Nowoczesne zabezpieczenia ERP ewoluują i poprawiają się do dnia na dzień. Dlaczego więc firmy czują się bardziej narażone niż kiedykolwiek wcześniej? Częściowo wynika to z szybkiego przyspieszenia technologii cyfrowych i chmurowych. Do 2025 r. firma IDC przewiduje, że liczba urządzeń IoT wzrośnie do ponad 30 miliardówi będzie rosnąć wykładniczo. Wiele z tych urządzeń jest częścią sieci Przemysłowego Internetu Rzeczy (IIoT) — i jako takie zazwyczaj zasilają dane w centralny system ERP. Obecnie nowoczesny system ERP w chmurze ma kluczowe znaczenie dla większości firm, pomagając ujednolicić wszystkie operacje biznesowe w ramach jednego systemu. Jednak ta podstawowa funkcja może być również słabością, jeśli chodzi o cyberbezpieczeństwo, czyniąc z niej portal kompleksowej obsługi w wiele krytycznych informacji.

Nowoczesne wyzwania związane z bezpieczeństwem systemów ERP i oprogramowania

Tradycyjne podejścia do cyberbezpieczeństwa nie są już wystarczające. Pomysł budowania bezpiecznego obwodu wokół określonych zasobów IT lub baz danych, a następnie ograniczania i kontrolowania dostępu, nie jest skuteczny w ekosystemie połączonym z chmurą.

W środowisku ERP w chmurze organizacje ponownie dostosowują swoje podejście do bezpieczeństwa, ponieważ dzielą większą odpowiedzialność z dostawcami chmury publicznej, a tym samym skupiają się mniej na infrastrukturze, a w większym stopniu na obowiązkach po stronie aplikacji, których nadal są właścicielami.

Ataki ransomware i phishingu stanowią szybko rosnące wyzwanie. Ponieważ systemy ERP są zintegrowane w większej liczbie działów, istnieje większa liczba użytkowników z autoryzowanym dostępem, co dla hakerów oznacza bogatsze pole do polowań na cele phishingowe. Szersza integracja operacyjnego systemu ERP oznacza również szerszy zakres i zakres cennych danych zawartych w systemie ERP, co zwiększa jego wartość jako celu hakerskiego. Dodatkowo, dzięki starszym systemom ERP, próby rozszerzenia integracji ERP z nowymi działami często wymagają bolt-ons i niestandardowego kodowania, które może służyć zwiększeniu potencjalnej powierzchni ataku. Innymi słowy: w większej liczbie miejsc jest więcej słabych punktów. Polega to na zwiększeniu liczby pracowników zdalnych i gig, którzy potrzebują zewnętrznych punktów dostępu.

Cyberprzestępcy mogą ukraść i wyłudzić, ale mogą również zamknąć niezbędne systemy i zgrinąć całe operacje do zatrzymania. Duże organizacje (szczególnie w sektorach takich jak finanse i ubezpieczenia, produkcja, usługi biznesowe i opieka zdrowotna) od dawna są celem, jednak małe i średnie firmy są coraz częściej atakowane – często ze względu na brak zasobów bezpieczeństwa i wiedzy specjalistycznej.

Jakiego rodzaju dane ERP kierują cyberprzestępcy?

Hakerzy kradną wszelkiego rodzaju dane z różnych powodów. Jednak w większości przypadków cyberprzestępcy korporacyjni są po danych, w tym danych ERP, które mogą być najszybciej zarabiane, niezależnie od tego, czy wyłudzają samą wiktymizowaną firmę, czy też oszukują – lub w inny sposób uszkadzają – klientów lub osoby wymienione w skradzionych danych. Może to skutkować próbami bezpośredniego dostępu do środków pieniężnych poprzez naruszenia karty kredytowej lub przelewy pieniężne. Ponieważ jednak bazy danych finansowych i ERP są jednymi z najbardziej dobrze zabezpieczonych, hakerzy zazwyczaj wykrzykują spustoszenie, uzyskując dostęp do innych rodzajów bardziej dostępnych danych.

Dodatkową warstwą ryzyka dla przedsiębiorstw są nie tylko szkody wyrządzone na ich zyskach, reputacji i klientach, ale także ryzyko pozwów zbiorowych wniesionych przez osoby wymienione w skradzionych danych. W przypadkach, gdy dane te obejmują wrażliwe informacje osobiste, prawne lub medyczne, szkody powstałe w wyniku postępowania sądowego mogą być nieodwracalne.

7 głównych problemów z bezpieczeństwem ERP i jak je rozwiązać

1. Nieaktualne oprogramowanie

Najlepsi dostawcy ERP nieustannie walczą z nowymi i pojawiającymi się zagrożeniami dla bezpieczeństwa. Za każdym razem, gdy takie ryzyko zostanie zidentyfikowane, opracowywana jest poprawka zabezpieczeń, która jest przekazywana klientom. W przeszłości niektóre przedsiębiorstwa ignorowały lub opóźniały wdrażanie tych aktualizacji przez długi czas, pozostawiając swoje systemy podatne na zagrożenia. Dotyczy to zwłaszcza starszych systemów ERP, które przeszły liczne dostosowania i obejścia, co sprawia, że wdrożenie poprawek staje się bardziej problematyczne w zarządzaniu.

Poprawka: Aktualizacje i poprawki zabezpieczeń muszą być wdrażane regularnie — pomimo ryzyka awarii i przestojów — ponieważ ciągle pojawiają się nowe zagrożenia. Stosowanie poprawek i aktualizacji w przypadku lokalnego systemu ERP wymaga podejścia opartego na ryzyku w celu priorytetyzacji tych, które mają największy wpływ na bezpieczeństwo, a proces, który nie jest łatwy ani niezakłócający, ma kluczowe znaczenie dla ograniczenia ryzyka. Dotyczy to również tych firm, które mają hybrydowe środowisko ERP.

Dzięki oprogramowaniu ERP w chmurze dystrybucja poprawek i implementacja to bezproblemowy proces, który pozostaje za kulisami dostawcy usług bez żadnych zakłóceń w działalności. Ponadto zautomatyzowane zarządzanie poprawkami w ramach wdrożenia ERP w chmurze może pomóc zapewnić zgodność z stale zmieniającymi się zasadami dotyczącymi zgodności z przepisami i nadzoru.

2. Kwestie związane z uprawnieniami

W dzisiejszym klimacie biznesowym HR, IT i inni menedżerowie zespołów są zmuszeni do jak najszybszego uruchomienia nowych użytkowników, co może prowadzić do braku surowości przy wydawaniu uprawnień ERP, a nawet do ich dezaktywacji, gdy pracownicy opuszczają firmę. Starsze systemy ERP są często bardziej narażone na tę sytuację z powodu przestarzałych możliwości uwierzytelniania i braku zautomatyzowanych przepływów pracy obsługujących autoryzację.

Poprawka: Nowoczesne systemy ERP są zbudowane z myślą o ryzyku, w tym nieodłączne funkcje zapewniania dostępu i uwierzytelniania oraz workflow, które są zaawansowane, ale proste w użyciu. Ponadto firmy mogą wdrażać szersze kompleksowe zabezpieczenia za pomocą narzędzi do zarządzania dostępem do tożsamości.

3. Nieodpowiednie szkolenie w zakresie bezpieczeństwa

Obchodzenie notatki szkoleniowej z oficjalną polityką phishingową nie jest takie samo jak koordynowanie regularnych, interaktywnych sesji szkoleniowych ze wszystkimi Twoimi zespołami. W rzeczywistości w ostatnim badaniu 78% organizacji, które uznały, że ich metody szkoleniowe są wystarczające do wyeliminowania ryzyka phishingu, było zaskoczonych, że 31% ich pracowników nie zaliczyło podstawowego testu phishingowego. Słabe hasła, brak wiedzy na temat phishingu i źle rozumiane protokoły bezpieczeństwa oznaczają, że nawet najbardziej lojalni i staranni pracownicy mogą nieświadomie narażać Twoją firmę na niebezpieczeństwo.

Poprawka: Wielu pracowników po prostu nie ma świadomości na temat sposobów, w jakie ich niewinne działania mogą powodować ryzyko lub szkody. Nie zostawiaj szkoleń z zakresu cyberbezpieczeństwa niewłaściwym ludziom, ani nie umieszczaj ich na niskim poziomie w stosunku do innych priorytetów. Współpracuj z profesjonalistą, aby przeprowadzić audyt ryzyka w całej firmie, aby dowiedzieć się, gdzie ukrywają się najsłabsze linki bezpieczeństwa. Współpraca z liderami zespołu w celu opracowania regularnych planów szkoleń spełniających ich szczególne potrzeby. Wdrożenie zautomatyzowanych harmonogramów dla każdego działu z datami testów, odnowieniem certyfikatów i szkoleniami odświeżającymi.

4. Niedobór doświadczonego personelu ds. bezpieczeństwa ERP

W przypadku firm korzystających ze starszego oprogramowania ERP zespoły IT muszą w pełni zrozumieć swoje specyficzne i niezliczone zagrożenia dla bezpieczeństwa ERP oraz być w stanie uruchomić i wdrożyć najlepsze w swojej klasie praktyki w zakresie bezpieczeństwa. Obejmuje to identyfikację zagrożeń, przeprowadzanie skanów luk w zabezpieczeniach i testowanie penetracyjne, tworzenie planów reagowania na incydenty oraz integrację najnowszych narzędzi do monitorowania cyberbezpieczeństwa z przestarzałymi systemami. W dzisiejszym klimacie nie tylko trudno jest znaleźć i zatrzymać wykwalifikowanych specjalistów, ale także kosztowne i czasochłonne dopasowanie się do rosnącej liczby sesji szkoleniowych wymaganych do tego, aby zespoły IT były na bieżąco z błyskawicznym tempem rozwoju bezpieczeństwa cyfrowego.

Poprawka: ERP w chmurze stanowi ogromną ulgę dla tego rosnącego problemu. Wysokowydajne funkcje bezpieczeństwa, takie jak monitorowanie 24/7 i odzyskiwanie po awarii, są obsługiwane przez dostawcę — płynnie, w chmurze. Co więcej, codzienne i bardziej czasochłonne zadania IT, takie jak zarządzanie poprawkami, testowanie i uaktualnienia, mogą być również zautomatyzowane w chmurze i odbywać się bez żadnych zauważalnych przerw.

5. Nieprzestrzeganie standardów bezpieczeństwa i nadzoru

Ponieważ systemy ERP są zintegrowane w coraz większej liczbie działów, zakres wrażliwych danych staje się coraz bardziej zróżnicowany, w tym informacje o bezpiecznych produktach, dokumentacja medyczna lub własność intelektualna. Im bardziej wrażliwe są dane (np. finansowe, medyczne lub prawne), tym większe prawdopodobieństwo posiadania własnych unikalnych protokołów bezpieczeństwa i przechowywania. Nieprzestrzeganie tych protokołów może prowadzić nie tylko do potencjalnych naruszeń tych danych, ale także do kar, a nawet konsekwencji prawnych za ich nieprzestrzeganie.

Poprawka: Obecnie najlepsze systemy ERP — dzięki nowoczesnym bazom danych — mogą ułatwić scentralizowaną automatyzację i kontrolę szeregu protokołów zgodności dla wielu różnych typów danych. Oznacza to, że zespoły IT mogą współpracować ze specjalistami w całej firmie w celu wstępnego określenia prawidłowych standardów bezpieczeństwa, a następnie zautomatyzować systemy i pulpity użytkowników, aby zapewnić przestrzeganie prawidłowych protokołów.

6. Uwierzytelnianie jednoskładnikowe

Jeden czynnik (pojedyncze hasło lub kod dostępu) to po prostu za mało. Chociaż obecnie większość firm zdaje sobie z tego sprawę, ponad 40% organizacji nadal nie korzysta z dwuetapowego uwierzytelniania we wszystkich potencjalnych punktach wejściowych ERP. Innymi słowy, nie ma sensu chronić najistotniejszych danych za pomocą uwierzytelniania dwuskładnikowego (2FA), jeśli inne połączone rzeczy, takie jak urządzenia IoT lub aplikacje departamentalne, są podatne na zagrożenia za pomocą jednoetapowych haseł.

Poprawka: Dla firm każdej wielkości konieczne jest natychmiastowe wdrożenie protokołów 2FA (w tym tokenów bezpieczeństwa lub skanowania biometrycznego) we wszystkich potencjalnych punktach wejściowych ERP. Jest to prosta, tania naprawa, która jest niezwykle ważna.

7. Eksport danych

Pomimo oficjalnych protokołów użytkownicy lubią umieszczać rzeczy w arkuszach kalkulacyjnych lub zapisywać je w innych formatach, a ryzyko eksportu danych pozostaje problemem dla firm.

Poprawka: Firmy mogą kontrolować to nieco, blokując pobieranie plików Excel lub śledzenie czynności użytkownika w bazie danych. Ostatecznie jednak najlepszym sposobem ochrony przed eksportem danych jest ograniczenie liczby osób, które mają dostęp do wrażliwych danych. Dzięki nowoczesnemu systemowi ERP szefowie działów mogą łatwo określić i określić nie tylko kto może zobaczyć, co, ale jakie elementy zbioru danych mogą uzyskać dostęp i zobaczyć. W przeciwieństwie do poprzednich systemów, systemy ERP w chmurze mają zintegrowane funkcje zabezpieczeń, które mogą być zautomatyzowane w celu wysyłania powiadomień i zapobiegania nieautoryzowanym poleceniom, takim jak pobieranie lub eksportowanie danych.

Najlepsze praktyki w zakresie bezpieczeństwa cybernetycznego ERP

Wiele z omawianych przez nas kwestii i poprawek dotyczy szerszych strategii bezpieczeństwa w celu optymalizacji zasobów ludzkich i technologicznych w świecie cyberprzestępczości. Poniżej przedstawiono kilka dodatkowych podstawowych najlepszych praktyk, które pomogą Ci w pełni wykorzystać usługi i korzyści związane z funkcjami i funkcjami zabezpieczeń ERP w chmurze:

• Zapewnienie, że zawarto umowy dotyczące poziomu usług w zakresie ciągłości działania, odtwarzania systemu po awarii i możliwości w zakresie czasu produktywnego. Narzędzia oparte na chmurze mogą pomóc zintegrować te umowy w jednym miejscu, we wszystkich operacjach globalnych i zautomatyzować aktualizacje.
• Przeprowadzanie hiperskalerów, audytów zewnętrznych. Te niezależne audyty przeprowadzane przez osoby trzecie są niezbędne do zapewnienia zgodności między firmami na wszystkich etapach oraz do wsparcia takich działań, jak certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) i działania na rzecz Zero Trust.
• Szyfrowanie wszystkich danych i koncentrowanie się na wzmacnianiu procesów, protokołów i zarządzania projektami dla wszystkich zespołów zaangażowanych w praktyki bezpieczeństwa ERP. Szczególnie w obszarach zarządzania poprawkami, konfiguracji zabezpieczeń, skanowania luk w zabezpieczeniach i zarządzania zagrożeniami.
• Zrealizuj niezbędne inwestycje doradcze w zewnętrznych, światowej klasy ekspertów ds. bezpieczeństwa cybernetycznego, aby zapewnić, że wszystkie Twoje zespoły są dobrze zorientowane w swoich rolach i obowiązkach w obszarach redukcji ryzyka.
• Upewnij się, że w całej firmie wdrożono całodobowe monitorowanie i proaktywne zarządzanie bezpieczeństwem, aby zwiększyć szybkość reagowania na incydenty. Obejmuje to Twój system ERP oraz wszelkie systemy, urządzenia lub zasoby IoT, z których haker może uzyskać dostęp.
• Użyj opartego na domenie podejścia do testowania ERP, aby zapewnić spójny i możliwy do powielenia proces testowania w celu rozwiązania typowych wektorów aktorów na całej powierzchni ataku.

Kolejne kroki w kierunku zwiększenia bezpieczeństwa ERP

Cyberprzestępczość dotyka nas wszystkich i jeśli firmy mają z nią walczyć, muszą przyjąć wielostronne podejście. Technologie ERP w chmurze to doskonałe miejsce na start — dając firmom ujednoliconą bazę do koordynowania i automatyzacji potężnej i skutecznej obrony.

Ale w końcu twoje wysiłki w zakresie cyberbezpieczeństwa zaczynają się i kończą z Twoimi ludźmi. Liderzy Twojego zespołu i pracownicy są częścią rozwiązania, ale nie można oczekiwać, że sami to zrozumieją. Dobrym pierwszym krokiem na drodze do bezpieczeństwa cybernetycznego ERP jest opracowanie planów komunikacji i szkoleń, w które zaangażowani są interesujący eksperci, praktyczne plany szkoleniowe, wizualne i praktyczne lekcje, a nawet kilka rzeczywistych przykładów tego, co może się wydarzyć, gdy pójdzie nie tak. Konkretne działania szkoleniowe i certyfikacyjne są ważne, ale najlepiej jest również zwiększyć ogólną świadomość i zainteresowanie tym tematem.

Bezpieczeństwo cyfrowe jest obecnie główną częścią naszego życia, więc dlaczego nie sprawić, by nauka o cyberbezpieczeństwie stała się wciągającym i intrygującym doświadczeniem?