Moderné bezpečnostné prvky ERP sa vyvíjajú a zlepšujú v priebehu dňa. Prečo sa teda podniky cítia vystavenejšie než kedykoľvek predtým? Čiastočne je to spôsobené rýchlou akceleráciou digitálnych a cloudových technológií. Do roku 2025 IDC predpovedá, že počet zariadení IoT vzrastie na viac ako 30 miliárd– a naďalej exponenciálne rastie. Mnohé z týchto zariadení sú súčasťou sietí priemyselného internetu vecí (Industrial Internet of Things, IIoT) a ako také zvyčajne dodávajú dáta do centrálneho ERP systému. V týchto dňoch je pre väčšinu podnikov mimoriadne dôležitý moderný cloudový systém ERP, ktorý pomáha zjednotiť všetky podnikové operácie v rámci jedného systému. Táto základná črta však môže byť aj slabou stránkou, pokiaľ ide o kybernetickú bezpečnosť, čím sa z neho stáva portál na jednom mieste, ktorý sa zameriava na množstvo kritických informácií.

Moderné výzvy v oblasti zabezpečenia ERP a softvéru

Tradičné prístupy k kybernetickej bezpečnosti už nestačia. Myšlienka vybudovať bezpečný obvod okolo konkrétnych IT aktív alebo databáz, a potom obmedziť a kontrolovať prístup, nie je účinná v ekosystéme prepojenom s cloudom.

V cloudovom prostredí ERP organizácie rekibrujú svoj prístup k bezpečnosti, pretože zdieľajú väčšiu zodpovednosť s verejnými poskytovateľmi cloudu, a preto sa menej zameriavajú na infraštruktúru a viac na zodpovednosti na strane aplikácií, ktoré naďalej vlastnia.

Ransomware a phishing útoky predstavujú rýchlo rastúcu výzvu. Keďže ERP sú integrované na viacerých oddeleniach, existuje väčší počet používateľov s oprávneným prístupom, čo pre hackerov znamená bohatší poľovnícky revír pre phishingové ciele. Širšia operatívna integrácia ERP znamená aj širší rozsah a rozsah cenných dát obsiahnutých v ERP – čo tiež zvyšuje jeho hodnotu ako hackerského cieľa. Okrem toho, so staršími ERP systémami, pokusy o rozšírenie integrácie ERP do nových oddelení často vyžadujú bolt-on a vlastné kódovanie, ktoré môže slúžiť na zvýšenie potenciálnej útočnej plochy. Inými slovami: na viacerých miestach je viac slabých miest. To je spojené s nárastom počtu pracovníkov na diaľku a koncertných pracovníkov, ktorí vyžadujú externé prístupové body.

Kyberzločinci môžu kradnúť a vydierať, ale môžu odstaviť aj základné systémy a celé operácie zastaviť. Veľké organizácie (najmä v sektoroch ako financie a poisťovníctvo, výroba, obchodné služby a zdravotníctvo) sú už dlho cieľom, avšak stále častejšie dochádza k útokom na malé a stredné podniky – často kvôli nedostatku bezpečnostných zdrojov a odborných znalostí.

Na aké typy ERP údajov sa zameriavajú kyberzločinci?

Hackeri kradnú všetky druhy dát z rôznych dôvodov. Ale z väčšej časti sú firemní kyberzločinci po dátach, vrátane dát ERP, ktoré sa dajú najrýchlejším speňažením, či už vydieraním samotnej víťaznej spoločnosti alebo prehĺtaním – alebo iným poškodzovaním – zákazníkov alebo jednotlivcov pomenovaných v ukradnutých dátach. To môže viesť k pokusom o priamy prístup k finančným prostriedkom prostredníctvom porušení kreditnej karty alebo prevodov peňazí. Ale keďže finančné a ERP databázy sú zvyčajne jedny z najlepšie zabezpečených, hackeri zvyčajne spôsobia zmätok tým, že pristupujú k iným typom prístupnejších údajov.

Ďalšou vrstvou rizika pre podniky je nielen škoda spôsobená ich ziskom, povesťou a zákazníkmi – ale aj riziko hromadných súdnych sporov, ktoré podali jednotlivci uvedení v ukradnutých údajoch. V prípadoch, keď tieto údaje zahŕňajú citlivé osobné, právne alebo lekárske informácie ľudí, môže byť škoda spôsobená súdnymi spormi nenapraviteľná.

Prvých 7 problémov so zabezpečením ERP a spôsob ich riešenia

1. Zastaraný softvér

Najlepší poskytovatelia ERP sú neúnavní v boji proti novým a vznikajúcim bezpečnostným rizikám. Kedykoľvek je takéto riziko identifikované, vyvinie sa bezpečnostná oprava a distribuuje sa zákazníkom. V minulosti niektoré podniky dlhodobo ignorovali alebo oneskorili implementáciu týchto aktualizácií, čím sa ich systémy stali zraniteľnými. Platí to najmä v prípade starších ERP, ktoré prešli mnohými prispôsobeniami a dočasnými riešeniami, vďaka čomu je implementácia opráv problematickejšia.

Oprava: Aktualizácie a opravy zabezpečenia je potrebné implementovať pravidelne – napriek riziku výpadkov a odstávok – pretože po celý čas sa objavujú nové hrozby. Použitie opráv a aktualizácií pre lokálny systém ERP vyžaduje prístup založený na riziku, aby sa uprednostnili osoby s najväčšími dôsledkami na zabezpečenie a zároveň nie jednoduchý alebo nerušivý proces, je kľúčom k zmierneniu rizík. Platí to aj pre tie podniky, ktoré majú hybridné prostredie ERP.

S cloudovým ERP softvérom je distribúcia a implementácia opráv bezproblémový proces, ktorý ide v zákulisí poskytovateľa služieb bez akéhokoľvek narušenia podnikania. Automatizovaná správa opráv, ktorá sa dodáva s nasadením cloudového systému ERP, okrem toho môže pomôcť zabezpečiť dodržiavanie neustále sa meniacich pravidiel súladu a riadenia.

2. Problémy s autorizáciou

V dnešnom obchodnom prostredí sú personalisti, IT a ďalší manažéri tímov nútení čo najrýchlejšie uviesť nových používateľov do prevádzky, čo môže viesť k nedostatočnej prísnosti pri vydávaní oprávnení na ERP, alebo ich dokonca k ich deaktivácii, keď zamestnanci odídu zo spoločnosti. Staršie systémy ERP sú pre túto situáciu často vystavené väčšiemu riziku z dôvodu zastaraných autentifikačných funkcií a nedostatku automatizovaných workflow podporujúcich autorizáciu.

Oprava: Moderné ERP systémy sú budované s ohľadom na riziko vrátane inherentných možností poskytovania a autentifikácie a workflow, ktoré sú sofistikované, ale ľahko použiteľné. Okrem toho môžu podniky implementovať širšie komplexné zabezpečenie pomocou nástrojov správy prístupu k identite.

3. Nedostatočná bezpečnostná príprava

Cirkulácia školiaceho oznamu s vašou oficiálnou politikou phishingu nie je rovnaká ako koordinácia pravidelných interaktívnych vzdelávacích relácií so všetkými vašimi tímami. V nedávnom prieskume 78 % organizácií, ktoré sa domnievali, že ich tréningové metódy sú dostatočné na elimináciu phishingových rizík – bolo prekvapených, že 31 % ich zamestnancov nevyhovelo základnému testu phishingu. Slabé heslá, nedostatok phishingu a zle pochopené bezpečnostné protokoly znamenajú, že aj vaši najlojálnejší a najusilovnejší zamestnanci môžu nevedomky vystaviť váš podnik riziku.

Oprava: Mnohým zamestnancom jednoducho chýba povedomie o spôsoboch, akými ich nevinné konanie môže spôsobiť riziko alebo škodu. Neprenechávajte školenia v oblasti kybernetickej bezpečnosti nesprávnym ľuďom, ani ho nezaraďujte do programu v porovnaní s inými prioritami. Spolupracujte s profesionálom, aby ste vykonali audit rizík vo vašom podniku, aby ste zistili, kde sa môžu skrývať najslabšie bezpečnostné prepojenia. Spolupracujte s vedúcimi tímov pri vytváraní pravidelných plánov školení, ktoré riešia ich konkrétne potreby. Implementujte automatizované harmonogramy pre každé oddelenie s dátumami testovania, obnoveniami certifikátov a opakovanými školiacimi kurzami.

4. Nedostatok skúsených pracovníkov v oblasti zabezpečenia ERP

Pre podniky so starším softvérom ERP musia tímy IT plne porozumieť svojim špecifickým a nespočetným bezpečnostným rizikám ERP a musia byť schopné spustiť a implementovať najlepšie bezpečnostné postupy vo svojej triede. To zahŕňa identifikáciu hrozieb, vykonávanie kontrol zraniteľnosti a penetračných testov, vytváranie plánov reakcie na incidenty a integráciu najnovších nástrojov monitorovania kybernetickej bezpečnosti do zastaraných systémov. V dnešnej klíme je nielen ťažké nájsť a udržať si kvalifikovaných odborníkov, ale je tiež drahé a časovo náročné prispôsobiť sa rastúcemu počtu školení potrebných na udržanie IT tímov v rýchlom tempe vývoja digitálnej bezpečnosti.

Fix: Cloud ERP poskytuje obrovskú úľavu pre tento rastúci problém. Vysoko náročné bezpečnostné funkcie, ako je monitorovanie 24 hodín denne, 7 dní v týždni a obnova po havárii, sú riešené dodávateľom – bezproblémovo, v cloude. A čo viac, každodenné a časovo náročnejšie IT úlohy, ako je správa opráv, testovanie a inovácie, môžu byť tiež automatizované v cloude a prebiehajú bez akéhokoľvek viditeľného prerušenia.

5. Nedodržanie bezpečnostných a riadiacich štandardov

Keďže systémy ERP sú stále viac a viac oddelení integrované, rozsah zraniteľných údajov rastie čoraz rozmanitejšie, vrátane vecí, ako sú bezpečné informácie o produktoch, lekárske záznamy alebo duševné vlastníctvo. Čím citlivejšie sú údaje (napríklad finančné, lekárske alebo právne), tým väčšia je pravdepodobnosť, že bude mať svoje vlastné jedinečné bezpečnostné a úložné protokoly. Nedodržanie alebo vedomie týchto protokolov môže viesť nielen k možnému porušeniu týchto údajov, ale aj k sankciám a dokonca aj právnym dôsledkom za nedodržiavanie pravidiel.

Oprava: Dnes najlepšie ERP – s modernými databázami – môžu uľahčiť centralizovanú automatizáciu a riadenie celého radu protokolov súladu pre širokú škálu typov údajov. To znamená, že tímy IT môžu spolupracovať s odborníkmi z celého podniku na počiatočnom určovaní správnych bezpečnostných štandardov a potom automatizovať systémy a používateľské panely, aby sa zabezpečilo dodržiavanie správnych protokolov.

6. Jednofaktorová autentifikácia

Jeden faktor (jedno heslo alebo prístupový kód) jednoducho nestačí. Zatiaľ čo v týchto dňoch si väčšina podnikov uvedomuje túto skutočnosť, viac ako 40 % organizácií stále nepoužíva dvojstupňovú autentifikáciu na všetkých potenciálnych vstupných bodoch ERP. Inými slovami, nemá zmysel chrániť vaše najdôležitejšie dáta pomocou dvojfaktorovej (2FA) autentifikácie, ak iné prepojené veci, ako sú zariadenia IoT alebo aplikácie oddelenia, zostanú zraniteľné s jednokrokovými heslami.

Oprava: Pre podniky všetkých veľkostí je nevyhnutné okamžite implementovať protokoly 2FA (vrátane bezpečnostných tokenov alebo biometrických skenov) vo všetkých potenciálnych vstupných bodoch ERP. Je to jednoduchá, nízkonákladová oprava, ktorá je mimoriadne dôležitá.

7. Export dát

Napriek oficiálnym protokolom používatelia radi vkladajú veci do tabuľkových hárkov alebo ich ukladajú v iných formátoch a riziká exportu údajov zostávajú pre podniky problémom.

Oprava: Spoločnosti to môžu do istej miery ovládať blokovaním prevzatí Excelu alebo sledovaním akcií používateľov v rámci databázy. Nakoniec je však najlepším spôsobom ochrany pred exportom údajov obmedzenie počtu ľudí, ktorí majú prístup k zraniteľným údajom. S moderným ERP môžu vedúci oddelenia ľahko určiť a nastaviť nielen to, kto sa dostane k tomu, čo, ale ktoré prvky dátového súboru môžu pristupovať a prezerať. A na rozdiel od starších systémov majú cloudové ERP integrované bezpečnostné funkcie, ktoré môžu byť automatizované na odosielanie oznámení a zabraňujú neautorizovaným príkazom, ako sú prevzatia alebo exporty dát.

Najlepšie postupy v oblasti zabezpečenia kybernetického ERP

Mnohé problémy a riešenia, o ktorých sme diskutovali, sa týkajú širších bezpečnostných stratégií na optimalizáciu vašich ľudských a technologických zdrojov vo svete počítačovej kriminality. Nasledujú niektoré ďalšie základy osvedčených postupov, ktoré vám pomôžu získať čo najviac zo služieb a výhod spojených s funkciami a funkciami zabezpečenia cloudového systému ERP:

• Zaisťuje uplatňovanie dohôd o úrovni služieb v záujme kontinuity podnikania, obnovenia po havárii a funkcií súvisiacich s prevádzkou. Cloudové nástroje môžu pomôcť integrovať tieto dohody na jednom mieste v rámci globálnych operácií a automatizovať aktualizácie.
• Vykonajte hyperscaler, audity tretích strán. Tieto nezávislé audity tretích strán sú nevyhnutné na zabezpečenie súladu medzi podnikmi vo všetkých fázach a na podporu činností, ako je certifikácia modelu splatnosti v oblasti kybernetickej bezpečnosti (CMMC) a úsilie o získanie nulovej dôveryhodnosti.
• Šifrovať všetky svoje dáta a zamerať sa na posilnenie procesov, protokolov a riadenia projektov pre všetky tímy zapojené do bezpečnostných postupov ERP. Najmä v oblastiach správy opráv, konfigurácie zabezpečenia, kontroly zraniteľnosti a správy hrozieb.
• Urobte potrebné konzultačné investície do externých odborníkov na kybernetickú bezpečnosť na svetovej úrovni, aby ste zabezpečili, že všetky vaše tímy budú mať prehľad o svojich úlohách a zodpovednostiach v oblastiach znižovania rizika.
• Uistite sa, že vo vašom podniku bolo implementované monitorovanie 24 hodín denne a 7 dní v týždni a proaktívna správa zabezpečenia, aby sa zlepšila schopnosť reagovať na incidenty. To zahŕňa vaše ERP a všetky systémy, zariadenia alebo IoT aktíva, z ktorých môže hacker získať prístup.
• Použite doménový testovací prístup ERP na zabezpečenie konzistentného a replikovateľného testovacieho procesu na riešenie bežných hercových vektorov na celom útočnom povrchu.

Ďalšie kroky k lepšiemu zabezpečeniu ERP

Počítačová kriminalita sa týka nás všetkých a ak majú podniky proti nej bojovať, musia zaujať mnohostranný prístup. Cloud ERP technológie sú skvelým miestom na začatie – poskytujú podnikom jednotnú základňu, z ktorej môžu koordinovať a automatizovať výkonnú a efektívnu obranu.

Ale nakoniec, vaša kybernetická bezpečnosť začína a končí s vašimi ľuďmi. Vedúci a zamestnanci vášho tímu sú súčasťou riešenia, ale nemožno od nich očakávať, že si to sami vymyslia. Dobrým prvým krokom na vašej ceste ERP kybernetickej bezpečnosti je vytvorenie komunikačných a školiacich plánov, ktoré zahŕňajú zaujímavých odborníkov, praktické učenie, vizuálne a praktické plány lekcií a dokonca aj niektoré reálne príklady toho, čo sa môže stať, keď sa to pokazí. Dôležité sú osobitné opatrenia v oblasti odbornej prípravy a certifikácie, ale zároveň sa najlepšie usilujú o zvýšenie celkového povedomia a záujmu o túto tému.

Digitálna bezpečnosť je teraz hlavnou súčasťou celého nášho života, takže prečo neurobiť z učenia sa o kybernetickej bezpečnosti pútavý a zaujímavý zážitok?