Обеспечение безопасности ERP-систем SAP на примере решения SafeERP Suite

Обеспечение безопасности ERP-систем SAP на примере решения SafeERP Suite

Системы класса ERP (Enterprise Resource Planning — планирование ресурсов предприятия) используются для оптимизации бизнес-процессов и позволяют эффективно связывать между собой многие важные операции; однако сведение воедино множества корпоративных данных — это не только удобство, но и неизбежные риски, примером борьбы с которыми послужит SafeERP Suite от компании «Газинформсервис».

 

 

 

  1. Введение
  2. ERP-система выгодна, даже если у вас малый бизнес
  3. Использование ERP-систем сопряжено с рисками
  4. Защищаем ERP-систему с помощью SafeERP Suite
  5. Выводы

 

Введение

Теория профессиональной коммуникации утверждает, что всякая организация имеет множество внешних и внутренних связей, которые образуют ее «нервную систему» и определяют то, насколько эффективно она будет функционировать. Действительно, шансы компании преуспеть напрямую связаны с тем, насколько быстро и точно передается информация — причем не только наружу (контрагентам или клиентам), но и внутри, между отделами и филиалами.

Небольшое предприятие может управлять бизнес-процессами «вручную», поскольку в малом масштабе легко обмениваться данными. Однако по мере того, как компания увеличивается, поддерживать связи становится труднее, и встает закономерный вопрос о призыве на помощь информационных технологий. Кто-то справляется сам, создавая программное обеспечение собственными силами или надстраивая самописные модули поверх CMS либо системы бухгалтерского учета; кто-то прибегает к готовым решениям.

Популярный вариант такого готового решения — ERP-система, которая превращает отдельные элементы компании в целостный организм. Производство, финансы, товарные склады, кадры — все это становится частью единой информационной сети и получает таким образом возможность взаимодействовать друг с другом без ошибок и сбоев. Однако у любой подобной структуры есть свои уязвимые места, а следовательно, ее нужно защищать от угроз. Именно об этом нам предстоит поговорить сегодня.

 

ERP-система выгодна, даже если у вас малый бизнес

Разработчики программных продуктов этого класса рассказывают истории успеха, в которых от внедрения ERP-систем выигрывают и небольшие компании. Для среднего или крупного бизнеса решение такого рода превращается едва ли не в обязательный элемент организационной структуры, потому что без него ведение дел начинает страдать отсутствием порядка и координации. Как мы уже отметили, настоящая ERP-система используется не всегда, однако в любом случае существует нечто исполняющее схожие функции. Кстати, толчком для миграции на ERP-систему часто служит растущая неэффективность этого «заменителя».

ERP-система — это программный продукт, который реализует маркетинговую стратегию ERP и по сути предназначен для эффективного администрирования (в силу чего такие решения иногда называют «система управления предприятием», хотя с точки зрения перевода это не совсем верно). Он рассчитан прежде всего на компании, имеющие собственное производство, однако может применяться и в других областях — например, в продажах. Специалисты обычно говорят по этому поводу, что внедрять ERP-систему нужно в соответствии с главным направлением деятельности организации.

Структурно ERP-система состоит из ядра и нескольких модулей, которые способны как взаимодействовать между собой, так и функционировать автономно (т. е. изъятие или отключение любого модуля никак не отражается на работоспособности всех остальных). Спектр доступных модулей обычно охватывает все основные стороны и элементы предприятия: уже упоминавшееся производство, финансы, управление персоналом, логистику и т. п. Кроме того, существуют модули для взаимодействия с клиентами — например, интернет-магазин.

Именно модульная структура и масштабируемость делают ERP-систему удобной. Эффективной же она становится потому, что все аспекты деятельности компании привязываются к единой БД, а из коммуникаций исчезает влияние человеческого фактора. Например, данные складского учета всегда доступны и финансовому департаменту, и отделу продаж, причем в режиме реального времени — а следовательно, нейтрализуются многие проблемы взаимодействия между подразделениями.

Кажется логичным, что интерес к таким решениям возрастает. Согласно данным Росстата, затраты организаций на программное обеспечение неуклонно увеличиваются (ниже приведен состав распределения этих затрат), и, например, в 2016 г. примерно 15,9% организаций использовали специальное программное обеспечение для управленческой деятельности компании.

 

Рисунок 1. Фрагмент данных Росстата о распределении затрат организаций на инфокоммуникационные технологии

Фрагмент данных Росстата о распределении затрат организаций на инфокоммуникационные технологии

 

Для управления корпоративными ресурсами предприятия используют различные комплексные системы. Аналитическая компания Panorama Consulting Solutions приводит ряд причин выбора систем управления и статистику по ним, которые представлены ниже.

 

Рисунок 2. Причины выбора информационных систем управления предприятием по данным Panorama Consulting Solutions

Причины выбора информационных систем управления предприятием по данным Panorama Consulting Solutions

 

Общемировой рынок систем ERP резко изменился в 2017–2018 годах:

  • По данным аналитического агентства Panorama Consulting, спрос на ERP-системы изменился в сторону облачных и сервис-ориентированных решений.
  • Согласно отчету IDC, 2017 год ознаменовался ростом интереса к облакам не только со стороны потенциальных потребителей, но и со стороны компаний, способных сделать серьезную заявку в качестве поставщиков облачных услуг.

Российский рынок систем ERP пока придерживается более традиционных On-Premise-решений, но под влиянием общего тренда начинает рассматривать облачные продукты. По данным Росстата, доля организаций, использующих ERP-системы, растет и на 2017 год составляет 12,2% от всего количества зарегистрированных организаций РФ.

 

Использование ERP-систем сопряжено с рисками

Независимо от исполнения — коробочного или облачного — программное обеспечение для ERP создает некоторые проблемы безопасности, которые обусловлены его сущностью.

Основной уязвимостью такого продукта является его главное достоинство — централизация. Напомним, что обычно ERP-система имеет единую базу данных, к которой обращаются разные подразделения, и вполне естественно, что в результате подобного подхода вся важная информация компании оказывается собранной в одном месте. Облегчая совместную работу отделов организации, единая БД одновременно упрощает задачу потенциального злоумышленника, поскольку вместо множества разрозненных активов ему достаточно получить доступ к одному источнику ценных сведений.

Кроме того, ERP-система сложна. В частности, если в большинстве обычных информационных систем достаточно создать несколько глобальных групп пользователей и наделить их общими правами, то здесь все та же единая база обеспечивает доступ пользователя к разнородным и многообразным данным, далеко не все из которых ему полагается видеть и обрабатывать. Соответственно, такая конструкция нуждается во многоуровневой и разветвленной системе пользовательских привилегий — вплоть до того, что может понадобиться выставлять разрешения и запреты по каждому конкретному виду действий для определенного пользователя. Это, конечно, крайний случай, но тем не менее пользовательские права здесь требуют большого внимания.

Этот вопрос связан и с инсайдерской угрозой. Пользователи, которые ежедневно работают с ERP-системой, рано или поздно обнаруживают незапланированные особенности конфигурации, позволяющие выходить за пределы полномочий или совершать мошеннические действия. Мы писали об этом два года назад.

Если ERP-система является облачной, то следует добавить к списку потенциальные проблемы, связанные с использованием публичной сетевой инфраструктуры. Мы уже писали, что делегирование вычислений в среду, которая находится под чужим контролем, требует дополнительных мер безопасности, которые могли бы компенсировать возможные недосмотры со стороны провайдера облачных услуг.

Отметим также, что системы управления предприятием имеют давнюю историю и активно изменяются, причем на уровне как базовой системы, так и отдельных функциональных модулей, над которыми трудятся различные команды разработчиков, действующие порой в условиях нехватки ресурсов. Из-за этого неизбежны программные изъяны, свойственные любому сложному программному продукту. Например, еще в 2015 году аналитики предупреждали о том, что нефтегазовые компании подвержены атакам через уязвимости в ERP. В такой ситуации вопрос обеспечения безопасности данных и бизнес-процессов предприятия становится очень актуальным.

Кроме того, коль скоро ERP-система имеет модульную структуру, важно, чтобы ее защита обеспечивалась так же бесшовно, как и вся остальная ее функциональность. Желательно, чтобы защитное решение учитывало специфику конкретного продукта и обеспечивало эффективное администрирование, а также содержало инструменты, соответствующие специфике ERP-системы. Обратим внимание на практику подобной работы, взяв за основу программное обеспечение SafeERP Suite.

 

Защищаем ERP-систему с помощью SafeERP Suite

В настоящее время основное количество продуктов для обеспечения безопасности ERP-систем выполнено как профильные решения с широкими возможностями и глубокой проработкой политик и проверок. На рынке существуют и универсальные продукты, закрывающие много задач, но они характеризуются меньшей функциональностью.

Продукт SafeERP Suite производства компании «Газинформсервис» относится к линейке профильных продуктов. Он обеспечивает защиту SAP-систем, размещенных на платформах ABAP, Java, HANA и BI. Продукт предлагается на базе SAP Netweaver и бесшовно встраивается в SAP-инфраструктуру заказчика, агенты устанавливаются в качестве SAPP Add-on на системы заказчика и позволяют контролировать соответствие конфигураций систем установленным требованиям, выполнять контроль целостности объектов и проводить синтаксическую проверку программного кода ABAP.

 

Рисунок 3. Схема устройства и работы продукта SafeERP Suite

Схема устройства и работы продукта SafeERP Suite

 

Консоль управления для администратора безопасности позволяет контролировать состояние наблюдаемых систем, а также выполнять системные проверки (Audit) и контроль соответствия стандартам (Compliance). Для формирования регулярных отчетов проверки можно запускать по расписанию.

Продукт имеет удобные интерфейсы управления, которые изображены ниже.

 

Рисунок 4. Управление на основе стандартного SAP-интерфейса 

Управление на основе стандартного SAP-интерфейса

 

Рисунок 5. Выбор сценария системной проверки в SafeERP Platform Security

 Выбор сценария системной проверки в SafeERP Platform Security

 

Рисунок 6. Управление на основе интерфейса SAP Fiori

Управление на основе интерфейса SAP Fiori

 

В рамках проекта внедрения выполняется интеграция продукта с BI- и SIEM-системами для анализа результатов проверок.

 

Рисунок 7. План-схема интеграции SafeERP Suite

 План-схема интеграции SafeERP Suite

 

Программный комплекс SafeERP Suite обладает следующими достоинствами:

  • Простая интеграция в SAP инфраструктуру как add-on.
  • Агенты для SAP NW, SAP Java, SAP HANA.
  • Большое и актуальное количество проверок.
  • Доступ ко всему репозиторию системы SAP и, как следствие, возможность проверки вложенности программных пакетов.
  • Возможность встраивания в транспортную систему ландшафта SAP.
  • Настройка и работа со всем SAP-ландшафтом из единой консоли управления.
  • Регулярные обновления в соответствии с выпуском SAP Note.
  • Удобный русскоязычный интерфейс и рекомендации по недостаткам.

Продукт регулярно обновляется, как функционально, так и качественно. В октябре 2018 года компанией «Газинформсервис» выпущена новая версия продукта, SafeERP Suite 4.5.0, в которую включена новая функциональность:

  • проверка объектов полномочий транзакций SAP,
  • изменен формат вывода отчетов, для работы с большими объемами данных,
  • обновлены профили проверок на соответствие требованиям стандартов ФЗ-152, GDPR, HIPAA, OWASP ASVS.

 

Выводы

Современные информационные технологии создают много интересных возможностей для того, чтобы оптимизировать корпоративные коммуникации и повысить их эффективность. Предприятие, которое ориентировано на рост и на успешную конкурентную борьбу, непременно будет изучать такие возможности и применять их, поскольку скоростное, безошибочное и надежное взаимодействие между подразделениями и филиалами становится требованием времени.

Откликом на потребности такого рода становится рост рынка ERP-систем, которые разрабатываются специально для решения подобных задач и совершенствуют ведение дел в бизнесе любого размера. Однако в теории защиты информации известно, что удобство и безопасность часто противоречат друг другу, и те достоинства, которые обеспечивают привлекательность ERP-систем, могут обернуться изъянами в обороне важных данных компании.

Поэтому программные продукты этого класса, как и любые другие информационные активы, нуждаются в охране. Подбирая для них защитное решение, следует обращать внимание не только на функциональность, но и на вопросы совместимости, интеграции и учета нормативных требований. При правильном подходе к обеспечению безопасности такой продукт позволит убедиться в том, что ERP-система правильно настроена, а все меры, предписанные политикой безопасности, приняты.

Благодарим Владимира Романова — менеджера по продукту SafeERP компании «Газинформсервис», выступившего соавтором данной статьи.

Полезные ссылки: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новые статьи на Anti-Malware.ru