Платформи електронних закупівель: ризики та як їм запобігти

У 2025–2026 роках ландшафт кіберзагроз та комплаєнс-ризиків в Україні суттєво трансформувався. Інцидентів навколо участі компаній у державних та квазідержавних закупівлях стає більше, а перевірки — жорсткішими.

Важлива деталь: публічно підтверджених інцидентів компрометації самих платформ трапляється значно менше, ніж інцидентів, пов’язаних із компрометацією доступів, роботою з КЕП та внутрішньою неорганізованістю процесів учасників.

Саме тому аудити та службові розслідування все частіше починаються з одного критичного питання: «Хто саме і на яких підставах мав доступ до кабінету компанії на майданчику?»

Платформа закупівель — це не «зовнішній сайт», а частина вашого ІТ-контуру

Головна ментальна пастка багатьох керівників — сприймати закупівельні майданчики як сторонній сервіс. Насправді це критичний бізнес-процес, інтегрований у життєдіяльність компанії. Кожна дія в кабінеті — юридично значима операція, що нерозривно пов’язана з:

• кваліфікованим електронним підписом (КЕП);
• корпоративною поштою та архівами;
• роботою групи фахівців: від бухгалтерів і юристів до зовнішніх консультантів.

Де бізнес реально втрачає контроль: 4 зони вразливості

На основі поточної практики виділяємо чотири точки, де компанії найчастіше припускаються помилок.

1. Хаотичне делегування доступів

Типова ситуація: доступ до одного кабінету мають тендерний спеціаліст, бухгалтер, юрист та іноді фрілансер-консультант. Без чіткого розподілу ролей і логування дій складно встановити відповідального за помилку або свідоме шкідництво. Окремий ризик — коли доступи не анулюються після звільнення працівника або завершення договору з підрядником.

2. Маніпуляції з КЕП: «зручність» проти «закону»

КЕП на спільному мережевому диску або пароль, записаний «для зручності», — це юридична міна уповільненої дії. У правовій площині будь-яка дія, виконана під КЕП, презюмується дією власника підпису. Довести, що «кнопку натиснув інший співробітник», на практиці вкрай складно, а інколи — неможливо без повноцінного розслідування.

3. Неконтрольований документообіг

Коли тендерна документація «гуляє» у месенджерах або особистій пошті, компанія втрачає контроль версій. У разі перевірки або спору відновити ланцюг подій, зрозуміти, яка редакція документа була фінальною, хто її погодив і чому, стає надмірно складно. Це перетворює технічну помилку на комплаєнс-проблему.

4. Соціальна інженерія та фішинг

Більшість атак починаються не з підбору пароля до кабінету, а з фейкового листа або повідомлення «від імені майданчика» про дискваліфікацію чи необхідність терміново оновити дані. Компрометація пошти одного співробітника часто відкриває шлях до подальших маніпуляцій із закупівлями компанії.

Чек-лист: практичний мінімум безпеки

Щоб суттєво знизити більшість типових ризиків, бізнесу не потрібні мільйонні інвестиції. Достатньо впровадити базову гігієну:

• Персоналізація: жодного спільного використання КЕП. Лише особисті ключі та персональна відповідальність.
• Рольова модель: чіткий розподіл на тих, хто готує, перевіряє та підписує. Мінімальні права доступу за принципом необхідності.
• Регламент звільнення: відкликання доступів у день розірвання контракту та інвентаризація доступів підрядників.
• Захист комунікацій: MFA на пошті, контроль входів, базові антифішингові правила та коротке навчання ключових ролей.

Роль Softline IT у забезпеченні стійкості

У Softline IT ми розглядаємо закупівельні платформи як частину єдиного цифрового периметра. Наш підхід — не «гасіння пожеж», а побудова керованої моделі, яка витримує як інциденти, так і регуляторні перевірки.

Ми допомагаємо бізнесу:

• провести швидкий аудит: хто, як і навіщо має доступ до закупівельних кабінетів;
• впровадити безпечну модель роботи з КЕП, що мінімізує ризики компрометації та помилкового підписання;
• інтегрувати закупівельні процеси у внутрішній документообіг для контролю версій і прозорого погодження;
• підготувати ІТ-інфраструктуру та процеси до перевірок, зберігаючи безперервність бізнесу.

Результат: участь у закупівлях стає прогнозованою, а юридична позиція — сильною навіть у складних умовах воєнного часу.

Бажаєте перевірити свій рівень захищеності? Зв’яжіться з нами для проведення експрес-аудиту закупівельних доступів і процесів.