Moderní funkce zabezpečení ERP se do dneška vyvíjejí a zlepšují. Proč se tedy podniky cítí být vystaveny více než kdy předtím? Částečně je to způsobeno rychlým zrychlením digitálních a cloudových technologií. Do roku 2025 IDC předpovídá, že počet zařízení IoT vzroste na více než 30 miliard– a nadále exponenciálně roste. Mnohá z těchto zařízení jsou součástí průmyslových sítí Internetu věcí (IIoT) společností – a jako taková obvykle dodávají data do centrálního ERP systému. V dnešní době je moderní cloudové ERP pro většinu podniků klíčové a pomáhá sjednotit všechny podnikové operace v rámci jediného systému. Tato základní funkce však může být také slabinou, pokud jde o kybernetickou bezpečnost, což z ní činí portál jednoho správního místa pro mnoho kritických informací.

Moderní výzvy v oblasti zabezpečení ERP a softwaru

Tradiční přístupy k kybernetické bezpečnosti již nestačí. Myšlenka vybudovat bezpečný obvod kolem konkrétních IT aktiv nebo databází a poté omezit a kontrolovat přístup, není v cloudově propojeném ekosystému účinná.

V cloudovém ERP prostředí organizace přehodnocují svůj přístup k zabezpečení, protože sdílejí větší odpovědnost s poskytovateli veřejného cloudu, a proto se méně zaměřují na infrastrukturu a více na odpovědnosti na straně aplikace, které nadále vlastní.

Ransomware a phishingové útoky představují rychle rostoucí výzvu. Vzhledem k tomu, že ERP jsou integrovány napříč více odděleními, existuje větší počet uživatelů s autorizovaným přístupem, což pro hackery znamená bohatší loviště pro phishingové cíle. Širší provozní integrace ERP také znamená širší rozsah a rozsah cenných dat obsažených v ERP, což také zvyšuje jeho hodnotu jako hackerského cíle. Kromě toho, se staršími ERP systémy, pokusy o rozšíření integrace ERP do nových oddělení často vyžadují šrouby a vlastní kódování, které může sloužit ke zvýšení potenciální útočné plochy. Jinými slovy: na více místech je více slabých míst. To je doplněno zvýšením počtu vzdálených a hlavních pracovníků, kteří vyžadují externí přístupové body.

Kyberkriminalisté mohou krást a vyhubit, ale mohou také vypnout základní systémy a zabrzdit celé operace na zastavení. Velké organizace (zejména v odvětvích, jako jsou finance a pojišťovnictví, výroba, obchodní služby a zdravotní péče) jsou již dlouho cílem, nicméně malé a střední podniky jsou stále více napadány – často kvůli nedostatku bezpečnostních zdrojů a odborných znalostí.

Na jaké typy ERP dat se kyberkriminalisté zaměřují?

Hackeři kradou všechny druhy dat z nejrůznějších důvodů. Ale z větší části jsou firemní kyberkriminalisté po datech, včetně dat ERP, která mohou být co nejrychleji zpeněžena, ať už vydíráním samotné viktimizované společnosti nebo podvlečením – nebo jiným poškozením – zákazníků či jednotlivců uvedených v ukradených datech. To může vést k pokusům o přímý přístup k finančním prostředkům prostřednictvím porušení platebních karet nebo převodem peněz. Ale vzhledem k tomu, že finanční a ERP databáze bývají jedny z nejbezpečnějších, hackeři obvykle způsobují zmatek přístupem k jiným typům přístupnějších dat.

Další úroveň rizika pro podniky nevzniká pouze v důsledku škod způsobených jejich ziskům, pověsti a zákazníkům – ale také z rizika soudních sporů, které podali jednotlivci uvedení v odcizených datech. V případech, kdy tyto údaje zahrnují citlivé osobní, právní nebo lékařské informace lidí, může být škoda vyplývající ze soudních sporů nenapravitelná.

Prvních 7 problémů se zabezpečením ERP a jejich řešení

1. Zastaralý software

Nejlepší poskytovatelé ERP jsou neúprosní v boji proti novým a vznikajícím bezpečnostním rizikům. Kdykoli je takové riziko identifikováno, je vyvinuta bezpečnostní oprava a distribuována zákazníkům. V minulosti některé podniky ignorovaly nebo opožděně prováděly tyto aktualizace po dlouhou dobu a jejich systémy tak zůstaly zranitelné. To platí zejména v případě starších ERP, které prošly četnými úpravami a alternativními postupy, což činí implementaci oprav problematičtější pro správu.

Oprava: Aktualizace a bezpečnostní opravy musí být implementovány pravidelně – navzdory riziku výpadků a výpadků –, protože se neustále objevují nové hrozby. Použití oprav a aktualizací pro on-premise ERP vyžaduje přístup založený na rizicích, aby bylo možné upřednostnit ty, které mají největší bezpečnostní důsledky, a přestože to není snadný nebo nerušivý proces, je klíčem ke zmírnění rizik. To platí i pro ty podniky, které mají hybridní ERP infrastrukturu.

S cloudovým ERP softwarem je distribuce oprav a implementace bezproblémový proces, který jde v zákulisí poskytovatelem služeb bez jakéhokoli narušení podnikání. Automatizovaná správa oprav, která je dodávána s implementací cloudového ERP, může navíc pomoci zajistit dodržování neustále se měnících pravidel pro dodržování předpisů a řízení.

2. Problémy s oprávněním

V dnešním podnikatelském prostředí jsou personalisté, IT a další týmoví manažeři nuceni co nejrychleji zprovoznit nové uživatele, což může vést k nedostatku přísnosti při udělování oprávnění ERP, nebo dokonce k jejich deaktivaci, když zaměstnanci společnost opustí. Starší ERP systémy jsou pro tuto situaci často více ohroženy kvůli zastaralým možnostem autentizace a nedostatku automatizovaných pracovních postupů podporujících autorizaci.

Oprava: Moderní ERP systémy jsou postaveny s ohledem na riziko, včetně inherentních možností poskytování a autentizace a workflow, které jsou sofistikované, ale jednoduché k použití. Podniky mohou navíc zavést širší komplexní zabezpečení pomocí nástrojů správy přístupu k identitě.

3. Nedostatečná odborná příprava v oblasti bezpečnosti

Oběh poznámky ke školení s oficiálními zásadami phishingu není totéž jako koordinace pravidelných interaktivních výukových relací se všemi vašimi týmy. Ve skutečnosti v nedávném průzkumu 78 % organizací, které se domnívaly, že jejich metody školení jsou dostatečné k eliminaci rizik phishingu – byli překvapeni, že 31 % jejich zaměstnanců neuspělo se základním phishingovým testem. Slabá hesla, nedostatek phishingu a špatně pochopené bezpečnostní protokoly znamenají, že i vaši nejvěrnější a nejpečlivější zaměstnanci mohou nevědomky ohrozit váš podnik.

Oprava: Mnohým zaměstnancům prostě chybí povědomí o způsobech, jakými mohou jejich nevinné činy způsobit riziko nebo škodu. Nenechávejte školení v oblasti kybernetické bezpečnosti na špatných lidech, ani je nedávejte na pořad jednání proti jiným prioritám. Spolupracujte s profesionálem na provádění auditu rizik v celé firmě a zjistěte, kde se mohou skrývat nejslabší bezpečnostní odkazy. Spolupracujte se svými vedoucími týmů na vytváření pravidelných tréninkových plánů, které řeší jejich konkrétní potřeby. Implementujte automatizované rozvrhy pro každé oddělení s termíny testování, obnovením certifikátů a opakovanými školicími kurzy.

4. Nedostatek zkušených pracovníků v oblasti zabezpečení ERP

Pro podniky, které používají starší ERP software, musí IT týmy plně porozumět svým specifickým a nesčetným bezpečnostním rizikům ERP – a být schopny provozovat a implementovat nejlepší bezpečnostní postupy ve své třídě. To zahrnuje identifikaci hrozeb, provádění skenování zranitelnosti a testování průniku, vytváření plánů reakce na incidenty a integraci nejnovějších nástrojů pro monitorování kybernetické bezpečnosti do zastaralých systémů. V dnešním klimatu je nejen obtížné najít a udržet si kvalifikované profesionály, ale je také drahé a časově náročné přizpůsobit se rostoucímu počtu školení potřebných k udržení IT týmů, aby se zrychlily s bleskovým tempem vývoje digitální bezpečnosti.

Oprava: Cloud ERP poskytuje obrovskou úlevu pro toto rostoucí znepokojení. Funkce zabezpečení s vysokou zátěží, jako je monitorování 24 hodin denně, 7 dní v týdnu a zotavení po havárii, zvládá dodavatel – bezproblémově, v cloudu. Navíc každodenní a časově náročnější IT úkoly, jako je správa oprav, testování a upgrady, mohou být také automatizovány v cloudu a probíhají bez jakéhokoli viditelného přerušení.

5. Nedodržení bezpečnostních a správních standardů

Vzhledem k tomu, že ERP systémy jsou integrovány do stále více oddělení, rozsah zranitelných dat se stále více liší, včetně věcí, jako jsou bezpečné informace o produktech, lékařské záznamy nebo duševní vlastnictví. Čím citlivější jsou údaje (například finanční, lékařské nebo legální), tím pravděpodobnější je mít vlastní jedinečné bezpečnostní a úložné protokoly. Nedodržení nebo nedodržení těchto protokolů může vést nejen k možnému porušení těchto údajů, ale také k trestům a dokonce i právním dopadům za nedodržování předpisů.

Oprava: Nejlepší ERP – s moderními databázemi – dnes mohou usnadnit centralizovanou automatizaci a kontrolu řady protokolů shody pro širokou škálu datových typů. To znamená, že IT týmy mohou spolupracovat s předmětnými specialisty v celém podniku, aby zpočátku určily správné bezpečnostní standardy, a poté automatizovat systémy a uživatelské dashboardy, aby se zajistilo dodržování správných protokolů.

6. Jednofaktorová autentizace

Jednofaktorový (jedno heslo nebo přístupový kód) prostě nestačí. I když si dnes většina podniků tuto skutečnost uvědomuje, více než 40 % organizací stále nepoužívá dvoukrokovou autentizaci na všech potenciálních vstupních bodech ERP. Jinými slovy, nemá smysl chránit vaše nejdůležitější data dvoufaktorovou autentizací (2FA), pokud jsou jiné propojené věci, jako jsou zařízení IoT nebo aplikace oddělení, zranitelné pomocí jednokrokových hesel.

Oprava: Pro podniky všech velikostí je nezbytné okamžitě implementovat 2FA protokoly (včetně bezpečnostních tokenů nebo biometrických skenů) napříč všemi potenciálními vstupními body ERP. Jedná se o jednoduchou, nízkonákladovou opravu, která je nesmírně důležitá.

7. Export dat

Navzdory oficiálním protokolům uživatelé rádi vkládají věci do tabulek nebo je ukládají do jiných formátů a rizika exportu dat zůstávají pro podniky problémem.

Oprava: Společnosti to mohou poněkud ovládat blokováním stahování aplikace Excel nebo sledováním uživatelských akcí v rámci databáze. Ale nakonec je nejlepším způsobem, jak chránit před exportem dat, omezit počet lidí, kteří mají přístup ke zranitelným údajům. S moderním ERP mohou vedoucí oddělení snadno určit a nastavit nejen, kdo co vidí, ale které prvky datové sady mohou přistupovat a prohlížet. A na rozdíl od starších systémů mají cloudové ERP integrované bezpečnostní funkce, které mohou být automatizovány tak, aby odesílaly oznámení a zabraňovaly neoprávněným příkazům, jako je stahování nebo export dat.

Doporučené postupy pro kybernetickou bezpečnost ERP

Mnoho otázek a oprav, o kterých jsme diskutovali, souvisí s širšími bezpečnostními strategiemi pro optimalizaci vašich lidských a technologických zdrojů ve světě kyberkriminality. Níže jsou uvedeny některé další základy osvědčených postupů, které vám pomohou získat maximum ze služeb a výhod souvisejících s funkcemi a funkcemi zabezpečení cloudového ERP:

• Zajistit, aby byly uzavřeny dohody o úrovni služeb pro kontinuitu provozu, obnovení po havárii a provozuschopnost. Cloudové nástroje mohou pomoci integrovat tyto smlouvy na jednom místě, napříč globálními operacemi a automatizovat aktualizace.
• Provést hyperškálování, audity třetích stran. Tyto nezávislé audity třetích stran jsou nezbytné pro zajištění shody mezi podniky ve všech fázích a pro podporu věcí, jako je certifikace modelu splatnosti kybernetické bezpečnosti (CMMC) a úsilí Zero Trust.
• Šifrujte všechna data a zaměřte se na posílení procesů, protokolů a řízení projektů pro všechny týmy zapojené do postupů zabezpečení ERP. Zejména v oblastech správy oprav, konfigurace zabezpečení, skenování zranitelnosti a správy hrozeb.
• Udělejte nezbytné poradenské investice do externích odborníků na kybernetickou bezpečnost světové úrovně, abyste zajistili, že všechny vaše týmy budou mít dobrou znalost svých rolí a odpovědností v oblasti snižování rizik.
• Zajistěte, aby ve vašem podniku bylo implementováno monitorování 24 hodin denně 7 dní v týdnu a proaktivní správa zabezpečení, aby se zlepšila reakce na incidenty. To zahrnuje váš ERP a jakékoli systémy, zařízení nebo IoT prostředky, ze kterých může hacker získat přístup.
• K zajištění konzistentního a replikovatelného testovacího procesu pro řešení běžných vektorů aktérů po celé útočné ploše použijte metodu testování ERP založenou na doméně.

Další kroky k lepšímu zabezpečení ERP

Kyberkriminalita se dotýká nás všech a mají-li proti ní podniky bojovat, musí zaujmout mnohostranný přístup. Cloudové ERP technologie jsou skvělým místem k zahájení – poskytují podnikům jednotnou základnu, ze které lze koordinovat a automatizovat výkonnou a efektivní obranu.

Ale nakonec vaše úsilí o kybernetickou bezpečnost začíná a končí se svými lidmi. Vaši vedoucí týmů a zaměstnanci jsou součástí řešení, ale nelze očekávat, že na to přijdou sami. Dobrým prvním krokem na vaší cestě ERP v oblasti kybernetické bezpečnosti je sestavování komunikačních a školicích plánů, které zahrnují zajímavé odborníky, praktické učební plány, vizuální a praktické učební plány a dokonce i některé reálné příklady toho, co se může stát, když se to pokazí. Důležitá jsou specifická opatření v oblasti odborné přípravy a certifikace, ale také nejlépe zvyšuje celkové povědomí a zájem o toto téma.

Digitální bezpečnost je nyní hlavní součástí celého našeho života, tak proč neudělat z učení se o kybernetické bezpečnosti poutavý a zajímavý zážitek?