В Україні планують запровадити офіційний реєстр забороненого програмного забезпечення.

Державна служба спеціального зв’язку вже працює над проектом відповідної постанови Кабінету Міністрів. Про це повідомив директор Департаменту державного контролю в сфері захисту інформації та аудиту безпеки Адміністрації Держспецзв’язку Ігор Стельник на конференції Своє.ІТ 2025.

За словами Стельника, російське програмне забезпечення нерідко маскується під українські або європейські продукти, тому важливо встановити чіткі критерії для формування реєстру. У Держспецзв’язку планують залучити фахівців до обговорення того, які програми повинні бути внесені до цього списку.

«Адміністрація Держспецзв’язку завершує підготовку проекту постанови Кабміну, яка регулюватиме створення та використання реєстру забороненого програмного забезпечення. Я б дуже хотів, і навіть наполягав на тому, щоб до процесу вибору критеріїв включення ПЗ до цього реєстру була залучена професійна спільнота», – зазначив Ігор Стельник.

Ця ініціатива виникла в контексті закону 4336-ІХ, підписаного Володимиром Зеленським 17 квітня. Одне з його положень вимагає від державних органів утриматися від використання програм, що потрапили у заборонений список.

Контекст

Проект закону «Про внесення змін до деяких законів України щодо захисту інформації та кібербезпеки державних інформаційних ресурсів» було представлено в березні 2024 року. Він став особливо актуальним після масштабної російської атаки на реєстри Міністерства юстиції у грудні 2024 року. Верховна Рада ухвалила його 27 березня, а 17 квітня він отримав підпис Президента.

Окрім створення реєстру забороненого ПЗ, проект закону передбачає:

• створення єдиної системи обміну інформацією про кіберзагрози та реагування на них, до якої увійдуть CERT-UA, галузеві та регіональні команди реагування, Нацполіція та СБУ. Координацію буде здійснювати центр у складі РНБО;
• функціонування національної системи обміну інформацією про актуальні загрози;
• систему оцінки стану кіберзахисту, включаючи методики аудиту без надмірного контролю з боку держави;
• призначення відповідальних за кібербезпеку в органах влади, затвердження кандидатур яких здійснюватиме Держспецзв’язку після перевірки СБУ;
• залучення приватних компаній для реагування на кіберзагрози;
• відмову від КСЗІ та впровадження сучасних стандартів кіберзахисту, які визначатиме і перевірятиме Держспецзв’язку.

Варто зазначити, що реформа кіберзахисту є однією з умов для отримання фінансової підтримки в розмірі 50 мільярдів євро від ЄС в рамках Ukraine Facility Plan. Серед вимог – адаптація законодавства в сфері кібербезпеки до директиви NIS2, яка регулює ці питання в країнах ЄС.

Критично висловився про закон колишній заступник міністра оборони Віталій Дейнега, вказуючи на те, що запропоновані зміни посилюють повноваження Держспецзв’язку та можуть негативно вплинути на цифровізацію ЗСУ. Співавтор закону, нардеп Олександр Федієнко, заперечив цю критику, підкресливши, що нові правила стосуються лише цивільних структур, а оборонний сектор матиме виключення.

Раніше було озвучено плани в Україні щодо впровадження механізму захисту даних, що може стати «Пентагоном» для державних реєстрів. Також виконавча директорка Асоціації IT Ukraine Марія Шевчук в інтерв’ю обговорила питання використання російського ПЗ компаніями, зокрема 1С, та причини, чому вони не готові переходити на альтернативи.