Досить удавати, що це “просто старі програми”, до яких усі звикли.
1С, BAS, Парус, Афіна — це не нейтральний інструмент обліку. Це системи, які роками сидять у самому центрі українських компаній. Вони бачать гроші, договори, зарплати, закупівлі, склади, контрагентів, логістику, внутрішні процеси. Вони знають про бізнес більше, ніж половина топменеджерів. І саме тому питання тут не в зручності інтерфейсу і не в тому, “чи встигли ми вже мігрувати”. Питання в іншому: чи нормально для країни, яка воює, тримати критичний контур бізнесу на непрозорих системах із ворожої або постворожої технологічної екосистеми. В Україні це вже не теоретична дискусія: у 2026 році Держспецзв’язку веде офіційний перелік забороненого ПЗ, де прямо фігурують 1С-продукти, а профільні галузеві пояснення прямо відносять 1С/BAS до ворожого ПЗ.
І ще гірше: це не маргінальна проблема. За оцінкою IT Ukraine, близько 75% компаній в Україні досі використовують 1С або її замасковані похідні, зокрема BAS. Тобто ми говоримо не про кілька “відсталих” підприємств. Ми говоримо про масову, звичну і тому особливо небезпечну реальність.
Назвемо головну проблему прямо: це чорні скриньки з доступом до всього
Коли у вас у компанії стоїть 1С, BAS, Парус чи Афіна, проблема не обмежується тим, що це “старий облік”. Проблема в тому, що такі системи дуже часто живуть як чорні скриньки. Частина логіки закрита. Частина модулів поставляється у скомпільованому або непрозорому вигляді. Частина доробок робилася роками різними інтеграторами. Частина функціоналу взагалі існує в режимі “не чіпайте, воно працює”.
У перекладі на нормальну мову це означає одне: у центрі бізнесу працює система, якій ви дали доступ до всього, але яку ви не контролюєте повністю.
А тепер найважливіше. Якщо ви не бачите весь код, ви не можете чесно відповісти на просте питання:
це у вас бухгалтерська система?
чи бухгалтерська система плюс прихований збір даних?
чи бухгалтерська система плюс механізм виконання сторонніх команд?
чи бухгалтерська система плюс прихований канал доступу?
І якщо ви не можете цього виключити, значить ризик уже всередині.
Бекдор — це не “кіношний сюжет”, а цілком практична загроза
Потрібно перестати говорити обтічно. Треба пояснювати прямо.
Бекдор — це прихований спосіб доступу до системи в обхід нормальної логіки безпеки. Не пароль, який знає адміністратор. Не офіційна інтеграція. А саме таємний чорний хід, про існування якого користувач або власник системи може не знати.
У критичному корпоративному софті бекдор може бути реалізований як прихований службовий обліковий запис, спеціальна команда, функція віддаленого виклику, можливість запуску коду без штатної перевірки, прихований мережевий обмін або механізм отримання даних поза звичайним журналюванням. Проблема в тому, що коли частина логіки закрита або зашифрована, компанія не бачить, чи існує такий чорний хід. Вона просто змушена вірити, що його немає.
Для бізнесу це треба формулювати жорстко:
закрите ядро — це сліпа зона, де може сидіти прихований доступ, і ви цього не побачите, поки не стане пізно.
Через ці системи можна не лише красти дані. Через них можна готувати атаки
Ще одна небезпечна самоомана українського бізнесу звучить так: “Ну добре, навіть якщо там є ризик, кому ми цікаві? Ми ж не оборонка і не міністерство”.
Це дурниця.
Сучасним зловмисникам не обов’язково потрібні саме ви як фінальна ціль. Їм можуть бути потрібні ваші сервери, ваші поштові ящики, ваші VPN-доступи, ваші інтеграції, ваші зв’язки з підрядниками, ваші фінансові реквізити, ваші документи, ваші ланцюги постачання, ваша карта контрагентів. Тобто ваш бізнес може бути не “головною здобиччю”, а проміжним плацдармом, тихою точкою входу або джерелом розвідданих для удару по більшій цілі.
Саме через 1С, BAS, Парус, Афіну та подібні системи можна збирати не просто “якісь файли”, а карту зв’язків:
хто кому платить;
хто у кого купує;
які підрядники обслуговують енергетику, транспорт, зв’язок, медицину, держсектор;
які банки використовуються;
де слабкі місця в постачанні;
де склади;
які маршрути;
які контакти відповідальних людей;
які договори на підтримку;
які терміни поставок;
які залежності між компаніями.
Це вже не просто комерційна інформація. Це оперативна карта економічних і технологічних зв’язків країни.
І ось тут головне. Навіть якщо ваша компанія сама не є критичною інфраструктурою, вона може бути:
підрядником критичної інфраструктури;
постачальником критичної інфраструктури;
логістичною ланкою;
IT-підтримкою;
сервісним партнером;
бухгалтерським або документальним контуром для важливих клієнтів.
Тобто через ваш “звичайний” бізнес можуть збирати інформацію про критично важливу інфраструктуру або використовувати вашу систему як боковий вхід для атаки на неї.
Тому фраза “ми нікому не потрібні” — це не заспокійлива думка. Це діагноз управлінської сліпоти.
Що саме може робити така система проти компанії
Пора прибрати туман і назвати конкретні механізми.
По-перше, прихований витік інформації. Такі системи бачать контрагентів, платежі, документи, закупівлі, залишки, зарплати, структуру прав доступу, історію операцій. Якщо в них є прихований функціонал експорту, передавання телеметрії, запису діагностики або службової синхронізації, це може використовуватися для тихого вивезення даних. Не обов’язково відразу всіх. Навпаки, найнебезпечніше — коли дані вивозяться повільно, порціями, під виглядом звичайного трафіку.
По-друге, виконання стороннього коду. Будь-яка система, яка вміє завантажувати модулі, виконувати зовнішні обробки, працювати з розширеннями, агентами, фоновими завданнями чи інтеграційними службами, потенційно може бути використана як точка запуску шкідливого сценарію. Через неї можна збирати облікові дані, рухатися далі по мережі, отримувати доступ до файлових серверів, тягнути документи, закріплюватися в інфраструктурі, готувати шифрування або саботаж.
По-третє, підміна або спотворення даних. Найнебезпечніша атака — не завжди та, яка кричить на весь офіс. Іноді це тиха зміна банківських реквізитів, підміна суми, корекція проводок, зникнення частини історії, підчищення слідів, створення фіктивного документа або перекручування звітності. Після цього керівництво ухвалює рішення вже не на реальній фінансовій картині, а на фальшивій. Це пряма форма саботажу.
По-четверте, використання оновлень як зброї. Бізнес дуже любить слово “оновлення”, ніби це автоматично щось добре. Насправді саме оновлення — один із найкращих каналів доставки шкідливого коду, якщо скомпрометований ланцюжок постачання. Україна це вже проходила. У випадку атаки NotPetya Cisco Talos дійшов висновку, що доставка шкідливого коду відбувалася через систему оновлень M.E.Doc, а модифікований бекдор дозволяв збирати дані й завантажувати та виконувати довільний код. Це був не теоретичний сценарій, а реальний прецедент, який вдарив по Україні і далеко за її межами.
Ось чому фраза “це ж просто бухгалтерська програма” давно звучить як професійна некомпетентність. Бухгалтерська програма з високими правами, повним баченням даних і непрозорою логікою — це потенційна платформа для розвідки, саботажу і розгортання атаки.
Закрите або зашифроване ядро — ідеальне місце, де ховається бруд
Треба сказати це без прикрас.
Коли вам кажуть:
“цей модуль закритий”;
“ця частина зашифрована”;
“цей компонент скомпільований”;
“це захищена поставка”;
“сюди лізти не треба” —
для будь-якого нормального керівника з інстинктом самозбереження це має звучати так:
у критичній системі мого бізнесу є зона, яку я не бачу, але яка має вплив на гроші, дані й операції.
Що саме можна сховати в такій зоні? Бекдор. Прихований мережевий обмін. Механізм віддаленого керування. Обхід журналювання. Збір телеметрії. Запуск команд. Тихий експорт баз. Логіку активації шкідливого функціоналу за певних умов.
Ні, не можна чесно сказати, що кожен закритий модуль уже містить бекдор. Але можна і треба сказати інше:
жоден керівник не має права вважати безпечним те, що його команда не може незалежно перевірити.
І саме це є вироком для таких систем.
Парус і Афіна — не “винятки”, а той самий клас загрози
Багато хто любить ховатися за брендами. Мовляв, 1С — це одна історія, BAS — інша, Парус — третя, Афіна — взагалі окремий світ.
Ні.
З точки зору безпеки це один і той самий клас проблеми, якщо система:
сидить у фінансовому або управлінському контурі;
має високі права;
живе роками на доробках;
не дає повної прозорості коду;
залежить від вузького кола підтримки;
має непрозорі компоненти;
працює на довірі, а не на повному аудиті.
Інша назва тут нічого не змінює. Якщо в серці бізнесу стоїть система, яку не можна до кінця перевірити, значить у серці бізнесу стоїть структурна діра.
Особливий випадок — ломані продукти. Тут уже не ризик, а презумпція компрометації
Ось тут треба говорити максимально жорстко.
Ломані 1С, BAS, Парус, Афіна та будь-які інші піратські корпоративні збірки треба вважати скомпрометованими за замовчуванням.
Не “можливо небезпечними”.
Не “сумнівними”.
Не “треба подивитися”.
А саме апріорі брудними.
Чому? Бо ломанка — це завжди стороннє втручання в код, модифікований інсталятор, обхід перевірок, сторонній патч, активатор, невідомі бібліотеки, невідоме джерело і відсутність контрольованого ланцюжка постачання. Це означає, що в систему, яка вже має доступ до грошей, документів і внутрішніх процесів, хтось уже вніс чужі неперевірені зміни.
І тут треба сказати правду, яку ринок дуже не любить чути:
люди, які ламають корпоративне ПЗ, не працюють безкоштовно “з любові до малого бізнесу”.
Вони не додають “другий функціонал” для вашої зручності.
Вони не витрачають час і компетенції просто так.
У таких збірках потрібно виходити з презумпції, що там може бути прихований функціонал: крадій паролів, віддалений доступ, стилер баз, механізм тихого збору даних, канал для дозавантаження шкідливого коду або інший інструмент контролю. І саме тому для безпеки піратський корпоративний продукт — не об’єкт для мрійливої надії, а об’єкт для негайного виведення з контуру.
Не треба заспокоювати себе словами “у нас багато років працює і нічого”. Якщо ломанка працює, це не означає, що вона чиста. Це означає лише, що вона ще не вистрілила так, щоб ви це помітили.
“У нас усе ліцензійно” — теж не індульгенція
І тепер важлива неприємна правда для тих, хто хоче сховатися за папірцем.
Ліцензійність не прибирає головну проблему. Вона не робить код прозорим. Не доводить відсутність бекдора. Не захищає від компрометації оновлень. Не прибирає геополітичного ризику. Не дає вашій службі безпеки автоматичного права бачити все, що працює в критичній системі.
Ліцензія — це юридичний статус використання продукту.
Безпека — це контроль над тим, що саме виконується у вас у контурі.
І якщо такого контролю немає, значить компанія живе не на безпеці, а на довірі. У 2026 році в Україні це вже звучить не як стратегія, а як халатність.
Найнебезпечніша фраза на ринку: “У нас немає секретів”
Є.
Навіть якщо ви невеликий дистриб’ютор.
Навіть якщо у вас “лише бухгалтерія”.
Навіть якщо ви не банк і не електростанція.
Ваші секрети — це ваші платежі, ваші постачальники, ваші маршрути, ваші клієнти, ваші контракти, ваші банківські реквізити, ваші контакти, ваші інтеграції, ваші ланцюги залежностей, ваші слабкі місця. А якщо серед ваших клієнтів, постачальників або підрядників є енергетика, транспорт, зв’язок, медицина, держсектор, оборонка або критичні сервіси, то через вас можна збирати картину набагато більшої цілі.
Не треба бути головною жертвою, щоб стати корисною жертвою.
Не треба бути критичною інфраструктурою, щоб стати сходинкою до атаки на критичну інфраструктуру.
І саме тому непрозорий фінансовий софт у вашій компанії — це не приватна проблема вашого ІТ-відділу. Це елемент ширшої поверхні атаки на економіку країни.
Відкрите похідне ядро — не ідеологія, а самооборона
Українському бізнесу пора нарешті перестати плутати “звичне” з “прийнятним”.
Майбутнє не в тому, щоб замінити одну чорну скриньку на іншу. Майбутнє — в системах, де код і похідна логіка достатньо прозорі для незалежного аудиту, де бізнес не є заручником одного інтегратора, де служба безпеки може перевірити, що саме працює в критичному контурі, а не вгадувати це по наслідках.
Відкрите похідне ядро не робить систему магічно невразливою. Але воно забирає в постачальника право сказати: “Що там усередині — не ваша справа”. Ні. Це саме справа замовника. Особливо коли від цієї системи залежать гроші, дані, операції і стійкість бізнесу.
Висновок без пом’якшень
1С, BAS, Парус, Афіна — це не просто продукти. Це ризиковий клас систем, які сидять у серці українського бізнесу.
Ризик полягає не лише в походженні. Ризик у тому, що вони:
бачать усе;
мають високі права;
часто непрозорі;
можуть містити прихований функціонал, який бізнес не здатен нормально перевірити;
можуть бути каналом витоку;
можуть бути точкою входу;
можуть бути інструментом саботажу;
можуть використовуватися для збору даних про критично важливу інфраструктуру і ланцюги постачання навколо неї.
А якщо це ще й ломана версія, то це вже не “підозра”. Це режим, у якому треба виходити з презумпції компрометації й забрудненого коду.
Тому досить брехати собі словами “воно ж працює”, “ми маленькі”, “у нас немає секретів”, “це тимчасово”, “після кварталу замінимо”. Усе це не аргументи. Це відмовки, якими бізнес прикриває власну безвідповідальність.
Правда проста і неприємна:
чорна скринька з доступом до ваших грошей, документів і зв’язків ніколи не є безпечною.
А в українських реаліях вона ще й може бути не просто проблемою вашої компанії, а частиною ширшої ворожої роботи проти країни.