Přejít na obsah
Bezpečnost monitoringu žen

Bezpečnost ERP ve světě
kyberkriminality

 

Tato webová stránka byla pro vás přeložena strojovým překladem. Společnost SAP neposkytuje žádné záruky správnosti nebo úplnosti strojového překladu. Původní anglickou webovou stránku najdete pomocí mapy světa v pravém horním rohu této stránky.

Moderní bezpečnostní prvky ERP se do dne vyvíjejí a zlepšují. Proč se tedy podniky cítí vystavenější než kdykoli předtím? Částečně je to způsobeno rychlým zrychlením digitálních a cloudových technologií. V roce 2021 bylo po celém světě více než 10 miliard IoT zařízení. Do roku 2025 IDC předpovídá, že jejich počet vzroste na více než 30 miliard – a dále exponenciálně roste. Mnohá z těchto zařízení jsou součástí sítí IIoT (Industrial Internet of Things) společností – a jako taková obvykle přenášejí data do centrálního ERP systému. V současné době je moderní cloudové ERP pro většinu podniků klíčové a pomáhá sjednotit všechny podnikové operace v jediném systému. Tento základní prvek však může být také slabinou, pokud jde o kybernetickou bezpečnost, což z něj činí jeden portál v množství kritických informací. 

Moderní problémy v oblasti zabezpečení ERP a softwaru

Tradiční přístupy k kybernetické bezpečnosti již nestačí. Myšlenka vybudovat bezpečný obvod kolem konkrétních IT prostředků nebo databází a následně omezit a kontrolovat přístup, není účinná v cloudově propojeném ekosystému.

 

V cloudovém ERP prostředí organizace přehodnocují svůj přístup k bezpečnosti, protože sdílejí větší odpovědnost s poskytovateli veřejného cloudu, a proto se méně zaměřují na infrastrukturu a více na odpovědnosti na straně aplikací, které nadále vlastní.

 

Ransomware a phishingové útoky představují rychle rostoucí výzvu. Vzhledem k tomu, že ERP jsou integrovány do více oddělení, existuje větší počet uživatelů s oprávněným přístupem, což pro hackery znamená bohatší loviště pro cíle phishingu. Širší provozní integrace ERP také znamená širší rozsah a škálu cenných dat obsažených v rámci ERP – což také zvyšuje jeho hodnotu jako hackerského cíle. Navíc, se staršími ERP systémy, pokusy rozšířit integraci ERP do nových oddělení často vyžadují šrouby a vlastní kódování, které mohou sloužit ke zvýšení potenciálního útočného povrchu. Jinými slovy: na více místech je více slabých skvrn. To je ještě umocněno nárůstem počtu pracovníků na dálku a pracovníků, kteří potřebují externí přístupové body.

 

Kyberzločinci mohou krást a vyhánět, ale mohou také vypnout základní systémy a celé operace zastavit. Velké organizace (zejména v odvětvích, jako jsou finance a pojišťovnictví, výroba, podnikatelské služby a zdravotní péče) jsou již dlouho cílem, ačkoli malé a střední podniky jsou stále častěji napadány – často kvůli nedostatečným bezpečnostním zdrojům a odborným znalostem.

Každých 11

s

Společnost byla zasažena ransomwarem v roce 2021.

1,85 USD

M

Průměrné náklady na zotavení z ransomwarového útoku

43

%

Ze všech případů narušení bezpečnosti údajů se jedná o malé a střední podniky

placeholder

Upgradujete svůj ERP systém?

Prozkoumejte naši příručku pro přechod na cloudový ERP software.

Na jaké typy dat ERP se kyberzločinci zaměřují?

Hackeři kradou všelijaká data z nejrůznějších důvodů. Ale z větší části jsou firemní kyberkriminálníci po datech, včetně dat z ERP, které lze nejrychleji zpeněžit, ať už vydíráním samotné viktimizované společnosti, nebo svlékáním – či jiným poškozením – zákazníků či jednotlivců uvedených v ukradených datech. To může vést k pokusům o přímý přístup k finančním prostředkům prostřednictvím porušení kreditních karet nebo převodů peněz. Vzhledem k tomu, že finanční databáze a databáze ERP jsou většinou jedny z nejspolehlivějších, hackeři obvykle trpí přístupem k jiným typům přístupnějších dat.

 

Další úroveň rizika pro podniky neplyne pouze ze škod způsobených jejich ziskem, pověstí a zákazníky, ale z rizika skupinových žalob, které podávají osoby uvedené v ukradených údajích. V případech, kdy tyto údaje zahrnují citlivé osobní, právní nebo lékařské informace osob, může být škoda vyplývající ze soudních sporů nenapravitelná.

Prvních 7 problémů s zabezpečením ERP a jak je opravit

1. Zastaralý software

 

Nejlepší poskytovatelé ERP jsou ve svém boji proti novým a vznikajícím bezpečnostním rizikům neúnavní. Kdykoli je takové riziko identifikováno, je vyvinuta bezpečnostní oprava a distribuována zákazníkům. V minulosti některé podniky ignorovaly nebo opožděně prováděly tyto aktualizace po dlouhou dobu, a své systémy tak zůstaly zranitelné. To platí zejména v případě starších ERP, které prošly četnými customizacemi a alternativami, což činí provádění oprav problematičtější pro řízení.

 

Fix: Aktualizace a bezpečnostní záplaty je třeba provádět pravidelně – i přes riziko výpadků a výpadků – protože neustále vznikají nové hrozby. Použití oprav a aktualizací pro on-premise ERP vyžaduje přístup založený na rizicích, který upřednostňuje ty, kteří mají největší bezpečnostní důsledky, a přitom není snadný nebo nenarušující proces, je klíčem ke zmírnění rizik. To platí i pro ty podniky, které mají hybridní ERP prostředí.

 

S cloudovým ERP softwarem je distribuce a implementace oprav plynulý proces, který pokračuje v zákulisí poskytovatelem služeb bez narušení podnikání. Automatizovaná správa oprav, která přichází s cloudovou implementací ERP, může navíc pomoci zajistit dodržování stále se měnících pravidel shody a řízení.

 

2. Problémy s autorizací

 

V dnešním podnikatelském prostředí jsou personalistika, IT a další manažeři týmu tlačeni na to, aby co nejrychleji uvedli nové uživatele do provozu, což může vést k nedostatečné přísnosti při vydávání oprávnění k ERP, nebo dokonce k jejich deaktivaci při odchodu zaměstnanců ze společnosti. Starší ERP systémy jsou často více ohroženy touto situací kvůli zastaralým funkcím autentizace a nedostatku automatizovaných pracovních postupů podporujících autorizaci.

 

Fix: Moderní ERP systémy jsou budovány s ohledem na riziko včetně inherentních možností poskytování a autentizace a pracovních postupů, které jsou sofistikované a přitom snadno použitelné. Kromě toho mohou podniky zavést širší komplexní zabezpečení pomocí nástrojů správy přístupu k identitě.

 

3. Nedostatečné školení v oblasti bezpečnosti

 

Cvičení informací o školení s vašimi oficiálními zásadami phishingu není totéž jako koordinace pravidelných interaktivních vzdělávacích setkání se všemi vašimi týmy. V nedávném průzkumu totiž 78 procent organizací, které se domnívaly, že jejich tréninkové metody postačují k eliminaci phishingových rizik – překvapilo, že 31 procent jejich zaměstnanců základní phishingový test neprošlo. Slabá hesla, nedostatek phishingových savvy a špatně pochopené bezpečnostní protokoly znamenají, že i vaše nejvěrnější a nejpečlivější zaměstnanci mohou nevědomky ohrozit vaši firmu.

 

Fix: Mnoho zaměstnanců prostě nemá povědomí o způsobech, jakými jejich nevinné jednání může způsobit riziko nebo škodu. Nenechávejte školení v oblasti kybernetické bezpečnosti na špatných lidech, ani ho nenechávejte na nízké úrovni oproti jiným prioritám. Spolupracujte s profesionálem na auditu rizik ve vašem podniku a zjistěte, kde se skrývají nejslabší bezpečnostní vazby. Spolupracujte s vedoucími vašeho týmu na vytváření pravidelných plánů školení, které řeší jejich konkrétní potřeby. Zavést automatické plány pro každé oddělení s termíny testování, obnovami certifikátů a opakovacími školicími kurzy.

 

4. Nedostatek zkušených pracovníků ERP

 

Pro podniky, které používají starší ERP software, musí IT týmy plně porozumět svým specifickým a nesčetným bezpečnostním rizikům ERP – a musí být schopny provozovat a implementovat nejlepší bezpečnostní postupy ve své třídě.  To zahrnuje identifikaci hrozeb, provádění kontrol zranitelnosti a testování průniku, vytváření plánů reakce na incidenty a integraci nejnovějších nástrojů pro monitorování kybernetické bezpečnosti do zastaralých systémů. V dnešní atmosféře je nejen obtížné najít a udržet si kvalifikované odborníky, ale je také nákladné a časově náročné přizpůsobit se rostoucímu počtu školení potřebných k udržení IT týmů na rychlosti s bleskovým tempem vývoje digitální bezpečnosti.

 

Fix: Cloud ERP je pro tuto rostoucí obavu obrovskou úlevou. Bezpečnostní funkce těžké služby, jako je nepřetržité monitorování a obnova po havárii, jsou bezproblémově řešeny dodavatelem v cloudu. Navíc každodenní a časově náročnější IT úlohy, jako je správa oprav, testování a upgrade, mohou být také automatizovány v cloudu a mohou probíhat bez jakéhokoli znatelného přerušení.

 

5. Nedodržení bezpečnostních a správních norem

 

Vzhledem k tomu, že ERP systémy jsou integrovány ve více a více odděleních, rozsah zranitelných dat se stále více rozrůstá, včetně bezpečných informací o produktech, zdravotních záznamů nebo duševního vlastnictví. Čím citlivější jsou data (například finanční, lékařská nebo právní), tím pravděpodobnější je mít vlastní unikátní bezpečnostní a úložné protokoly. Nedodržení těchto protokolů nebo si jich uvědomte, může vést nejen k možnému porušení těchto údajů, ale také k sankcím a dokonce i právním dopadům na jejich nedodržování.

 

Fix: V dnešní době mohou nejlepší ERP – s moderními databázemi – usnadnit centralizovanou automatizaci a kontrolu řady protokolů shody pro širokou škálu datových typů. To znamená, že IT týmy mohou spolupracovat se specialisty v celém podniku, aby zpočátku stanovily správné bezpečnostní standardy, a poté automatizovaly systémy a uživatelské dashboardy, aby zajistily dodržování správných protokolů pro další postup.

 

6. Jednofaktorová autentizace

 

Jednofaktorový (jedno heslo nebo přístupový kód) prostě nestačí. Zatímco v těchto dnech si je většina podniků této skutečnosti vědoma, více než 40 % organizací stále nevyužívá dvoukrokovou autentizaci ve všech potenciálních vstupních bodech ERP. Jinými slovy, nemá smysl chránit vaše nejzásadnější data pomocí dvoufaktorové (2FA) autentizace, pokud jsou ostatní propojené věci, jako jsou zařízení IoT nebo aplikace pro oddělení, ponechány zranitelné jednokrokovými hesly.

 

Oprava: Pro podniky všech velikostí je nezbytné okamžitě implementovat 2FA protokoly (včetně bezpečnostních tokenů nebo biometrických skenů) napříč všemi potenciálními vstupními body ERP. To je jednoduchá, nízkonákladová fixace, která je nesmírně důležitá.

 

7. Vývoz dat

 

Navzdory oficiálním protokolům uživatelé rádi dávají věci do tabulek nebo je ukládají v jiných formátech a rizika exportu dat zůstávají pro podniky problémem.

 

Oprava: Firmy to mohou poněkud ovlivnit tím, že zablokují stahování z Excelu nebo sledování akcí uživatelů v databázi. Ale nakonec nejlepším způsobem, jak chránit před exportem dat, je omezit počet lidí, kteří mají přístup ke zranitelným údajům. S moderním ERP mohou vedoucí oddělení snadno určit a nastavit nejen to, kdo se dostane k čemu, ale jaké prvky datové sady mohou mít přístup a jaké zobrazit. Na rozdíl od starších systémů mají cloudové ERP integrované bezpečnostní funkce, které lze automatizovat pro odesílání oznámení a předcházení neautorizovaným příkazům, jako je stahování nebo exporty dat.  

placeholder

Prozkoumejte moderní cloudový ERP software

Získejte cloudové ERP s globálními bezpečnostními standardy, které chrání vaše data.

Doporučené postupy pro kybernetickou bezpečnost ERP

Mnoho otázek a řešení, o nichž jsme diskutovali, se týká širších bezpečnostních strategií pro optimalizaci vašich lidských a technologických zdrojů ve světě kyberkriminality. Níže jsou uvedeny některé další základy osvědčených postupů, které vám pomohou maximálně využít služeb a výhod spojených s funkcemi a funkcemi zabezpečení cloudového ERP:

  • Zajistit, aby byly zavedeny dohody o úrovni služeb pro kontinuitu provozu, obnovení provozu po havárii a schopnosti provozu. Nástroje založené na cloudu mohou pomoci integrovat tyto dohody na jednom místě napříč globálními operacemi a automatizovat aktualizace. 
  • Provádění auditů třetích stran pomocí hyperškálování Tyto nezávislé audity třetích stran jsou nezbytné pro zajištění shody mezi podniky ve všech fázích a pro podporu takových záležitostí, jako je certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC) a úsilí Zero Trust.
  • Zašifrujte všechna svá data a zaměřte se na posílení procesů, protokolů a správy projektů pro všechny týmy zapojené do postupů zabezpečení ERP. Zejména v oblastech správy oprav, konfigurace zabezpečení, skenování zranitelnosti a řízení hrozeb.
  • Udělejte potřebné poradenské investice do externích odborníků na kybernetickou bezpečnost světové úrovně, abyste zajistili, že všechny vaše týmy budou dobře proměněny ve své role a odpovědnosti v oblastech snižování rizik.
  • Zajistěte, aby bylo ve vašem podniku implementováno nepřetržité monitorování a proaktivní správa zabezpečení, aby se zlepšila schopnost reakce na incidenty. To zahrnuje vaše ERP a veškeré systémy, zařízení nebo zařízení IoT, ke kterým může hacker získat přístup.
  • Využijte přístup založený na testování ERP na doméně k zajištění konzistentního a replikovatelného testovacího procesu pro řešení běžných hercových vektorů napříč celým útočným povrchem.

Další kroky k lepšímu zabezpečení ERP

Kyberkriminalita postihuje nás všechny, a mají-li proti ní bojovat podniky, musí zaujmout mnohostranný přístup. Technologie cloudového ERP jsou skvělým místem pro začátek – poskytují podnikům jednotnou základnu pro koordinaci a automatizaci silné a efektivní obrany.

 

Ale nakonec vaše úsilí v oblasti kybernetické bezpečnosti začíná a končí u vašich lidí. Vedoucí vašeho týmu a zaměstnanci jsou součástí řešení, ale nelze od nich očekávat, že na něj sami přijdou. Dobrým prvním krokem na vaší cestě k kybernetické bezpečnosti ERP je vytvoření komunikačních a školicích plánů, které zahrnují zajímavé odborníky, praktické plány učení, vizuální a praktické ponaučení a dokonce i několik reálných příkladů toho, co se může stát, když se to pokazí. Specifická opatření v oblasti odborné přípravy a certifikace jsou důležitá, ale nejlepší je také zvýšit celkovou informovanost a zájem o dané téma.

 

Digitální bezpečnost je nyní hlavní součástí celého našeho života, proč tedy z učení o kybernetické bezpečnosti neudělat poutavý a zajímavý zážitek?

placeholder

Zabezpečení ERP: Je to všechno v cloudu
 

Navštivte centrum SAP Trust Center, kde najdete další informace o našem globálním bezpečnostním přístupu. 

Newsletter SAP Insights

placeholder
Přihlásit se k odběru dnes

Získejte důležité informace přihlášením k odběru našeho newsletteru.

Další čtení

Zpět na začátek