуть замінити заборонений софт. В разі невиконання вимог можливе адміністративне провадження з передачею справи до суду.

Також Держспецзв’язку працює над покращенням візуальної частини переліку, тому збирає пропозиції і відгуки користувачів.

📌 Контекст

Підставою для створення цього списку стала постанова Кабміну № 1335. Відповідно до неї Держспецзв’язку формує і веде у відкритому доступі перелік небезпечного ПЗ. Там же прописані і критерії, за якими можна його визначити.

Затверджувати цей список щороку має Кабмін. Пропозиції щодо його доповнення можуть подавати СБУ та Нацбанк у межах своєї компетенції.

Однак на сьогодні прямих механізмів контролю всього встановленого ПЗ на державних і приватних пристроях немає. Тому до Верховної Ради у липні 2025 року подали законопроєкт № 13505, який передбачає поетапну заборону ворожого софту та обладнання.

Згідно з цим законопроєктом, держава планує з 1 січня 2030 року повністю вивести такі продукти з обігу. До того часу державні установи та бізнес мають перейти на безпечні альтернативи, а за порушення вимог для компаній можуть запровадити фінансову відповідальність (2% від річного обороту).

На сьогодні законопроєкт ще не розглядали.

Нагадаємо, за даними Асоціації IT Ukraine, вороже програмне забезпечення використовують близько 70% бізнесів в Україні.

Раніше DOU розібрався, чим саме шкодить російський софт і чому його важливо заборонити, а також які існують альтернативи в Україні та скільки вони коштують.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU