אבטחת ERP בעולם פשעי סייבר
תכונות אבטחה מודרניות של ERP מתפתחות ומשתפרות עד היום. אז למה עסקים מרגישים חשופים יותר מבעבר? בין השאר, זה נובע מהאצה המהירה של טכנולוגיות דיגיטליות וענן. עד 2025, IDC צופה שמספר מכשירי ה-IoT יעלה ליותר מ-30 מיליארד- וממשיך לגדול באופן אקספוננציאלי. רבים מהמכשירים האלה הם חלק מרשתות 'אינטרנט של דברים תעשייתיים' (IIoT) של חברות - וככאלה, הם בדרך כלל מזינים נתונים למערכת ERP מרכזית. בימים אלה, מערכת ERP מודרנית בענן היא קריטית למשימה לרוב העסקים, ומסייעת לאחד את כל הפעולות העסקיות תחת מערכת אחת. עם זאת, תכונת הליבה הזו עשויה להיות גם חולשה בכל הנוגע לאבטחת סייבר, מה שהופך אותה לפורטל עצירה אחת להרבה מידע קריטי.
אתגרי אבטחת תוכנה ו-ERP מודרניים
גישות מסורתיות לאבטחת סייבר אינן מספיקות עוד. הרעיון של בניית מתחם מאובטח סביב בסיסי נתונים או נכסי IT ספציפיים, ולאחר מכן הגבלה ובקרה של גישה, אינו יעיל במערכת אקולוגית מחוברת לענן.
בסביבת ERP בענן, ארגונים מבצעים כיול מחדש של הגישה שלהם לאבטחה כשהם חולקים יותר אחריות עם ספקי ענן ציבוריים, ולכן מתמקדים פחות בתשתיות ויותר בתחומי האחריות של צד היישום שהם ממשיכים להיות בבעלותם.
כלי נשיפה והתקפות פישינג מציגים אתגר הולך וגדל במהירות. מכיוון ש-ERPs משולבים ביותר מחלקות, ישנם מספר רב יותר של משתמשים בעלי גישה מורשית, אשר - עבור האקרים - פירושו קרקע ציד עשירה יותר למטרות פישינג. שילוב ERP תפעולי של ברודר פירושו גם טווח רחב יותר וטווח רחב יותר של נתונים בעלי ערך שכלולים ב-ERP - מה שמעלה את ערכו גם כיעד חטוף. בנוסף, באמצעות מערכות ERP מדור קודם, ניסיונות להרחיב שילוב ERP לתוך מחלקות חדשות דורשים לעתים קרובות בולבונים וקידוד מותאם אישית שיכולים לשמש להגדלת משטח ההתקפה הפוטנציאלי. במילים אחרות: יש יותר נקודות חלשות במקומות נוספים. זה מורכב מעלייה בעובדים מרחוק ובג"ץ שדורשים נקודות גישה חיצוניות.
פושעי סייבר יכולים לגנוב ולחלץ, אבל הם יכולים גם לסגור מערכות חיוניות ולגרוף פעולות שלמות לעצירה. ארגונים גדולים (במיוחד במגזרים כמו פיננסים וביטוח, ייצור, שירותים עסקיים ובריאות) היו כבר זמן רב יעד, אולם עסקים קטנים ובינוניים מותקפים יותר ויותר - לרוב בשל חוסר המשאבים הביטחוניים והמומחיות שלהם.
כל 11
s
חברה נפגעה בתוכנת תרגום ב-2021.
null
$1.85
M
עלות ממוצעת של התאוששות מהתקפת רנסנס
null
43
%
מתוך כל הפרות הנתונים כוללות עסקים קטנים ובינוניים
null
אילו סוגים של נתוני ERP מכוונים פושעי סייבר?
האקרים גונבים את כל סוגי הנתונים מכל מיני סיבות. אבל על פי רוב, פושעי סייבר תאגידיים הם אחרי נתונים, כולל נתוני ERP, שיכולים להיות ממונמים במהירות, בין אם על ידי סחיטה של החברה המכרעת עצמה ובין אם על ידי גרימה - או פגיעה אחרת - בלקוחות או באנשים שנקראים בנתונים הגנובים. זה עלול לגרום לניסיונות לגשת ישירות לקרנות באמצעות פרצות כרטיס אשראי או העברות כספים. אך מאחר שבסיסי נתונים פיננסיים ו-ERP נוטים להיות חלק מהאקרים המאובטחים ביותר, האקרים בדרך כלל בורחים על ידי גישה לסוגים אחרים של נתונים נגישים יותר.
שכבה נוספת של סיכון לעסקים מגיעה לא רק בנזק המעורר על רווחיהם, המוניטין והלקוחות שלהם - אלא מהסיכון לתביעות פעולה מעמדיות שהובאו על ידי אותם אנשים המכונים בנתונים הגנובים. במקרים שבהם נתונים אלה כוללים מידע אישי, משפטי או רפואי רגיש של אנשים, הנזק מהתדיינות משפטית יכול להיות בלתי הפיך.
7 בעיות האבטחה המובילות של ERP וכיצד לתקן אותן
1. תוכנה מיושנת
ספקי ה-ERP הטובים ביותר נמצאים ללא הרף במאבקם מול סיכוני אבטחה חדשים ומתעוררים. כל זמן שמזוהה סיכון כזה, מפותח תיקון אבטחה ומופץ ללקוחות. בעבר, חלק מהעסקים התעלמו או עיכבו הטמעה של עדכונים אלה לפרקי זמן ארוכים, והותירו את המערכות שלהם פגועות. זה נכון במיוחד במקרה של מערכות ERP ישנות שעברו התאמות אישיות ומעקפים רבים, מה שהופך את יישום הטלאי לבעייתי יותר לניהול.
תיקון: יש ליישם עדכונים ותיקוני אבטחה באופן קבוע - למרות הסיכון בהפסקות והשבתה - כי איומים חדשים מתגלים כל הזמן. החלת תיקונים ועדכונים עבור ERP מקומי דורשת גישה מבוססת סיכונים כדי לתעדף את אלה עם רוב השלכות האבטחה ותוך כדי תהליך לא קל או לא מפריע, היא המפתח להפחתת הסיכונים. זה נכון גם עבור אותם עסקים שיש להם סביבת ERP היברידית.
באמצעות תוכנת ERP בענן, הפצה ויישום של תיקוני תוכנה היא תהליך רציף שעובר מאחורי הקלעים על-ידי ספק השירות ללא כל הפרעה לעסק. יתר על כן, ניהול תיקונים אוטומטי שמגיע עם פריסת ERP בענן יכול לסייע להבטיח היצמדות לכללי תאימות ופיקוח משתנים.
2. בעיות הרשאה
באקלים העסקי של היום, משאבי אנוש, IT ומנהלי צוות אחרים לוחצים להוציא משתמשים חדשים לפעול במהירות האפשרית, מה שיכול להוביל למחסור במחמירות בעת מסירת הרשאות ERP, או אפילו להשבית אותם כאשר העובדים עוזבים את החברה. מערכות ERP מדור קודם נמצאות לעתים קרובות בסיכון גדול יותר למצב זה עקב יכולות אימות מיושנות והיעדר תהליכי עבודה אוטומטיים שתומכים בהרשאה.
תיקון: מערכות ERP מודרניות בנויות עם סיכון, כולל יכולות אספקה ואימות מובנות ותהליך עבודה מתוחכמים שעדיין פשוטים לשימוש. בנוסף, עסקים יכולים ליישם אבטחה רחבה יותר מקצה לקצה באמצעות כלי פיקוח על גישה לזהויות.
3. הכשרת אבטחה לא מספקת
עיגול תזכיר הדרכה עם מדיניות הפילוג הרשמית שלך אינו זהה לתיאום מפגשי למידה רגילים ואינטראקטיביים עם כל הצוותים שלך. למעשה, בסקר שנערך לאחרונה, 78% מהארגונים שחשו כי שיטות ההכשרה שלהם מספיקות כדי לשלול סיכוני פידבק - הופתעו לגלות ש-31% מעובדיהם נכשלו בבדיקת פידבק בסיסית. סיסמאות חלשות, היעדר פרוטוקולי אבטחה מפוארים ולא מובנים, פירושן שגם העובדים הנאמנים והחרוצים ביותר שלכם יכולים להיות מסכנים את העסק שלכם באופן בלתי מביך.
תיקון: עובדים רבים פשוט חסרי מודעות לגבי הדרכים שבהן פעולותיהם החפות מפשע יכולות לגרום סיכון או נזק. אל תשאיר את הכשרת אבטחת הסייבר לאנשים הלא נכונים, וגם לא לשים את זה נמוך על סדר היום נגד סדרי עדיפויות אחרים. עבוד עם איש מקצוע לביצוע ביקורת סיכונים ברחבי העסק שלך כדי לגלות היכן עשויים להסתתר קישורי האבטחה החלשים ביותר. עבוד עם ראשי הצוות שלך כדי לבנות תוכניות הכשרה קבועות שמטפלות בצרכים הספציפיים שלהם. יישם לוחות זמנים אוטומטיים עבור כל מחלקה, עם תאריכי בדיקה, חידושי אישורים וקורסי הכשרה המשמשים כסימוכין.
4. מחסור בצוות אבטחה מנוסה של ERP
כדי שעסקים יפעילו תוכנת ERP מדור קודם, צוותי IT חייבים להבין באופן מלא את סיכוני האבטחה הספציפיים שלהם ושל ERP המרובים—ולהיות מסוגלים להפעיל וליישם את פרקטיקות האבטחה הטובות ביותר מסוגה. זה כולל זיהוי איומים, ביצוע סריקות פגיעות ובדיקת חדירה, יצירת תוכניות תגובה לאירועים ושילוב כלי ניטור אבטחת הסייבר העדכניים ביותר במערכות מיושנות. באקלים של היום, לא רק שקשה למצוא ולשמר אנשי מקצוע מיומנים, זה גם יקר וגוזל זמן כדי להתאים למספר הגדל והולך של מפגשי האימונים הנדרשים כדי לשמור על צוותי ה-IT עד כדי מהירות עם קצב הברק של ההתפתחויות הביטחוניות הדיגיטליות.
תיקון: מערכת ERP בענן מספקת הקלה עצומה עבור קונצרן הולך וגדל זה. פונקציות האבטחה הכבדות כמו ניטור 24/7 והשבת אסונות מטופלות כולן על ידי הספק - בצורה חלקה, בענן. מה עוד, שמשימות ה-IT היומיות וצורכות יותר זמן כמו ניהול טלאים, בדיקות ושדרוגים - יכולות להיות אוטומטיות גם בענן ומתקיימות ללא כל הפרעה ניתנת לתפיסה.
5. כשל בציות לתקנים של אבטחה וממשל תאגידי
ככל שמערכות ERP משולבות ביותר ויותר מחלקות, היקף הנתונים הפגיעים גדל להיות מגוון יותר ויותר, כולל דברים כמו מידע על מוצרים מאובטחים, רשומות רפואיות או קניין רוחני. ככל שהנתונים (פיננסיים, רפואיים או משפטיים למשל) רגישים יותר כך סביר יותר שיהיו פרוטוקולי אבטחה ואחסון ייחודיים משלו. אי היצמדות - או להיות מודעים ל—פרוטוקולים אלה, יכולים להוביל לא רק להפרות פוטנציאליות של אותם נתונים, אלא גם לעונשים ואף לתוצאות משפטיות בגין אי-ציות.
תיקון: כיום, ה-ERP הטוב ביותר - עם בסיסי נתונים מודרניים - יכול להקל על האוטומציה והבקרה המרוכזים של מגוון פרוטוקולי תאימות למגוון רחב של סוגי נתונים. המשמעות היא שצוותי IT יכולים לעבוד עם מומחי נושא ברחבי העסק כדי לקבוע תחילה את תקני האבטחה הנכונים, ולאחר מכן לבצע אוטומציה של מערכות ולוחות מחוונים של משתמשים כדי לוודא שהפרוטוקולים הנכונים יתקדמו קדימה.
6. אימות חד-גורמי
גורם אחד (סיסמה או קוד סיסמה יחידים) פשוט לא מספיק. בעוד שבימים אלה, רוב העסקים מודעים לעובדה זו, יותר מ-40% מהארגונים עדיין לא מצליחים להשתמש באימות דו-שלבי בכל נקודות הכניסה הפוטנציאליות של ERP. במילים אחרות, אין טעם להגן על הנתונים החשובים ביותר שלך באמצעות אימות דו-גורמי (2FA) אם דברים מחוברים אחרים כמו התקני IoT או יישומים מחלקתיים נשארים פגיעים בסיסמאות חד-שלביות.
תיקון: חיוני לעסקים בכל הגדלים ליישם מיידית פרוטוקולים של 2FA (כולל אסימוני אבטחה או סריקות ביומטריות) בכל נקודות הכניסה הפוטנציאליות של ERP. זהו תיקון פשוט, בעלות נמוכה, שהוא חשוב ביותר.
7. ייצוא נתונים
למרות הפרוטוקולים הרשמיים, משתמשים אוהבים להכניס דברים לגיליונות אלקטרוניים או לשמור אותם בפורמטים אחרים וסיכוני ייצוא נתונים נותרה בעיה עבור עסקים.
תיקון: חברות יכולות לשלוט בכך במידת מה על-ידי חסימת הורדות Excel או מעקב אחר פעולות משתמש בתוך בסיס הנתונים. אבל בסופו של יום, הדרך הטובה ביותר להגן מפני יצוא נתונים, היא להגביל את מספר האנשים שיש להם גישה לנתונים פגיעים. עם מערכת ERP מודרנית, ראשי מחלקות יכולים לקבוע ולהגדיר בקלות לא רק מי יזכה לראות מה, אלא לאילו אלמנטים של סט נתונים הם יכולים לגשת ולהציג. ובניגוד למערכות מדור קודם, מערכות ERP בענן שילבו מאפייני אבטחה שניתן לבצע להם אוטומציה כדי לשלוח הודעות ולמנוע פקודות לא מורשות, כגון הורדות או ייצוא נתונים.
שיטות עבודה מומלצות לאבטחת ERP של סייבר
רבות מהנושאים והתיקונים שדנו קשורים לאסטרטגיות אבטחה רחבות יותר למיטוב המשאבים האנושיים והטכנולוגיים שלכם בעולם פשע סייבר. להלן כמה יסודות נוספים של תהליכים מייעלי עבודה שיסייעו לך להפיק את המרב מהשירותים וההטבות הקשורים לפונקציות ומאפיינים של אבטחת ERP בענן:
- ודא שהסכמי רמת שירות קיימים לצורך המשכיות עסקית, התאוששות מאסון ויכולות זמן שימוש יעיל במערכת. כלים מבוססי ענן יכולים לעזור לשלב הסכמים אלה במקום אחד, בין פעולות גלובליות ולהפוך עדכונים לאוטומטיים.
- בצע ביקורות של Hyperscaler, צד שלישי. ביקורות צד שלישי עצמאיות אלו חיוניות כדי להבטיח תאימות בין-עסקית בכל השלבים ולתמוך בדברים כמו הסמכת מודל חלות של אבטחת סייבר (CMMC) ומאמצי אפס אמון.
- הצפן את כל הנתונים שלך והתמקד בחיזוק תהליכים, פרוטוקולים וניהול פרויקטים עבור כל הצוותים המעורבים בפרקטיקות אבטחה של ERP. במיוחד בתחומים של ניהול תיקוני תוכנה, תצורת אבטחה, סריקת פגיעות וניהול איומים.
- בצע את ההשקעה ההתייעצותית הנדרשת במומחי אבטחת סייבר חיצוניים ברמה עולמית כדי להבטיח שכל הצוותים שלכם יהיו מאובזרים היטב בתפקידיהם ובתחומי האחריות שלהם בתחומים של הפחתת סיכונים.
- ודא שניטור 24/7 וניהול אבטחה פרואקטיבי יושמו ברחבי העסק שלך כדי לשפר את תגובתיות האירועים. זה כולל את ה-ERP שלך וכל מערכת, מכשירים או נכסי IoT שמהם האקר עשוי לקבל גישה.
- השתמש בגישת בדיקת ERP מבוססת תחום כדי לספק תהליך בדיקה עקבי וניתן לשכפול כדי לטפל בווקטורים נפוצים של שחקנים על פני כל משטח ההתקפה.
השלבים הבאים לאבטחת ERP טובה יותר
סייברפשע משפיע על כולנו ואם העסקים יילחמו בו, הם חייבים לנקוט בגישה רבת פרושים. טכנולוגיות ERP בענן הן מקום נהדר להתחיל בו - מה שמעניק לעסקים בסיס מאוחד שממנו יש לתאם ולהפוך הגנה יעילה וחזקה לאוטומטית.
אבל בסופו של דבר, מאמצי אבטחת הסייבר שלכם מתחילים ומסתיימים בעם שלכם. ראשי הצוות והעובדים שלכם הם חלק מהפתרון אבל לא ניתן לצפות מהם לאמוד אותו בעצמם. צעד ראשון טוב במסע אבטחת הסייבר של ה-ERP שלכם, הוא לבנות תוכניות תקשורת והדרכה שמערבות מומחים מעניינים, לימוד מעשי, תוכניות שיעור ויזואליות ומעשיות ואפילו כמה דוגמאות במציאות למה שיכול לקרות כשזה משתבש. אמצעי הכשרה והסמכה ספציפיים הם חשובים, אך הוא גם פועל בצורה הטובה ביותר להעלאת המודעות הכוללת והעניין בנושא.
אבטחה דיגיטלית היא כיום חלק מרכזי בכל חיינו, אז למה לא להפוך את הלמידה על אבטחת סייבר לחוויה מרתקת ומסקרנת?