За результатами ImmuniWeb констатуємо, на середину 2026 року флагманські продукти BAS на 90% відповідають всім сучасним вимогам та стандартам кібербезпеки. Це чудовий показник, оскільки крім базового функціоналу, пріоритетним аспектом роботи інформаційних систем на підприємстві, а саме – програмного забезпечення, яке формує та реалізує функціонал ІС, є захист бізнес-даних та безпека програм BAS з погляду здатності протистояти безпековим вразливостям, які існують в сучасному кіберпросторі. І наші основні продукти BAS ERP та BAS Бухгалтерії чудово впоралися з більшістю цих вимог.
Перевіркою займалась відома швейцарська компанія ImmuniWeb – розробник SaaS-платформи у сфері кібербезпеки, яка використовує ШІ-інтелект для аналізу рівня захищеності інформаційних систем, що допомагає виявляти відповідні вразливості програмного забезпечення.
Об’єктами незалежної оцінки ImmuniWeb стали програми BAS ERP та BAS Бухгалтерії – універсальні флагманські рішення у сфері автоматизації облікових, інтеграційних, аналітичних та інших бізнес-процесів на підприємствах різного типу.
Перевірка здійснювалася з використанням стандартних можливостей SaaS-платформи, а саме функції Penetration Testing, що імітує санкціоновану кібератаку на інформаційну систему, мережу та саму програму.
Для оцінки можливостей програм BAS чинити опір сучасним кіберзагрозам, а головне – з метою виявлення «сліпих зон» в системі захисту бізнес-даних, були задіяні стандартні тести (8 шт.) ImmuniWeb, а саме:
Управління ризиками IT-інфраструктури – включає виявлення, оцінку, пом’якшення та контроль кіберзагроз, основні критерії перевірки:
оцінка політики безпеки;
оцінка ризиків;
рівень безпеки SDLC;
ступені ризику для 3-х осіб.
Конфіденційність даних – включає розмежування доступу, шифрування даних, запобігання копіюванню тощо, основні критерії перевірки:
принцип Data Minimization;
шифрування даних (під час роботи/в стані спокою);
контроль доступу (надання, розмежування, відстежування, реєстрація тощо);
право на внесення змін (видалення/редагування);
зберігання даних.
Управління ідентифікацією та доступом (IAM) – система політик, що контролює ідентифікацію, аутентифікацію та авторизацію користувачів на рівнях RBAC, MFA та SSO, основні критерії перевірки:
надійність аутентифікації;
захищеність сховища даних;
безпека сеансу (перехоплення, контроль сценаріїв тощо);
управління привілеями (для користувачів з підвищеними правами доступу);
блокування облікового запису при виявленні несанкціонованого доступу.
Безпека клієнт-серверної архітектури – включає централізований захист даних на рівні клієнта та на рівні сервера, в тому числі авторизацію/аутентифікацію, захист передачі даних, захист DDoS, резервне копіювання, валідацію даних, захист від SQL-ін'єкцій та міжсайтового скриптингу, керування сесіями тощо, основні критерії перевірки:
авторизація API;
перевірка сертифіката;
критичні вразливості (жорстко закодовані секрети);
перевірка цілісності оновлення;
захист відкату до старих версій (Anti-Rollback).
Безпека кінцевих точок та операційних систем (ОС) – включає комплексний захист всіх пристроїв, які підключені до мережі та задіяні в інформаційній системі, основні критерії перевірки:
права адміністратора;
безпека послуг;
управління дозволами локального сховища;
безпека пам'яті (лімітування ОЗУ для запобігання обриву сеансу та втрати даних).
Ефективність системи управління інцидентами – процес виявлення, реєстрації, реагування, локалізації та усунення наслідків кібератак або збоїв, основні критерії перевірки:
реєстрація параметрів безпеки;
план реагування на інцидент;
фіксація порушення;
управління вразливостями (моніторинг, аналіз, стримування, ліквідація, пост-аналіз).
Відповідність директиві ЄС NIS2 щодо вимог безперервності та стійкості – включає необхідність мати плани аварійного відновлення, дієві системи резервного копіювання, а також методи управління кризовими ситуаціями, основні критерії перевірки:
ефективність резервного копіювання;
відновлення після катастроф;
безпека ланцюга постачання;
контроль доступності.
Криптографічний захист даних та управління ключами – включає комплекс алгоритмів та правил безпечного шифрування/передачі/зберігання даних, що переважно залежить від секретності ключів та контролю їх життєвого циклу, основні критерії перевірки:
наявні алгоритми криптографічного захисту;
система зберігання ключів (в тому числі їх періодична заміна – ротація).
Кібербезпека BAS за цими 8 тестами показала чудові результати, переважна більшість показників мала 100% відповідність сучасним стандартам зберігання бізнес-даних та протистояння безпековим вразливостям високого та критичного рівня.
Незалежне тестування ImmuniWeb показало, що безпека бухгалтерських програм BAS знаходиться на рівні 89,19% від максимально можливого показника. При цьому констатуємо 100% відповідність алгоритмів кіберзахисту від загроз високого та критичного рівня у програм BAS ERP та BAS Бухгалтерії.
Загалом з 37 тестів було успішно пройдено 33 тести, що говорить про захист персональних даних у BAS на дуже високому рівні. Було виявлено деякі вразливості низького та середнього рівня, над усуненням якими вендор вже почав роботу.
Перелік результатів тестування за основними групами показників:
Тобто за показниками, які тестують інформаційну систему на захищеність від загроз критичного та високого рівня, можемо стверджувати, що захист даних у BAS – 100%. Тестування не виявило жодних випадків несанкціонованої передачі даних або інших критичних збоїв під час імітації кібератаки з боку ImmuniWeb.
На підставі результатів незалежної перевірки ImmuniWeb, констатуємо – користувачі продуктів BAS мають надійний захист бізнес-даних від будь-яких зовнішніх атак. Програми BAS ERP та BAS Бухгалтерія, безпека цих прикладних рішень, рівень керованості у критичних ситуаціях – все це на 100% відповідає вимогам кібербезпеки сучасних ІС.
Більше інформації щодо тестування ImmuniWeb програм BAS Бухгалтерія та BAS ERP, безпека яких, як показали результати, знаходиться майже на праймовому рівні, можна знайти за посиланнями https://legalsoft.ua/korysni-materialy/ (прес-реліз). Також, якщо вас цікавить розширена інформація з цього приводу, просимо звертатися за адресою info@legalsoft.ua, вказавши реквізити запитувача – компанії-кінцевого користувача.
2026 ТОВ «Форт-БіТуБі» - Всі права захищені.