Обеспечение безопасности ERP-систем на примере решения SafeERP Suite

Системы класса ERP (Enterprise Resource Planning — планирование ресурсов предприятия) используются для оптимизации бизнес-процессов и позволяют эффективно связывать между собой многие важные операции; однако сведение воедино множества корпоративных данных — это не только удобство, но и неизбежные риски, примером борьбы с которыми послужит SafeERP Suite.

Введение

Теория профессиональной коммуникации утверждает, что всякая организация имеет множество внешних и внутренних связей, которые образуют ее «нервную систему» и определяют то, насколько эффективно она будет функционировать. Действительно, шансы компании преуспеть напрямую связаны с тем, насколько быстро и точно передается информация — причем не только наружу (контрагентам или клиентам), но и внутри, между отделами и филиалами.

Небольшое предприятие может управлять бизнес-процессами «вручную», поскольку в малом масштабе легко обмениваться данными. Однако по мере того, как компания увеличивается, поддерживать связи становится труднее, и встает закономерный вопрос о призыве на помощь информационных технологий. Кто-то справляется сам, создавая программное обеспечение собственными силами или надстраивая самописные модули поверх CMS либо системы бухгалтерского учета; кто-то прибегает к готовым решениям.

Популярный вариант такого готового решения — ERP-система, которая превращает отдельные элементы компании в целостный организм. Производство, финансы, товарные склады, кадры — все это становится частью единой информационной сети и получает таким образом возможность взаимодействовать друг с другом без ошибок и сбоев. Однако у любой подобной структуры есть свои уязвимые места, а следовательно, ее нужно защищать от угроз. Именно об этом нам предстоит поговорить сегодня.

ERP-система выгодна, даже если у вас малый бизнес

Разработчики программных продуктов этого класса рассказывают истории успеха, в которых от внедрения ERP-систем выигрывают и небольшие компании. Для среднего или крупного бизнеса решение такого рода превращается едва ли не в обязательный элемент организационной структуры, потому что без него ведение дел начинает страдать отсутствием порядка и координации. Как мы уже отметили, настоящая ERP-система используется не всегда, однако в любом случае существует нечто исполняющее схожие функции. Кстати, толчком для миграции на ERP-систему часто служит растущая неэффективность этого «заменителя».

ERP-система — это программный продукт, который реализует маркетинговую стратегию ERP и по сути предназначен для эффективного администрирования (в силу чего такие решения иногда называют «система управления предприятием», хотя с точки зрения перевода это не совсем верно). Он рассчитан прежде всего на компании, имеющие собственное производство, однако может применяться и в других областях — например, в продажах. Специалисты обычно говорят по этому поводу, что внедрять ERP-систему нужно в соответствии с главным направлением деятельности организации.

Структурно ERP-система состоит из ядра и нескольких модулей, которые способны как взаимодействовать между собой, так и функционировать автономно (т. е. изъятие или отключение любого модуля никак не отражается на работоспособности всех остальных). Спектр доступных модулей обычно охватывает все основные стороны и элементы предприятия: уже упоминавшееся производство, финансы, управление персоналом, логистику и т. п. Кроме того, существуют модули для взаимодействия с клиентами — например, интернет-магазин.

Именно модульная структура и масштабируемость делают ERP-систему удобной. Эффективной же она становится потому, что все аспекты деятельности компании привязываются к единой БД, а из коммуникаций исчезает влияние человеческого фактора. Например, данные складского учета всегда доступны и финансовому департаменту, и отделу продаж, причем в режиме реального времени — а следовательно, нейтрализуются многие проблемы взаимодействия между подразделениями.

Кажется логичным, что интерес к таким решениям возрастает. Согласно данным Росстата, затраты организаций на программное обеспечение неуклонно увеличиваются (ниже приведен состав распределения этих затрат), и, например, в 2016 г. примерно 15,9% организаций использовали специальное программное обеспечение для обеспечения управленческой деятельности компании.

Рисунок 1. Фрагмент данных Росстата о распределении затрат организаций на инфокоммуникационные технологии

safeerp stat

Для управления корпоративными ресурсами предприятия используют различные комплексные системы. Аналитическая компания Panorama Consulting Solutions приводит ряд причин выбора систем управления и статистику по ним, которые представлены ниже.

Рисунок 2. Причины выбора информационных систем управления предприятием по данным Panorama Consulting Solutions

safeerp stat2                          

Общемировой рынок систем ERP резко изменился в 2017–2018 годах:

  • По данным аналитического агентства Panorama Consulting, спрос на ERP-системы изменился в сторону облачных и сервис-ориентированных решений.
  • Согласно отчету IDC, 2017 год ознаменовался ростом интереса к облакам не только со стороны потенциальных потребителей, но и со стороны компаний, способных сделать серьезную заявку в качестве поставщиков облачных услуг.

Российский рынок систем ERP пока придерживается более традиционных On-Premise-решений, но под влиянием общего тренда начинает рассматривать облачные продукты. По данным Росстата, доля организаций, использующих ERP-системы, растет и на 2017 год составляет 12,2% от всего количества зарегистрированных организаций РФ.

Использование ERP-систем сопряжено с рисками

Независимо от исполнения — коробочного или облачного — программное обеспечение для ERP создает некоторые проблемы безопасности, которые обусловлены его сущностью.

Основной уязвимостью такого продукта является его главное достоинство — централизация. Напомним, что обычно ERP-система имеет единую базу данных, к которой обращаются разные подразделения, и вполне естественно, что в результате подобного подхода вся важная информация компании оказывается собранной в одном месте. Облегчая совместную работу отделов организации, единая БД одновременно упрощает задачу потенциального злоумышленника, поскольку вместо множества разрозненных активов ему достаточно получить доступ к одному источнику ценных сведений.

Кроме того, ERP-система сложна. В частности, если в большинстве обычных информационных систем достаточно создать несколько глобальных групп пользователей и наделить их общими правами, то здесь все та же единая база обеспечивает доступ пользователя к разнородным и многообразным данным, далеко не все из которых ему полагается видеть и обрабатывать. Соответственно, такая конструкция нуждается во многоуровневой и разветвленной системе пользовательских привилегий — вплоть до того, что может понадобиться выставлять разрешения и запреты по каждому конкретному виду действий для определенного пользователя. Это, конечно, крайний случай, но тем не менее пользовательские права здесь требуют большого внимания.

Этот вопрос связан и с инсайдерской угрозой. Пользователи, которые ежедневно работают с ERP-системой, рано или поздно обнаруживают незапланированные особенности конфигурации, позволяющие выходить за пределы полномочий или совершать мошеннические действия.

Если ERP-система является облачной, то следует добавить к списку потенциальные проблемы, связанные с использованием публичной сетевой инфраструктуры. Мы уже писали, что делегирование вычислений в среду, которая находится под чужим контролем, требует дополнительных мер безопасности, которые могли бы компенсировать возможные недосмотры со стороны провайдера облачных услуг.

Отметим также, что системы управления предприятием имеют давнюю историю и активно изменяются, причем на уровне как базовой системы, так и отдельных функциональных модулей, над которыми трудятся различные команды разработчиков, действующие порой в условиях нехватки ресурсов. Из-за этого неизбежны программные изъяны, свойственные любому сложному программному продукту. Например, еще в 2015 году аналитики предупреждали о том, что нефтегазовые компании подвержены атакам через уязвимости в ERP. В такой ситуации вопрос обеспечения безопасности данных и бизнес-процессов предприятия становится очень актуальным.

Кроме того, коль скоро ERP-система имеет модульную структуру, важно, чтобы ее защита обеспечивалась так же бесшовно, как и вся остальная ее функциональность. Желательно, чтобы защитное решение учитывало специфику конкретного продукта и обеспечивало эффективное администрирование, а также содержало инструменты, соответствующие специфике ERP-системы. Обратим внимание на практику подобной работы, взяв за основу программное обеспечение SafeERP Suite.

Защищаем ERP-систему с помощью SafeERP Suite

В настоящее время основное количество продуктов для обеспечения безопасности ERP-систем выполнено как профильные решения с широкими возможностями и глубокой проработкой политик и проверок. На рынке существуют и универсальные продукты, закрывающие много задач, но они характеризуются меньшей функциональностью.

Продукт SafeERP Suite производства компании «Газинформсервис» относится к линейке профильных продуктов. Он обеспечивает защиту SAP-систем, размещенных на платформах ABAP, Java, HANA и BI. Продукт предлагается на базе SAP Netweaver и бесшовно встраивается в SAP-инфраструктуру заказчика, агенты устанавливаются в качестве SAPP Add-on на системы заказчика и позволяют контролировать соответствие конфигураций систем установленным требованиям, выполнять контроль целостности объектов и проводить синтаксическую проверку программного кода ABAP.

Рисунок 3. Схема устройства и работы продукта SafeERP Suite

safeerp stat3.png

Консоль управления для Администратора безопасности позволяет контролировать состояние наблюдаемых систем, а также выполнять системные проверки (Audit) и контроль соответствия стандартам (Compliance). Для формирования регулярных отчетов проверки можно запускать по расписанию.

Продукт имеет удобные интерфейсы управления, которые изображены ниже.

Рисунок 4. Управление на основе стандартного SAP-интерфейса 

safeerp stat4.png.jpg   safeerp stat5

 

Рисунок 5. Управление на основе интерфейса SAP Fiori

safeerp stat6

В рамках проекта внедрения выполняется интеграция продукта с BI- и SIEM-системами для анализа результатов проверок.

Рисунок 6. План-схема интеграции SafeERP Suite

safeerp stat7.png

Программный комплекс SafeERP Suite обладает следующими достоинствами:

  • Простая интеграция в SAP инфраструктуру как add-on.
  • Агенты для SAP NW, SAP Java, SAP HANA.
  • Большое и актуальное количество проверок.
  • Доступ ко всему репозиторию системы SAP и, как следствие, возможность проверки вложенности программных пакетов.
  • Возможность встраивания в транспортную систему ландшафта SAP.
  • Настройка и работа со всем SAP-ландшафтом из единой консоли управления.
  • Регулярные обновления в соответствии с выпуском SAP Note.
  • Удобный русскоязычный интерфейс и рекомендации по недостаткам.

Продукт регулярно обновляется, как функционально, так и качественно. В октябре 2018 года компанией «Газинформсервис» выпущена новая версия продукта, SafeERP Suite 4.5.0, в которую включена новая функциональность:

  • проверка объектов полномочий транзакций SAP,
  • изменен формат вывода отчетов, для работы с большими объемами данных,
  • обновлены профили проверок на соответствие требованиям стандартов ФЗ-152, GDPR, HIPAA, OWASP ASVS.

Выводы

Современные информационные технологии создают много интересных возможностей для того, чтобы оптимизировать корпоративные коммуникации и повысить их эффективность. Предприятие, которое ориентировано на рост и на успешную конкурентную борьбу, непременно будет изучать такие возможности и применять их, поскольку скоростное, безошибочное и надежное взаимодействие между подразделениями и филиалами становится требованием времени.

Откликом на потребности такого рода становится рост рынка ERP-систем, которые разрабатываются специально для решения подобных задач и совершенствуют ведение дел в бизнесе любого размера. Однако в теории защиты информации известно, что удобство и безопасность часто противоречат друг другу, и те достоинства, которые обеспечивают привлекательность ERP-систем, могут обернуться изъянами в обороне важных данных компании.

Поэтому программные продукты этого класса, так же, как и любые другие информационные активы, нуждаются в охране. Подбирая для них защитное решение, следует обращать внимание не только на функциональность, но и на вопросы совместимости, интеграции и учета нормативных требований. При правильном подходе к обеспечению безопасности такой продукт позволит убедиться в том, что ERP-система правильно настроена, а все меры, предписанные политикой безопасности, приняты.