Современные функции безопасности ERP постоянно совершенствуются и совершенствуются. Почему компании чувствуют себя более уязвимыми, чем когда-либо раньше? Отчасти это связано с быстрым ускорением цифровых и облачных технологий. К 2025 году IDC прогнозирует рост числа устройств Интернета вещей более чем до 30 миллиардови продолжает расти в геометрической прогрессии. Многие из этих устройств являются частью сетей промышленного Интернета вещей (IIoT) компаний, и поэтому они, как правило, передают данные в центральную ERP-систему. Сегодня современная облачная ERP-система критически важна для большинства компаний, помогая объединить все бизнес-операции в рамках единой системы. Тем не менее, эта основная функция также может быть слабостью, когда речь идет о кибербезопасности, что делает ее универсальным порталом для большого количества критически важной информации.

Современные ERP-системы и проблемы безопасности программного обеспечения

Традиционных подходов к кибербезопасности уже недостаточно. Идея создания безопасного периметра вокруг конкретных ИТ-активов или баз данных, а затем ограничения и контроля доступа не эффективна в облачной экосистеме.

В облачной среде ERP организации пересматривают свой подход к обеспечению безопасности, поскольку они несут большую ответственность за поставщиков общедоступных облачных услуг, и поэтому меньше внимания уделяется инфраструктуре и большей части обязанностей на стороне приложений, которыми они по-прежнему владеют.

Ransomware и фишинговые атаки представляют собой быстро растущую проблему. По мере интеграции ERP-систем в другие отделы растет число пользователей с авторизованным доступом, что для хакеров означает более богатую охоту на фишинговые цели. Более широкая операционная интеграция ERP также означает более широкий объем и диапазон ценных данных, содержащихся в ERP, что также повышает ее ценность в качестве цели взлома. Кроме того, с устаревшими ERP-системами попытки расширить интеграцию ERP в новые отделы часто требуют болтов и пользовательского кода, которые могут помочь увеличить потенциальную поверхность атаки. Иными словами: в большем количестве мест больше слабых мест. Это усугубляется увеличением числа дистанционных и гигарифмических работников, которым требуются внешние точки доступа.

Киберпреступники могут красть и вымогать, но они также могут закрыть основные системы и перемолоть все операции, чтобы остановить. Крупные организации (особенно в таких секторах, как финансы и страхование, производство, бизнес-услуги и здравоохранение) уже давно являются мишенью, однако на малый и средний бизнес все чаще нападают — часто из-за отсутствия ресурсов и опыта в области безопасности.

На какие типы данных ERP нацелены киберпреступники?

Хакеры крадут все виды данных по самым разным причинам. Но по большей части корпоративные киберпреступники находятся после данных, включая данные ERP, которые наиболее быстро могут быть монетизированы, будь то путем вымогательства самой потерпевшей компании или путем обмана — или иного ущерба — клиентов или лиц, названных в украденных данных. Это может привести к попыткам прямого доступа к средствам через нарушения кредитных карт или денежные переводы. Но поскольку финансовые и ERP-базы, как правило, являются одними из наиболее хорошо защищенных, хакеры, как правило, наносят хаос, обращаясь к другим типам более доступных данных.

Дополнительный уровень риска для предприятий возникает не только в том ущербе, который нанесен их прибыли, репутации и клиентам, но и из-за риска классовых исков, возбужденных лицами, названными в украденных данных. В тех случаях, когда эти данные включают конфиденциальную личную, юридическую или медицинскую информацию людей, ущерб от судебных разбирательств может быть непоправимым.

7 основных проблем безопасности ERP и способы их устранения

1. Устаревшее программное обеспечение

Лучшие поставщики ERP-систем неустанно борются с новыми и возникающими рисками безопасности. Каждый раз, когда такой риск выявляется, разрабатывается и распространяется среди клиентов программный пакет безопасности. В прошлом некоторые предприятия долгое время игнорировали или задерживали внедрение этих обновлений, оставляя свои системы уязвимыми. Это особенно актуально в случае более старых систем ERP, которые прошли множество пользовательских настроек и обходных решений, что делает внедрение программных вставок более проблематичным для управления.

Исправление: обновления и исправления безопасности необходимо внедрять регулярно, несмотря на риск перебоев в работе и простоев, поскольку все время возникают новые угрозы. Применение исправлений и обновлений для локальной ERP-системы требует подхода на основе рисков для приоритизации тех, которые имеют наиболее серьезные последствия для безопасности и при этом не являются простым или не нарушающим процесс, но являются ключевыми для снижения рисков. Это также относится к компаниям с гибридным ландшафтом ERP.

Облачное ERP-решение обеспечивает бесперебойное распространение и внедрение программных вставок, осуществляемый поставщиком услуг без каких-либо перебоев в работе компании. Кроме того, автоматизированное управление исправлениями, поставляемое с развертыванием облачной ERP-системы, может помочь обеспечить соблюдение постоянно меняющихся правил соответствия и управления.

2. Проблемы, связанные с разрешением

В современных бизнес-условиях руководители отделов кадров, ИТ и других команд вынуждены как можно быстрее запускать новых пользователей, что может привести к отсутствию строгости при выдаче полномочий ERP или даже к деактивации их при увольнении сотрудников из компании. Старые системы ERP часто подвергаются большему риску в этой ситуации из-за устаревших возможностей аутентификации и отсутствия автоматизированных потоков операций, поддерживающих авторизацию.

Исправление: Современные ERP-системы создаются с учетом рисков, включая неотъемлемые возможности предоставления и аутентификации, а также сложные, но простые в использовании рабочие процессы. Кроме того, компании могут внедрить более широкую комплексную безопасность с помощью инструментов управления идентификацией и доступом.

3. Неадекватная подготовка по вопросам безопасности

Внедрение учебной записки в соответствии с вашей официальной политикой фишинга — это не то же самое, что координировать регулярные интерактивные учебные сеансы со всеми вашими командами. На самом деле, в недавнем опросе 78% организаций, считавших, что их методов обучения достаточно для устранения фишинговых рисков, с удивлением обнаружили, что 31% их сотрудников провалили базовый тест на фишинг. Слабые пароли, отсутствие подкованности к фишингу и недостаточно понятные протоколы безопасности означают, что даже самые лояльные и прилежные сотрудники могут невольно подвергать свой бизнес риску.

Исправление: Многие сотрудники просто не осведомлены о том, как их невинные действия могут вызвать риск или ущерб. Не оставляйте обучение по кибербезопасности неверным людям и не ставьте его в повестку дня против других приоритетов. Работайте с профессионалом, чтобы провести аудит рисков в вашей компании, чтобы выяснить, где могут скрываться самые слабые связи безопасности. Работайте с руководителями своих команд для составления регулярных планов обучения, отвечающих их конкретным потребностям. Внедряйте автоматизированные графики для каждого отдела, включая даты тестирования, продление сертификатов и курсы повышения квалификации.

4. Нехватка опытных специалистов по обеспечению безопасности ERP-систем

Для компаний, использующих устаревшее ERP-решение, ИТ-команды должны в полной мере понимать свои конкретные и многочисленные риски безопасности ERP, а также иметь возможность применять и внедрять лучшие в своем классе методы обеспечения безопасности. Сюда входит выявление угроз, сканирование уязвимостей и тестирование на проникновение, создание планов реагирования на инциденты и интеграция последних инструментов мониторинга кибербезопасности в устаревшие системы. В современном мире не только трудно найти и удержать квалифицированных специалистов, но и очень дорого и трудоемко вписаться в растущее число учебных занятий, необходимых для того, чтобы ИТ-команды могли ускорить темп разработок в области цифровой безопасности.

Решение: облачная ERP-система оказывает огромное облегчение этой растущей обеспокоенности. Все функции обеспечения безопасности, такие как круглосуточный мониторинг и аварийное восстановление, полностью обрабатываются поставщиком в облаке. Более того, повседневные и трудоемкие ИТ-задачи, такие как управление исправлениями, тестирование и апгрейды, также можно автоматизировать в облаке и выполнять без заметных перерывов.

5. Несоблюдение стандартов безопасности и управления

По мере интеграции ERP-систем в все большее число отделов объем уязвимых данных становится все более разнообразным, включая такие вещи, как безопасная информация о продуктах, медицинские карты или интеллектуальная собственность. Чем более уязвимы данные (например, финансовые, медицинские или юридические), тем выше вероятность того, что они будут иметь собственные уникальные протоколы безопасности и хранения. Несоблюдение или неосведомленность этих протоколов может привести не только к потенциальным нарушениям этих данных, но и к штрафам и даже юридическим последствиям несоблюдения.

Исправление: Сегодня лучшие ERP-системы с современными базами данных могут упростить централизованную автоматизацию и контроль ряда протоколов соответствия для самых разных типов данных. Это означает, что ИТ-команды могут работать с профильными специалистами по всей компании, чтобы изначально определить правильные стандарты безопасности, а затем автоматизировать системы и инструментальные панели пользователей, чтобы обеспечить соблюдение правильных протоколов.

6. Однофакторная аутентификация

Одного фактора (один пароль или код доступа) просто недостаточно. Хотя сегодня большинству компаний известно об этом, более 40% организаций все еще не используют двухэтапную аутентификацию во всех потенциальных точках входа в ERP. Другими словами, нет смысла защищать наиболее важные данные с помощью двухфакторной аутентификации (2FA), если другие подключенные устройства Интернета вещей или специализированные приложения остаются уязвимыми с помощью одношаговых паролей.

Исправление: компаниям любого размера важно немедленно внедрить протоколы 2FA (включая токены безопасности или биометрическое сканирование) во всех потенциальных точках входа ERP. Это простое и недорогое исправление, которое крайне важно.

7. Экспорт данных

Несмотря на официальные протоколы, пользователи любят вкладывать вещи в электронные таблицы или сохранять их в других форматах, а риски экспорта данных остаются проблемой для бизнеса.

Исправление: компании могут контролировать это, блокируя загрузки Excel или отслеживая действия пользователей в базе данных. Но в конечном итоге лучшим способом защиты от экспорта данных является ограничение количества людей, имеющих доступ к уязвимым данным. Современная система ERP позволяет руководителям отделов с легкостью определять и определять не только тех, кто получает информацию, но и какие элементы набора данных они могут вызывать и просматривать. В отличие от прежних систем, облачные ERP-системы имеют интегрированные функции безопасности, которые можно автоматизировать для отправки уведомлений и предотвращения несанкционированных команд, таких как загрузка или экспорт данных.

Лучшие практики кибербезопасности ERP

Многие из обсуждаемых нами проблем и исправлений связаны с более широкими стратегиями безопасности для оптимизации ваших людских и технологических ресурсов в мире киберпреступлений. Ниже приведены некоторые дополнительные основы передового опыта, которые помогут вам получить максимум от сервисов и преимуществ, связанных с функциями и возможностями безопасности облачной ERP-системы:

• Обеспечьте наличие соглашений об уровне обслуживания для обеспечения непрерывности бизнеса, аварийного восстановления и обеспечения работоспособности. Облачные инструменты могут помочь интегрировать эти соглашения в одном месте во всех глобальных операциях и автоматизировать обновления.
• Проведение аудитов гиперскейлеров и сторонних аудитов. Эти независимые сторонние аудиты необходимы для обеспечения соответствия всем бизнес-требованиям на всех этапах и поддержки таких аспектов, как сертификация модели зрелости кибербезопасности (CMMC) и нулевой уровень доверия.
• Шифруйте все данные и ориентируйтесь на укрепление процессов, протоколов и управления проектами для всех групп, участвующих в практиках безопасности ERP. В частности, в таких областях, как управление исправлениями, конфигурация безопасности, сканирование уязвимостей и управление угрозами.
• Сделайте необходимые инвестиции в консалтинг внешних экспертов мирового уровня по кибербезопасности, чтобы убедиться, что все ваши команды хорошо разбираются в своих ролях и обязанностях в области снижения рисков.
• Убедитесь, что круглосуточный мониторинг и упреждающее управление безопасностью внедрены в масштабе всей компании для повышения скорости реагирования на инциденты. К ним относятся ваши ERP и любые системы, устройства или активы Интернета вещей, с которых хакер может получить доступ.
• Используйте доменный подход к тестированию ERP, чтобы обеспечить последовательный и реплицируемый процесс тестирования для обращения к общим векторам акторов по всей поверхности атаки.

Дальнейшие шаги по повышению безопасности ERP

Киберпреступность затрагивает всех нас, и для того, чтобы вести с ней борьбу, они должны придерживаться многостороннего подхода. Облачные ERP-технологии — это отличное место для начала работы, предоставляя компаниям единую базу для координации и автоматизации мощной и эффективной защиты.

Но в конечном итоге ваши усилия по кибербезопасности начинаются и заканчиваются вашими сотрудниками. Руководители и сотрудники вашей команды являются частью решения, но от них нельзя ожидать, что они смогут разобраться в нем самостоятельно. Хорошим первым шагом на пути к кибербезопасности ERP является разработка планов коммуникации и обучения с участием интересных экспертов, практического обучения, визуальных и практических планов уроков и даже некоторых реальных примеров того, что может произойти, когда происходит ошибка. Важное значение имеют конкретные меры по обучению и сертификации, но они также лучше всего помогают повысить общую осведомленность и интерес к данной теме.

Цифровая безопасность теперь является важной составляющей всей нашей жизни, поэтому почему бы не сделать изучение кибербезопасности привлекательным и интригующим опытом?