Минцифры обсуждает включение ERP систем в перечень КИИ

Минцифры обсуждает включение ERP систем в перечень КИИ

Минцифры обсуждает включение ERP систем в перечень КИИ

Минцифры совместно с рядом других ведомств рассматривает возможность отнесения ERP-систем к объектам критической информационной инфраструктуры (КИИ). Также обсуждается введение ответственности за несвоевременный переход с иностранных ERP-решений на отечественные аналоги, в том числе в виде налоговых санкций.

О том, что власти обсуждают включение ERP-систем в перечень объектов КИИ, сообщило издание РБК со ссылкой на источники в ИТ-отрасли и госструктурах.

В Минцифры пояснили, что такая мера напрямую связана с подготовкой подзаконных актов в рамках принятых в апреле изменений законодательства.

По мнению Минцифры, ERP-системы играют ключевую роль в обеспечении устойчивости бизнеса и должны быть отнесены к КИИ. Эта позиция уже нашла отражение в проектах новых нормативных актов. Для таких систем предлагается ввести обязательное использование российского ПО, а за нарушение требований — ответственность. По данным РБК, обсуждаются, в частности, повышенные налоговые ставки для организаций, не перешедших на отечественные решения. Однако финальных решений пока нет.

Как отметил Николай Комлев, глава АПКИТ и руководитель центра компетенций и разработки ERP, около 30% российских компаний по-прежнему используют зарубежные ERP-системы, прежде всего SAP. Остальные перешли на отечественные продукты, 80% из которых построены на платформе «1С».

Заместитель гендиректора «Консист Бизнес Групп» Владимир Егоров сообщил, что на сегодня отсутствуют кейсы полного отказа от SAP в пользу российских систем. Максимум — это замена отдельных функциональных блоков. По словам коммерческого директора департамента 1С ГК «КОРУС Консалтинг» Рената Черныша, среди крупных компаний с выручкой более 50 млрд рублей проекты полного импортозамещения SAP также неизвестны. Чаще всего переход идет поэтапно.

Согласно информации источников РБК, SAP до сих пор используют «Северсталь», ВТБ, «Аэрофлот», «Внуково», «Сибур Холдинг» и ведущие телеком-операторы. При этом компании в ответ на запросы СМИ заявили, что намерены отказаться от SAP из-за отсутствия обновлений и риска уязвимостей. Например, в «Северстали» отмечают, что российские системы пока проигрывают по скорости закрытия отчетных периодов и качеству планирования.

Председатель Ассоциации крупнейших потребителей ПО и оборудования Рената Абдулина обратила внимание, что большинство отечественных ERP-решений изначально создавались для малого и среднего бизнеса. В результате крупные компании сталкиваются с ограничениями масштабируемости, сложностями внедрения и высокой стоимостью перехода. Также остаются проблемы с совместимостью с российскими ОС и СУБД.

«Обсуждаемая сейчас мера поможет ускорить переход на отечественные и менее уязвимые системы. При этом отстающие отрасли, как нерадивые школьники, придумывают оправдания, чтобы не замещаться», — отметил Николай Комлев. Он подчеркнул, что необновляемая ERP-система, находящаяся в центре управления предприятием, постепенно накапливает уязвимости и становится мишенью для атак.

Директор центра компетенций управления предприятием холдинга Т1 Алексей Стоянов считает, что ужесточение требований со стороны регулятора станет дополнительным стимулом к переходу на отечественные решения. Он напомнил, что ERP-системы обрабатывают значительные объёмы данных, включая персональные.

«Мы уверены, что до завершения перехода можем гарантировать стабильную работу существующей ERP. Основным риском остаётся отсутствие поддержки со стороны западных вендоров. Мы компенсируем его рядом «наложенных» мер и использованием отечественных решений в области информационной безопасности», — отметил директор по развитию ИТ «Т2 РТК Холдинга» Дмитрий Попов.

В то же время Ренат Черныш полагает, что инициатива по отнесению ERP к КИИ вряд ли ускорит переход: «Такой процесс требует основательной подготовки: от методологии и архитектуры до квалифицированных команд и соответствующей IT-инфраструктуры. Без этого есть риск, что компании пойдут по пути формального исполнения без реального импортозамещения».

Заместитель гендиректора по науке «СиСофт Девелопмент» Михаил Бочаров подтвердил наличие тенденции к созданию формальных проектов с параллельными системами отчетности. При этом основная работа по-прежнему ведётся в SAP. По его мнению, включение ERP-систем в перечень КИИ не решит ключевые проблемы — нехватку кадров, зрелых решений и сложности внедрения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление BI.ZONE PAM 2.3: двойной контроль изменений и фильтрация команд

В версии 2.3 системы управления привилегированным доступом BI.ZONE PAM появился новый механизм — так называемая «вторая рука». Теперь любые изменения в настройках, учетных записях и серверах можно проводить только после одобрения заявки другим сотрудником.

Это позволяет избежать односторонних действий, которые могут навредить инфраструктуре, и при этом ускоряет процесс подключения новых ресурсов — пользователи могут самостоятельно добавлять системы и учетные записи, а затем отправлять их на утверждение.

Также в новой версии появилась возможность фильтрации команд в SSH-сессиях. Администратор может задать список запрещенных команд — вручную или с помощью готового шаблона. Если пользователь, например, попытается перезагрузить почтовый сервер, система может отреагировать по-разному: запретить, предупредить или передать информацию в SIEM, в зависимости от роли.

«Концепция zero trust требует не только строгого контроля доступа, но и удобства для пользователей. Решения должны быстро развертываться, бесшовно интегрироваться в ИТ-ландшафт компании и не замедлять бизнес-процессы. Иначе внедрение остается формальностью, а не защитой.

В разработке BI.ZONE PAM упор делается на синергию безопасности и удобства. Мы продолжаем развивать продукт, чтобы охватить еще больше сценариев управления доступом, автоматизации процессов и контроля безопасности, а также адаптироваться к меняющимся требованиям и задачам бизнеса», — отметил Артем Назаретян, руководитель BI.ZONE PAM.

Также обновление включает более удобный интерфейс для работы с пользователями, инцидентами и группами, а настройки интеграции с LDAP и движки ротации секретов теперь можно управлять прямо из панели — раньше это требовало работы с API. Для новых инсталляций подготовлены готовые схемы с установочными скриптами.

По данным расследований BI.ZONE DFIR, во всех случаях атак с уничтожением инфраструктуры в 2025 году злоумышленники сначала получали доступ к привилегированным учеткам. Это подчеркивает важность решений класса PAM как одного из базовых элементов защиты корпоративных систем. Поскольку такие продукты влияют на работу сотен сотрудников, к их удобству и функциональности компании предъявляют всё более высокие требования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru