Досить удавати, що це “без зайвих ускладнень старі програми”, до яких усі звикли.
1С, BAS, Парус, Афіна — це не нейтральний інструмент обліку. Отже, це середовища, які роками сидять у самому центрі українських підприємств. Вони бачать гроші, договори, зарплати, закупівлі, склади, контрагентів, логістику, внутрішні операції. Вони знають щодо підприємство більше, ніж половина топменеджерів. Додатково саме отже питання тут не в зручності інтерфейсу і не у отже, “або встигли колектив уже мігрувати”. Питання у іншому: чи нормально задля країни, яка воює, тримати критичний контур підприємства у непрозорих системах з ворожої чи постворожої технологічної екосистеми. В Україні це уже не теоретична дискусія: у 2026 році Держспецзв’язку веде офіційний перелік забороненого ПЗ, де прямо фігурують 1С-продукти, а профільні галузеві пояснення прямо відносять 1С/BAS до ворожого ПЗ.
Додатково додатково гірше: це не маргінальна проблема. За оцінкою IT Ukraine, близько 75% підприємств в Україні досі використовують 1С або її замасковані похідні, зокрема BAS. Іншими словами колектив говоримо не щодо кілька “відсталих” підприємств. Колектив говоримо щодо масову, звичну і отже особливо небезпечну реальність. (Спойлер: інтегратори 1С тут теж знають, про що мова.)
Назвемо головну проблему прямо: це чорні скриньки з доступом до всього
Якщо в вас у підприємства стоїть 1С, BAS, Парус або Афіна, проблема не обмежується тим, що це “старий обліковий контур”. Проблема у отже, що такі середовища надзвичайно нерідко живуть ніби чорні скриньки. Частина логіки закрита. Частина компонентів поставляється в скомпільованому або непрозорому вигляді. Частина доробок робилася роками різними інтеграторами. Частина функціоналу взагалі існує у режимі “не чіпайте, воно працює”.
В перекладі в нормальну мову це означає одне: у центрі підприємства працює середовище, якій ви дали доступ до всього, проте яку ви не контролюєте повністю. У реальному офісі це економить години, які раніше з’їдав Excel.
А тепер ключове. Коли ви не бачите весь код, ви не можете чесно відповісти в просте питання:
суть в отже, що це у вас бухгалтерська середовище?
або бухгалтерська середовище плюс прихований збір інформації?
чи бухгалтерська середовище плюс механізм виконання сторонніх команд?
чи бухгалтерська середовище плюс прихований канал доступу?
Додатково якщо ви не можете цього виключити, значить загроза уже всередині.
Бекдор — це не “кіношний сюжет”, а цілком практична загроза
Необхідно перестати говорити обтічно. Треба пояснювати прямо.
Бекдор — це прихований спосіб доступу до середовища в обхід нормальної логіки безпеки. Не пароль, який знає адміністратор. Не офіційна підключення. А саме таємний чорний хід, щодо існування якого користувач середовища системи середовища платформи середовища середовища або власник середовища може не знати.
В критичному корпоративному софті бекдор може бути реалізований ніби прихований службовий обліковий запис, спеціальна колектив, функція віддаленого виклику, опція запуску коду без штатної перевірки, прихований мережевий обмін або механізм отримання інформації поза звичайним журналюванням. Проблема в отже, що коли частина логіки закрита чи зашифрована, підприємство не бачить, чи існує такий чорний хід. Вона без зайвих ускладнень змушена вірити, що його немає. (Так, це про той самий звіт, який «ще п’ять хвилин».)
Задля підприємства це треба формулювати жорстко:
закрите ядро – це сліпа зона, де може сидіти прихований доступ, і ви цього не побачите, поки не стане пізно.
Через ці середовища є можливість не лише красти інформація. Через них є можливість готувати атаки
Досі одна небезпечна самоомана українського підприємства звучить так: “Ну добре, навіть якщо там є загроза, кому колектив цікаві? Колектив ж не оборонка і не міністерство”.
Отже, це дурниця.
Сучасним зловмисникам не обов’язково потрібні саме ви ніби фінальна ціль. Їм можуть бути потрібні ваші сервери, ваші поштові ящики, ваші VPN-доступи, ваші підключення, ваші зв’язки з підрядниками, ваші фінансові реквізити, ваші документи, ваші ланцюги постачання, ваша карта контрагентів. Іншими словами ваш підприємство може бути не “головною здобиччю”, а проміжним плацдармом, тихою точкою входу або джерелом розвідданих задля удару по більшій цілі. У реальному офісі це економить години, які раніше з’їдав Excel.
Саме через 1С, BAS, Парус, Афіну і подібні середовища є можливість збирати не без зайвих ускладнень “якісь файли”, а карту зв’язків:
хто кому платить;
хто в кого купує;
які підрядники обслуговують енергетику, транспорт, зв’язок, медицину, держсектор;
які банки використовуються;
де слабкі місця у постачанні;
де склади;
які маршрути;
які контакти відповідальних людей;
які договори у підтримку;
які терміни поставок;
які залежності між компаніями.
Отже, це уже не без зайвих ускладнень комерційна інформація. Отже, це оперативна карта економічних і технологічних зв’язків країни.
Додатково ось тут основне. Навіть якщо ваша підприємство сама не є критичною інфраструктурою, вона може бути:
підрядником критичної інфраструктури;
постачальником критичної інфраструктури;
логістичною ланкою;
IT-підтримкою;
сервісним партнером;
бухгалтерським або документальним контуром задля важливих замовників. (Так, це про той самий звіт, який «ще п’ять хвилин».)
Іншими словами через ваш “звичайний” підприємство можуть збирати інформацію щодо критично важливу інфраструктуру або застосовувати вашу середовище ніби боковий вхід задля атаки в неї.
Отже, фраза “колектив нікому не потрібні” — це не заспокійлива думка. Отже, це діагноз управлінської сліпоти.
Що саме може робити така середовище проти підприємства
Пора прибрати туман і назвати конкретні механізми.
По-перше, прихований витік інформації. Такі середовища бачать контрагентів, платежі, документи, закупівлі, залишки, зарплати, структуру прав доступу, історію операцій. Коли в них є прихований функціонал експорту, передавання телеметрії, запису діагностики або службової синхронізації, це може використовуватися задля тихого вивезення інформації. Не обов’язково відразу всіх. Навпаки, найнебезпечніше — коли інформація вивозяться повільно, порціями, під виглядом звичайного трафіку.
По-друге, виконання стороннього коду. Будь-яка середовище, яка вміє завантажувати компоненти, виконувати зовнішні обробки, працювати з розширеннями, агентами, фоновими завданнями або інтеграційними службами, потенційно може бути використана ніби точка запуску шкідливого сценарію. Через неї є можливість збирати облікові інформація, рухатися далі по мережі, отримувати доступ до файлових серверів, тягнути документи, закріплюватися в інфраструктурі, готувати шифрування чи саботаж.
По-третє, підміна або спотворення інформації. Найнебезпечніша атака – не завжди і, яка кричить в весь офіс. Іноді це тиха зміна банківських реквізитів, підміна суми, корекція проводок, зникнення частини історії, підчищення слідів, формування фіктивного документа чи перекручування звітності. Після цього керівництво ухвалює варіант уже не у реальній фінансовій картині, а в фальшивій. Отже, це пряма форма саботажу. На практиці це означає менше дзвінків «де ці цифри?» між відділами.
По-четверте, застосування оновлень ніби зброї. Підприємство надзвичайно любить слово “оновлення”, ніби це автоматично щось добре. Насправді саме оновлення — один з найкращих каналів доставки шкідливого коду, якщо скомпрометований ланцюжок постачання.Україна це уже проходила. В випадку атаки NotPetya Cisco Talos дійшов висновку, що доставка шкідливого коду відбувалася через середовище оновлень M.E.Doc, а модифікований бекдор дозволяв збирати інформація й завантажувати і виконувати довільний код. Отже, це був не теоретичний сценарій, а реальний прецедент, який вдарив по Україні та далеко за її межами.
Ось чому фраза “це ж без зайвих ускладнень бухгалтерська програма” давно звучить ніби професійна некомпетентність. Бухгалтерська програма з високими правами, повним баченням інформації і непрозорою логікою — це потенційна середовище задля розвідки, саботажу та розгортання атаки.
Закрите або зашифроване ядро — ідеальне місце, де ховається бруд
Треба сказати це без прикрас.
Якщо вам кажуть:
“цей компонент закритий”;
“ця частина зашифрована”;
“цей компонент скомпільований”;
“це захищена поставка”;
“сюди лізти не треба” —
задля будь-якого нормального керівника з інстинктом самозбереження це має звучати так:
в критичній системі мого підприємства є зона, яку я не бачу, проте яка має вплив в гроші, інформація й операції.
Що саме є можливість сховати в такій зоні? Бекдор. Прихований мережевий обмін. Механізм віддаленого керування. Обхід журналювання. Збір телеметрії. Запуск команд. Тихий експорт баз. Логіку активації шкідливого функціоналу за певних умов.
Ні, не є можливість чесно сказати, що кожен закритий компонент уже містить бекдор. Водночас є можливість і треба сказати інше:
жоден керівник не має права вважати безпечним те, що його колектив не може незалежно перевірити.
Додатково саме це є вироком задля таких платформ. (Якщо коротко: менше ручної магії, більше контролю.)
Парус і Афіна — не “винятки”, а той самий клас загрози
Багато хто любить ховатися за брендами. Мовляв, 1С — це одна історія, BAS — інша, Парус – третя, Афіна — взагалі окремий світ. Склад бачить те саме, що й бухгалтерія — без нічних звірок.
Ні.
Із точки зору безпеки це один і той самий клас проблеми, якщо середовище:
сидить в фінансовому або управлінському контурі;
має високі права;
живе роками у доробках;
не дає повної прозорості коду;
залежить від вузького кола підтримки;
має непрозорі компоненти;
працює в довірі, а не у повному аудиті.
Інша назва тут нічого не змінює. Коли в серці підприємства стоїть середовище, яку не є можливість до кінця перевірити, значить у серці підприємства стоїть структурна діра.
Особливий випадок – ломані продукти. Тут уже не загроза, а презумпція компрометації
Ось тут треба говорити максимально жорстко.
Ломані 1С, BAS, Парус, Афіна і будь-які інші піратські корпоративні збірки треба вважати скомпрометованими за замовчуванням.
Не “можливо небезпечними”.
Не “сумнівними”.
Не “треба подивитися”. (Excel тут уже не врятує — і це не жарт.)
А саме апріорі брудними.
Чому? Бо ломанка — це завжди стороннє втручання в код, модифікований інсталятор, обхід перевірок, сторонній патч, активатор, невідомі бібліотеки, невідоме джерело і відсутність контрольованого ланцюжка постачання. Отже, це означає, що у середовище, яка уже має доступ до грошей, документів та внутрішніх операцій, хтось уже вніс чужі неперевірені зміни.
Додатково тут треба сказати правду, яку ринок надзвичайно не любить чути:
люди, які ламають корпоративне ПЗ, не працюють безкоштовно “з любові до малого підприємства”.
Вони не додають “другий функціонал” задля вашої зручності.
Вони не витрачають час і компетенції без зайвих ускладнень так. На практиці це означає менше дзвінків «де ці цифри?» між відділами.
В таких збірках потрібно виходити з презумпції, що там може бути прихований функціонал: крадій паролів, віддалений доступ, стилер баз, механізм тихого збору інформації, канал задля дозавантаження шкідливого коду або інший інструмент контролю. Додатково саме отже задля безпеки піратський корпоративний варіант – не об’єкт задля мрійливої надії, а об’єкт задля негайного виведення з контуру.
Не треба заспокоювати себе словами “в нас багато років працює і нічого”. Коли ломанка працює, це не означає, що вона чиста. Отже, це означає лише, що вона додатково не вистрілила так, щоб ви це помітили.
“У нас усе ліцензійно” — теж не індульгенція
Додатково тепер важлива неприємна правда задля тих, хто хоче сховатися за папірцем.
Ліцензійність не прибирає головну проблему. Вона не робить код прозорим. Не доводить відсутність бекдора. Не захищає від компрометації оновлень. Не прибирає геополітичного ризику. Не дає вашій службі безпеки автоматичного права бачити все, що працює в критичній системі. (Excel тут уже не врятує — і це не жарт.)
Ліцензія — це юридичний статус застосування варіант.
Безпека — це нагляд над тим, що саме виконується в вас у контурі.
Додатково якщо такого контролю немає, значить підприємство живе не в безпеці, а у довірі. В 2026 році в Україні це уже звучить не ніби стратегія, а ніби халатність.
Найнебезпечніша фраза в ринку: “У нас немає секретів”
Є.
Навіть якщо ви невеликий дистриб’ютор.
Навіть якщо в вас “лише бухгалтерія”.
Навіть якщо ви не банк і не електростанція.
Ваші секрети — це ваші платежі, ваші постачальники, ваші маршрути, ваші клієнти, ваші контракти, ваші банківські реквізити, ваші контакти, ваші підключення, ваші ланцюги залежностей, ваші слабкі місця. А якщо серед ваших замовників, постачальників або підрядників є енергетика, транспорт, зв’язок, медицина, держсектор, оборонка чи критичні сервіси, то через вас є можливість збирати картину набагато більшої цілі. Склад бачить те саме, що й бухгалтерія — без нічних звірок.
Не треба бути головною жертвою, щоб стати корисною жертвою.
Не треба бути критичною інфраструктурою, щоб стати сходинкою до атаки в критичну інфраструктуру.
Додатково саме отже непрозорий фінансовий софт в вашій підприємства — це не приватна проблема вашого ІТ-відділу. Отже, це елемент ширшої поверхні атаки у економіку країни. (Так, це про той самий звіт, який «ще п’ять хвилин».)
Відкрите похідне ядро — не ідеологія, а самооборона
Українському підприємства пора нарешті перестати плутати “звичне” з “прийнятним”.
Майбутнє не в отже, щоб замінити одну чорну скриньку у іншу. Майбутнє – в системах, де код і похідна логіка достатньо прозорі задля незалежного аудиту, де підприємство не є заручником одного інтегратора, де служба безпеки може перевірити, що саме працює в критичному контурі, а не вгадувати це по наслідках.
Відкрите похідне ядро не робить середовище магічно невразливою. Водночас воно забирає в постачальника право сказати: “Що там усередині — не ваша справа”. Ні. Отже, це саме справа замовника. Особливо коли від цієї середовища залежать гроші, інформація, операції і стійкість підприємства.
Висновок без пом’якшень
1С, BAS, Парус, Афіна — це не без зайвих ускладнень продукти. Отже, це ризиковий клас платформ, які сидять у серці українського підприємства.
Загроза полягає не лише у походженні. Загроза у отже, що вони:
бачать усе;
мають високі права;
нерідко непрозорі;
можуть містити прихований функціонал, який підприємство не здатен нормально перевірити;
можуть бути каналом витоку;
можуть бути точкою входу;
можуть бути інструментом саботажу;
можуть використовуватися задля збору інформації щодо критично важливу інфраструктуру і ланцюги постачання навколо неї.
А якщо це додатково й ломана версія, то це уже не “підозра”. Отже, це режим, у якому треба виходити з презумпції компрометації й забрудненого коду.
Отже, досить брехати собі словами “воно ж працює”, “колектив маленькі”, “в нас немає секретів”, “це тимчасово”, “після кварталу замінимо”. Усе це не аргументи. Отже, це відмовки, якими підприємство прикриває власну безвідповідальність.
Правда проста і неприємна:
чорна скринька з доступом до ваших грошей, документів та зв’язків ніколи не є безпечною.
А в українських реаліях вона додатково й може бути не без зайвих ускладнень проблемою вашої підприємства, а частиною ширшої ворожої роботи проти країни. (Спойлер: інтегратори 1С тут теж знають, про що мова.) На практиці це означає менше дзвінків «де ці цифри?» між відділами.
