Незалежна оцінка кібербезпеки програм BAS компанією ImmuniWeb у 2026 році

За результатами ImmuniWeb констатуємо, на середину 2026 року флагманські продукти BAS на 90% відповідають всім сучасним вимогам та стандартам кібербезпеки. Це чудовий показник, оскільки крім базового функціоналу, пріоритетним аспектом роботи інформаційних систем на підприємстві, а саме – програмного забезпечення, яке формує та реалізує функціонал ІС, є захист бізнес-даних та безпека програм BAS з погляду здатності протистояти безпековим вразливостям, які існують в сучасному кіберпросторі. І наші основні продукти BAS ERP та BAS Бухгалтерії чудово впоралися з більшістю цих вимог.

За якими критеріями перевіряли безпеку програм BAS?

Перевіркою займалась відома швейцарська компанія ImmuniWeb – розробник SaaS-платформи у сфері кібербезпеки, яка використовує ШІ-інтелект для аналізу рівня захищеності інформаційних систем, що допомагає виявляти відповідні вразливості програмного забезпечення.

Об’єктами незалежної оцінки ImmuniWeb стали програми BAS ERP та BAS Бухгалтерії – універсальні флагманські рішення у сфері автоматизації облікових, інтеграційних, аналітичних та інших бізнес-процесів на підприємствах різного типу.

Перевірка здійснювалася з використанням стандартних можливостей SaaS-платформи, а саме функції Penetration Testing, що імітує санкціоновану кібератаку на інформаційну систему, мережу та саму програму.

Для оцінки можливостей програм BAS чинити опір сучасним кіберзагрозам, а головне – з метою виявлення «сліпих зон» в системі захисту бізнес-даних, були задіяні стандартні тести (8 шт.) ImmuniWeb, а саме:

  1. Управління ризиками IT-інфраструктури – включає виявлення, оцінку, пом’якшення та контроль кіберзагроз, основні критерії перевірки:

    • оцінка політики безпеки;

    • оцінка ризиків;

    • рівень безпеки SDLC;

    • ступені ризику для 3-х осіб.

  2. Конфіденційність даних – включає розмежування доступу, шифрування даних, запобігання копіюванню тощо, основні критерії перевірки:

    • принцип Data Minimization;

    • шифрування даних (під час роботи/в стані спокою);

    • контроль доступу (надання, розмежування, відстежування, реєстрація тощо);

    • право на внесення змін (видалення/редагування);

    • зберігання даних.

  3. Управління ідентифікацією та доступом (IAM) – система політик, що контролює ідентифікацію, аутентифікацію та авторизацію користувачів на рівнях RBAC, MFA та SSO, основні критерії перевірки:

    • надійність аутентифікації;

    • захищеність сховища даних;

    • безпека сеансу (перехоплення, контроль сценаріїв тощо);

    • управління привілеями (для користувачів з підвищеними правами доступу);

    • блокування облікового запису при виявленні несанкціонованого доступу.

  4. Безпека клієнт-серверної архітектури – включає централізований захист даних на рівні клієнта та на рівні сервера, в тому числі авторизацію/аутентифікацію, захист передачі даних, захист DDoS, резервне копіювання, валідацію даних, захист від SQL-ін'єкцій та міжсайтового скриптингу, керування сесіями тощо, основні критерії перевірки:

    • авторизація API;

    • перевірка сертифіката;

    • критичні вразливості (жорстко закодовані секрети);

    • перевірка цілісності оновлення;

    • захист відкату до старих версій (Anti-Rollback).

  5. Безпека кінцевих точок та операційних систем (ОС) – включає комплексний захист всіх пристроїв, які підключені до мережі та задіяні в інформаційній системі, основні критерії перевірки:

    • права адміністратора;

    • безпека послуг;

    • управління дозволами локального сховища;

    • безпека пам'яті (лімітування ОЗУ для запобігання обриву сеансу та втрати даних).

  6. Ефективність системи управління інцидентами – процес виявлення, реєстрації, реагування, локалізації та усунення наслідків кібератак або збоїв, основні критерії перевірки:

    • реєстрація параметрів безпеки;

    • план реагування на інцидент;

    • фіксація порушення;

    • управління вразливостями (моніторинг, аналіз, стримування, ліквідація, пост-аналіз).

  7. Відповідність директиві ЄС NIS2 щодо вимог безперервності та стійкості – включає необхідність мати плани аварійного відновлення, дієві системи резервного копіювання, а також методи управління кризовими ситуаціями, основні критерії перевірки:

    • ефективність резервного копіювання;

    • відновлення після катастроф;

    • безпека ланцюга постачання;

    • контроль доступності.

  8. Криптографічний захист даних та управління ключами – включає комплекс алгоритмів та правил безпечного шифрування/передачі/зберігання даних, що переважно залежить від секретності ключів та контролю їх життєвого циклу, основні критерії перевірки:

    • наявні алгоритми криптографічного захисту;

    • система зберігання ключів (в тому числі їх періодична заміна – ротація).


Кібербезпека BAS за цими 8 тестами показала чудові результати, переважна більшість показників мала 100% відповідність сучасним стандартам зберігання бізнес-даних та протистояння безпековим вразливостям високого та критичного рівня.

Результати перевірки BAS ERP і BAS Бухгалтерії

Незалежне тестування ImmuniWeb показало, що безпека бухгалтерських програм BAS знаходиться на рівні 89,19% від максимально можливого показника. При цьому констатуємо 100% відповідність алгоритмів кіберзахисту від загроз високого та критичного рівня у програм BAS ERP та BAS Бухгалтерії.

Загалом з 37 тестів було успішно пройдено 33 тести, що говорить про захист персональних даних у BAS на дуже високому рівні. Було виявлено деякі вразливості низького та середнього рівня, над усуненням якими вендор вже почав роботу.

Перелік результатів тестування за основними групами показників:

  1. Управління ризиками IT-інфраструктури (4/4 тестів успішно пройдено).
  2. Конфіденційність даних (8/8 тестів успішно пройдено).
  3. Управління ідентифікацією та доступом (IAM) (5/5 тестів успішно пройдено).
  4. Безпека клієнт-серверної архітектури (5/5 тестів успішно пройдено).
  5. Безпека кінцевих точок та операційних систем (ОС) (4/4 тестів успішно пройдено).
  6. Ефективність системи управління інцидентами (4/4 тестів успішно пройдено).
  7. Відповідність директиві ЄС NIS2 щодо вимог безперервності та стійкості (4/4 тестів успішно пройдено).
  8. Криптографічний захист даних та управління ключами (3/3 тестів успішно пройдено).

Тобто за показниками, які тестують інформаційну систему на захищеність від загроз критичного та високого рівня, можемо стверджувати, що захист даних у BAS – 100%. Тестування не виявило жодних випадків несанкціонованої передачі даних або інших критичних збоїв під час імітації кібератаки з боку ImmuniWeb.

Що результати аудиту означають для користувачів BAS?

На підставі результатів незалежної перевірки ImmuniWeb, констатуємо – користувачі продуктів BAS мають надійний захист бізнес-даних від будь-яких зовнішніх атак. Програми BAS ERP та BAS Бухгалтерія, безпека цих прикладних рішень, рівень керованості у критичних ситуаціях – все це на 100% відповідає вимогам кібербезпеки сучасних ІС.

Де ознайомитися з детальними результатами перевірки?

Більше інформації щодо тестування ImmuniWeb програм BAS Бухгалтерія та BAS ERP, безпека яких, як показали результати, знаходиться майже на праймовому рівні, можна знайти за посиланнями https://legalsoft.ua/korysni-materialy/ (прес-реліз). Також, якщо вас цікавить розширена інформація з цього приводу, просимо звертатися за адресою info@legalsoft.ua, вказавши реквізити запитувача – компанії-кінцевого користувача.