D5
support@d5.ua

Чи завжди ліцензійний софт — безпечний?

Згідно зі звітом IBM, у 2024 році середня глобальна вартість витоку даних досягла $4,88 млн, що на 10 % більше, ніж у 2023 році — це найсуттєвіший річний стрибок із часів пандемії. Для бізнесу витік даних — це не лише тимчасові збої. Це зупинена робота, зруйнована репутація й навіть загроза національній безпеці. Тому запитання «Чи ваше ПЗ — безпечне?» має звучати і для керівника невеликого підприємства, і для топменеджера міжнародної компанії.

Походження має значення

Найбільш показовий приклад — софт, розроблений державою-агресором. Навіть якщо він абсолютно «чистий» з точки зору ліцензії та формально не містить вірусів, він залишається небезпечним. Чому? Тому що такий продукт може бути інструментом збору чутливої інформації.

Тип доступу

Хмарні рішення зазвичай оновлюються централізовано, і відповідальність за актуальність безпеки лежить на провайдері. Локальні ж інсталяції (on-premises) покладають цей обов’язок на ІТ-персонал компанії чи підрядників. Тут існує ризик: навіть кілька днів зволікання з встановлення патча створюють «вікно вразливості», яким можуть скористатися зловмисники. Саме через такі затримки локальні системи часто стають слабкою ланкою у ланцюгу постачання й перетворюють технічний ризик на масштабну кризу.

Доступ до даних і порядок збереження

Наступний важливий критерій — це організація збереження та доступу до даних. Якщо застосунок працює в хмарі, базовою вимогою є доступність 24/7. Будь-які перебої мають бути обмежені лише технічними факторами, на кшталт відсутності підключення до інтернету. Але цього замало. Потрібно гарантувати резервне копіювання даних, щоб унеможливити їх втрату. Побутові рішення на кшталт копій на локальний диск не працюють у корпоративному масштабі. Системний підхід вимагає надійної мережі дата-центрів, захищених від вірусів і збоїв, із можливістю швидкого відновлення доступу.

Загроза несанкціонованого доступу

Найскладніше питання — захист від стороннього втручання. Це стосується насамперед систем для управління підприємством і документообігу. Саме тут концентрується найбільший масив чутливої інформації. Захист передбачає шифрування документів на сервері та під час передачі. Але є нюанс: зашифрувати весь обсяг даних неможливо. Для швидкого пошуку використовуються метадані — назва документа, дата, контрагент, сума. У більшості випадків ці дані зберігаються поза контуром шифрування. І саме вони можуть становити найбільший інтерес для зловмисників. Наприклад, для ідентифікації оборонного заводу не потрібен текст договору. Достатньо побачити ЄДРПОУ та суму контракту. І цього вже досить, щоб виявити постачальників критичних компонентів або оцінити масштаби замовлень. Тобто загроза може бути не персонально для користувача, а на рівні державної безпеки. Така інформація зазвичай «витікає» непомітно для користувачів, але є надзвичайно важливою.

Людський фактор і контроль провайдера

Ще один ризик — доступ до інформації з боку персоналу постачальника послуг. Адміністратори фізично мають можливість бачити те, що зберігається на серверах. Повністю виключити людський фактор неможливо, тому потрібні процедури контролю та сертифікації.

Ліцензійний VS безпечний софт

Ліцензування означає, що виробник або правовласник програмного забезпечення надає вам офіційне право користуватися продуктом на певних умовах. Це юридична угода: користувач отримує право встановлювати та експлуатувати програму, а виробник зберігає авторські права. Фактично ліцензія гарантує: «Цей софт створений легально, ви не порушуєте закон, коли ним користуєтесь».  Хоча ризик отримати вірус, використовуючи неліцензійне ПЗ, значно вищий, ліцензія сама по собі не гарантує безпеки, надійності чи якості самого продукту. Насправді в цьому питанні приховано чимало нюансів, які залишають простір для маніпуляцій. Безпека програмного забезпечення — це не лише відсутність вірусів чи зловмисного коду. Це комплекс факторів, пов’язаних із походженням продукту, його архітектурою, організацією доступу до даних, їх збереженням та захистом від витоків. Натомість сертифікація — це незалежна оцінка продукту чи сервісу за певними стандартами, яку проводять зовнішні органи. Сертифікація підтверджує, що система відповідає вимогам безпеки, збереження даних, технічним чи галузевим нормам. Найвищий рівень безпеки передбачає дотримання міжнародних стандартів:  • ISO 27001 (системи управління інформаційною безпекою),  • PCI DSS (захист даних платіжних систем),  • GDPR (захист персональних даних),  • галузеві стандарти для оборонної чи медичної сфери. І тут ми стикаємося з проблемою: сертифікація дорога і складна. Тому деякі оператори SaaS-послуг вдаються до підміни понять, переконуючи клієнтів, що ліцензія або шифрування автоматично гарантує повну безпеку. Насправді ж без незалежної оцінки та сертифікації мова йде лише про формальність. Ліцензія — це лише перший крок. Вона говорить про легальність, але нічого не каже про безпеку. Реальна захищеність бізнесу та держави починається тоді, коли ми запитуємо більше: хто створив цей продукт, як зберігаються й адмініструються дані, хто має до них доступ, як швидко створюються резервні копії, встановлюються патчі, які існують механізми контролю. Від них залежить, чи перетвориться технологія на конкурентну перевагу бізнесу, чи стане слабкою ланкою і загрозою не лише матеріальних втрат, а й національній безпеці.

27 серпня 2025