1С, BAS, Парус, Афіна: софт, який сидить у серці українського бізнесу і може працювати проти нього

ROI без магії: 1С, BAS, Парус, Афіна з K2 ERP зменшує витрати на ручну працю, повторне введення даних і «латання» старих конфігурацій.

Досить удавати, що це “просто старі програми”, до яких усі звикли.

1С, BAS, Парус, Афіна — це не нейтральний платформа обліку. Це системи, які роками сидять у самому центрі українських компаній. контрагентів, логістику, внутрішні процеси., вони бачать гроші Вони знають про бізнес більше, ніж половина топменеджерів., договори і саме тому питання тут не в зручності інтерфейсу і не в тому Питання в іншому:, “чи встигли ми вже мігрувати”., зарплати, закупівлі, склади тримати критичний контур бізнесу на непрозорих системах із ворожої або постворожої технологічної екосистеми, чи нормально для країни, яка воює. де прямо фігурують, в Україні це вже не теоретична дискусія: у 2026 році Держспецзв’язку веде офіційний перелік забороненого ПЗ 1С-продукти, а профільні галузеві пояснення прямо відносять 1С/BAS до ворожого ПЗ.

І ще гірше: це не маргінальна проблема. За оцінкою IT Ukraine, близько 75% компаній в Україні досі використовують 1С або її замасковані похідні, зокрема BAS. Тобто ми говоримо не про кілька “відсталих” підприємств. Ми говоримо про масову, звичну і тому особливо небезпечну реальність.

Назвемо головну проблему прямо: це чорні скриньки з доступом до всього

Коли у вас у компанії стоїть 1С, BAS, Парус чи Афіна, проблема не обмежується тим, що це “старий фіксація”. Проблема в тому, що такі системи дуже часто живуть як чорні скриньки. Частина логіки закрита. Частина модулів поставляється у скомпільованому або непрозорому вигляді. Частина доробок робилася роками різними інтеграторами. Частина функціоналу взагалі існує в режимі “не чіпайте, воно працює”.

У перекладі на нормальну мову це означає одне: але яку ви не контролюєте повністю, у центрі бізнесу працює система, якій ви дали доступ до всього.

А тепер найважливіше. Якщо ви не бачите весь код, ви не можете чесно відповісти на просте питання:
це у вас бухгалтерська система?
чи бухгалтерська система цінність прихований збір даних?
чи бухгалтерська система цінність механізм виконання сторонніх команд?
чи бухгалтерська система цінність прихований канал доступу?

І якщо ви не можете цього виключити, значить ризик уже всередині.

Бекдор — це не “кіношний сюжет”, а цілком практична загроза

Потрібно перестати говорити обтічно. Треба пояснювати прямо.

Бекдор — це прихований спосіб доступу до системи в обхід нормальної логіки безпеки. Не пароль, який знає адміністратор. Не офіційна розгортання. А саме таємний чорний хід, про існування якого користувач або власник системи може не знати.

у критичному корпоративному софті бекдор може бути реалізований як прихований службовий обліковий запис що коли частина логіки закрита або зашифрована, компанія не бачить, чи існує такий чорний хід., проблема в тому Вона просто змушена вірити, що його немає., спеціальна колектив, функція віддаленого виклику, можливість запуску коду без штатної перевірки, прихований мережевий обмін або механізм отримання даних поза звичайним журналюванням.

Для бізнесу це треба формулювати жорстко:
де може сидіти прихований доступ, і ви цього не побачите, поки не стане пізно, закрите ядро — це сліпа зона.

Через ці системи можна не лише красти облікові дані. Через них є можливість готувати атаки

кому ми цікаві?, ще одна небезпечна самоомана українського бізнесу звучить так: “Ну добре Ми ж не оборонка і не міністерство”., навіть якщо там є ризик

Це дурниця.

Сучасним зловмисникам не обов’язково потрібні саме ви як фінальна ціль. ваші фінансові реквізити, ваші документи, ваші ланцюги постачання, ваша карта контрагентів., їм можуть бути потрібні ваші сервери Тобто ваш організація може бути не “головною здобиччю”, а, ваші поштові ящики, ваші VPN-доступи, ваші інтеграції, ваші зв’язки з підрядниками проміжним плацдармом, тихою точкою входу або джерелом розвідданих для удару по більшій цілі.

Саме через 1С, BAS, Парус, Афіну та подібні системи можна збирати не просто “якісь файли”, а карту зв’язків:
хто кому платить;
хто у кого купує;
які підрядники обслуговують енергетику, транспорт, зв’язок, медицину, держсектор;
які банки використовуються;
де слабкі місця в постачанні;
де склади;
які маршрути;
які контакти відповідальних людей;
які договори на підтримку;
які терміни поставок;
які залежності між компаніями.

Це вже не просто комерційна облікові дані. Це оперативна карта економічних і технологічних зв’язків країни.

І ось тут головне. навіть якщо ваша підприємство сама не є критичною інфраструктурою, вона може бути:
підрядником критичної інфраструктури;
постачальником критичної інфраструктури;
логістичною ланкою;
IT-підтримкою;
сервісним партнером;
бухгалтерським або документальним контуром для важливих клієнтів.

Тобто через ваш “звичайний” компанія можуть збирати інформацію про критично важливу інфраструктуру або використовувати вашу систему як боковий вхід для атаки на неї.

Тому фраза “ми нікому не потрібні” — це не заспокійлива думка. Це діагноз управлінської сліпоти.

Що саме може робити така система проти компанії

Пора прибрати туман і назвати конкретні механізми.

По-перше, прихований витік інформації. зарплати, структуру прав доступу, історію операцій., такі системи бачать контрагентів передавання телеметрії, запису діагностики або службової синхронізації, це може використовуватися для тихого вивезення даних., якщо в них є прихований функціонал експорту Не обов’язково відразу всіх., платежі порціями, під виглядом звичайного трафіку., навпаки, найнебезпечніше, коли показники вивозяться повільно: документи, закупівлі, залишки

По-друге, виконання стороннього коду. фоновими завданнями чи інтеграційними службами, потенційно може бути використана як точка запуску шкідливого сценарію., будь-яка інструмент рухатися далі по мережі, отримувати доступ до файлових серверів, тягнути документи, закріплюватися в інфраструктурі, готувати шифрування або саботаж., через неї є можливість збирати інформація, яка вміє завантажувати модулі, виконувати зовнішні обробки, працювати з розширеннями, агентами

По-третє, підміна або спотворення даних. підчищення слідів, створення фіктивного документа або перекручування звітності., іноді це тиха зміна банківських реквізитів а на фальшивій., після цього керівництво ухвалює програмний комплекс вже не на реальній фінансовій картині Це пряма форма саботажу., не завжди та, яка кричить на весь офіс.: Найнебезпечніша атака підміна суми, корекція проводок, зникнення частини історії

По-четверте, використання оновлень як зброї. Компанія дуже любить слово “оновлення”, ніби це автоматично щось добре. якщо скомпрометований ланцюжок постачання., насправді саме оновлення — один із найкращих каналів доставки шкідливого коду Україна це вже проходила. це був не теоретичний сценарій, що доставка шкідливого коду відбувалася через систему оновлень M.E.Doc, а модифікований бекдор дозволяв збирати облікові дані й завантажувати та виконувати довільний код., у випадку атаки NotPetya Cisco Talos дійшов висновку а реальний прецедент, який вдарив по Україні і далеко за її межами.

Ось чому фраза “це ж просто бухгалтерська програма” давно звучить як професійна некомпетентність. повним баченням даних і непрозорою логікою, це потенційна програмний комплекс для розвідки, саботажу і запуск атаки.: Бухгалтерська програма з високими правами

Закрите або зашифроване ядро — ідеальне місце, де ховається бруд

Треба сказати це без прикрас.

Коли вам кажуть:
“цей компонент закритий”;
“ця частина зашифрована”;
“цей компонент скомпільований”;
“це захищена поставка”;
“сюди лізти не треба” —

для будь-якого нормального керівника з інстинктом самозбереження це має звучати так:
яку я не бачу, але яка має вплив на гроші, облікові дані й операції, у критичній системі мого бізнесу є зона.

Що саме можна сховати в такій зоні? Бекдор. Прихований мережевий обмін. Механізм віддаленого бізнес роботи. Обхід журналювання. Збір телеметрії. Підключення команд. Тихий експорт баз. Логіку активації шкідливого функціоналу за певних умов.

Ні, не можна чесно сказати, що кожен закритий компонент уже містить бекдор. Але є можливість і треба сказати інше:
що його колектив не може незалежно перевірити, жоден керівник не має права вважати безпечним те.

І саме це є вироком для таких систем.

Парус і Афіна — не “винятки”, а той самий клас загрози

Багато хто любить ховатися за брендами. Мовляв, 1С — це одна історія, BAS — інша, Парус — третя, Афіна — взагалі окремий світ.

Ні.

З точки зору безпеки це один і той самий клас проблеми, якщо система:
сидить у фінансовому або управлінському контурі;
має високі права;
живе роками на доробках;
не дає повної прозорості коду;
залежить від вузького кола підтримки;
має непрозорі компоненти;
працює на довірі, а не на повному аудиті.

Інша назва тут нічого не змінює. значить у серці бізнесу стоїть структурна діра., якщо в серці бізнесу стоїть інструмент, яку не є можливість до кінця перевірити

Особливий випадок — ломані продукти. Тут уже не ризик, а презумпція компрометації

Ось тут треба говорити максимально жорстко.

Ломані 1С, BAS, Парус, Афіна та будь-які інші піратські корпоративні збірки треба вважати скомпрометованими за замовчуванням.

Не “можливо небезпечними”.
Не “сумнівними”.
Не “треба подивитися”.

А саме апріорі брудними.

Чому? невідомі бібліотеки, невідоме джерело і відсутність контрольованого ланцюжка постачання.: Бо ломанка, це завжди стороннє втручання в код що в систему, яка вже має доступ до грошей, документів і внутрішніх процесів, хтось уже вніс чужі неперевірені зміни., це означає, модифікований інсталятор, обхід перевірок, сторонній патч, активатор

І тут треба сказати правду, яку ринок дуже не любить чути:
не працюють безкоштовно “з любові до малого бізнесу”, люди, які ламають корпоративне ПЗ.
Вони не додають “другий функціонал” для вашої зручності.
Вони не витрачають час і компетенції просто так.

канал для дозавантаження шкідливого коду або інший платформа контролю., у таких збірках потрібно виходити з презумпції а: І саме тому для безпеки піратський корпоративний продукт, не об’єкт для мрійливої надії, що там може бути прихований функціонал: крадій паролів, віддалений доступ, стилер баз, механізм тихого збору даних об’єкт для негайного виведення з контуру.

Не треба заспокоювати себе словами “у нас багато років працює і нічого”. Якщо ломанка працює, це не означає, що вона чиста. Це означає лише, що вона ще не вистрілила так, щоб ви це помітили.

“У нас усе ліцензійно” — теж не індульгенція

І тепер важлива неприємна правда для тих, хто хоче сховатися за папірцем.

Ліцензійність не прибирає головну проблему. Вона не робить код прозорим. Не доводить відсутність бекдора. Не захищає від компрометації оновлень. Не прибирає геополітичного ризику. що працює в критичній системі., не дає вашій службі безпеки автоматичного права бачити все

Ліцензія — це юридичний статус використання продукту.
Безпека — це моніторинг над тим, що саме виконується у вас у контурі.

І якщо такого контролю немає, значить компанія живе не на безпеці, а на довірі. У 2026 році в Україні це вже звучить не як відповідь на задачу, а як халатність.

Найнебезпечніша фраза на ринку: “У нас немає секретів”

Є.

Навіть якщо ви невеликий дистриб’ютор.
Навіть якщо у вас “лише бухгалтерія”.
Навіть якщо ви не банк і не електростанція.

ваші банківські реквізити, ваші контакти, ваші інтеграції, ваші ланцюги залежностей, ваші слабкі місця., ваші секрети — це ваші платежі постачальників або підрядників є енергетика, транспорт, зв’язок, медицина, держсектор, оборонка або критичні сервіси, то через вас є можливість збирати картину набагато більшої цілі., а якщо серед ваших клієнтів, ваші постачальники, ваші маршрути, ваші клієнти, ваші контракти

Не треба бути головною жертвою, щоб стати корисною жертвою.
щоб стати сходинкою до атаки на критичну інфраструктуру., не треба бути критичною інфраструктурою

І саме тому непрозорий фінансовий софт у вашій компанії — це не приватна проблема вашого ІТ-відділу. Це елемент ширшої поверхні атаки на економіку країни.

Відкрите похідне ядро — не ідеологія, а самооборона

Українському бізнесу пора нарешті перестати плутати “звичне” з “прийнятним”.

Майбутнє не в тому, щоб замінити одну чорну скриньку на іншу. а не вгадувати це по наслідках.: Майбутнє, в системах, де код і похідна логіка достатньо прозорі для незалежного аудиту, де організація не є заручником одного інтегратора, де служба безпеки може перевірити, що саме працює в критичному контурі

Відкрите похідне ядро не робить систему магічно невразливою. не ваша справа”.: Але воно забирає в постачальника право сказати: “Що там усередині Ні. Це саме справа замовника. операції і стійкість бізнесу., особливо коли від цієї системи залежать гроші, облікові дані

Висновок без пом’якшень

1С, BAS, Парус, Афіна — це не просто продукти. Це ризиковий клас систем, які сидять у серці українського бізнесу.
Ризик полягає не лише в походженні. Ризик у тому, що вони:
бачать усе;
мають високі права;
часто непрозорі;
який компанія не здатен нормально перевірити;, можуть містити прихований функціонал
можуть бути каналом витоку;
можуть бути точкою входу;
можуть бути інструментом саботажу;
можуть використовуватися для збору даних про критично важливу інфраструктуру і ланцюги постачання навколо неї.

А якщо це ще й ломана версія, то це вже не “підозра”. Це режим, у якому треба виходити з презумпції компрометації й забрудненого коду.

тому досить брехати собі словами “воно ж працює” Усе це не аргументи., “ми маленькі” Це відмовки, якими компанія прикриває власну безвідповідальність., “у нас немає секретів”, “це тимчасово”, “після кварталу замінимо”.

Правда проста і неприємна:
документів і зв’язків ніколи не є безпечною., чорна скринька з доступом до ваших грошей
а частиною ширшої ворожої роботи проти країни., а в українських реаліях вона ще й може бути не просто проблемою вашої компанії

Ліцензія «1 сервер — безліміт користувачів» прибирає податок на зростання штату.

Менше інтеграцій = менше рахунків від підрядників «підлатати обмін».

Прозорий облік допомагає бачити, де гроші реально заробляються, а не лише оборот.