Сучасні функції безпеки ERP розвиваються та вдосконалюються щодня. Так чому підприємства відчувають себе більш розкритими, ніж будь-коли раніше? Частково це відбувається завдяки швидкому прискоренню цифрових і хмарних технологій. До 2025 року IDC прогнозує, що кількість пристроїв IoT зросте до понад 30 мільярдів— і продовжує зростати в геометричній прогресії. Багато з цих пристроїв є частиною мереж Industrial Internet of Things (IIoT) компаній, і, як правило, вони подають дані в центральну ERP-систему. У наші дні сучасна хмарна ERP є критично важливою для більшості підприємств, допомагаючи об'єднати всі бізнес-операції за єдиною системою. Тим не менш, ця основна функція також може бути слабкістю, коли справа доходить до кібербезпеки, що робить його єдиним порталом в багато критичної інформації.

Сучасні виклики безпеки ERP та програмного забезпечення

Традиційних підходів до кібербезпеки вже недостатньо. Ідея побудови безпечного периметра навколо конкретних ІТ-активів або баз даних, а потім обмеження і контроль доступу, не ефективна в хмарній екосистемі.

У хмарному ERP-середовищі організації відновлюють свій підхід до безпеки, оскільки вони поділяють більше відповідальності з публічними хмарними провайдерами, і тому менше зосереджуються на інфраструктурі та більше на обов'язках на стороні додатків, якими вони продовжують володіти.

Рансомпрограми та фішингові атаки є швидко зростаючим викликом. Оскільки ERP інтегровані в інші відділи, існує більша кількість користувачів з авторизованим доступом, що для хакерів означає багатший мисливський майданчик для фішингових цілей. Широка операційна інтеграція ERP також означає ширший обсяг і діапазон цінних даних, що містяться в ERP, що також підвищує її значення як ціль злому. Крім того, з застарілими ERP-системами, спроби розширити інтеграцію ERP в нові відділи часто вимагають болтів і користувацького кодування, які можуть служити для збільшення потенційної поверхні атаки. Іншими словами: в більшій кількості місць є більш слабкі місця. Це ускладнюється збільшенням віддалених і гіг-працівників, які потребують зовнішніх точок доступу.

Кіберзлочинці можуть викрасти і вимацати, але вони також можуть відключити основні системи і призупинити цілі операції. Великі організації (зокрема, у таких секторах, як фінанси та страхування, виробництво, бізнес-послуги та охорона здоров'я) вже давно є мішенню, однак малий і середній бізнес все частіше зазнає нападу — часто через брак ресурсів безпеки та досвіду.

На які типи даних ERP націлені кіберзлочинці?

Хакери крадуть всілякі дані з усіляких причин. Але здебільшого корпоративні кіберзлочинці — це після даних, включаючи дані ERP, які найбільш швидко можуть бути монетизовані, або шляхом вимагання самої компанії, або шляхом шахрайства — або іншим чином пошкодити — клієнтів або осіб, названих у викрадених даних. Це може призвести до спроб прямого доступу до коштів через порушення кредитних карток або грошові перекази. Але оскільки фінансові та ERP бази даних, як правило, є одними з найбільш добре захищених, хакери, як правило, завдають шкоди, отримуючи доступ до інших типів більш доступних даних.

Додатковий рівень ризику для бізнесу пов'язаний не тільки з збитками, завданими їхнім прибуткам, репутації та клієнтам, але й через ризик колективних судових позовів, поданих тими особами, названими в викрадених даних. У випадках, коли ці дані включають конфіденційну особисту, юридичну або медичну інформацію людей, збиток від судових розглядів може бути непоправним.

Топ-7 проблем безпеки ERP та способи їх усунення

1. Застаріле програмне забезпечення

Кращі ERP провайдери невпинно борються з новими та новими ризиками безпеки. У будь-який момент виявлення такого ризику розробляється і поширюється на клієнтів патч безпеки. У минулому деякі підприємства ігнорували або відкладали впровадження цих оновлень на тривалий період часу, залишаючи свої системи вразливими. Це особливо актуально у випадку старих ERP, які зазнали численних налаштувань і обхідних шляхів, що робить реалізацію патча більш проблематичною для управління.

Виправлено: оновлення та патчі безпеки потрібно впроваджувати регулярно, незважаючи на ризик відключень і простоїв, тому що постійно з'являються нові загрози. Застосування патчів і оновлень для локальної ERP вимагає підходу, заснованого на ризиках, щоб визначити пріоритети тих, хто має більшість наслідків для безпеки, і хоча це не простий або не руйнівний процес, є ключовим у зниженні ризиків. Це стосується і тих, хто має гібридний ERP-ландшафт.

З хмарним програмним забезпеченням ERP, розповсюдження та впровадження патчів – це безперебійний процес, який йде за лаштунками від постачальника послуг без будь-яких збоїв у бізнесі. Крім того, автоматизоване керування виправленнями, яке постачається в хмарному розгортанні ERP, може допомогти забезпечити дотримання постійно мінливих правил відповідності та управління.

2. Проблеми повноважень

У сучасному діловому кліматі, HR, IT та інших командних менеджерах тиснуть, щоб нові користувачі могли якомога швидше працювати, що може призвести до недостатньої жорсткості під час видачі дозволів ERP або навіть деактивації їх під час виходу працівників з компанії. Застарілі ERP-системи часто піддаються більшому ризику для цієї ситуації через застарілі можливості автентифікації та відсутність автоматизованих потоків операцій, що підтримують авторизацію.

Виправлено: Сучасні ERP-системи побудовані з урахуванням ризику, включаючи властиві можливості надання та автентифікації, а також робочий процес, який є складним, але простим у використанні. Крім того, підприємства можуть впроваджувати більш широку наскрізну безпеку, використовуючи інструменти управління доступом до ідентифікації.

3. Недостатня підготовка до безпеки

Обхід навчальної пам'ятки з вашою офіційною політикою фішингу не такий, як координація регулярних інтерактивних навчальних сесій з усіма вашими командами. Насправді, в недавньому опитуванні 78% організацій, які відчували, що їх методів навчання достатньо для усунення фішингових ризиків, були здивовані тим, що 31% їхніх співробітників провалили базовий фішинговий тест. Слабкі паролі, відсутність підкованості фішингу та погано зрозумілі протоколи безпеки означають, що навіть ваші найвідданіші та найстаранніші співробітники можуть мимоволі наражати ваш бізнес на небезпеку.

Виправлено: багатьом співробітникам просто не вистачає обізнаності про те, як їхні невинні дії можуть спричинити ризик або шкоду. Не залишайте навчання кібербезпеки неправильним людям, а також не ставте його на порядок денний проти інших пріоритетів. Працюйте з професіоналом, щоб провести аудит ризиків у вашому бізнесі, щоб дізнатися, де можуть ховатися найслабші охоронні посилання. Працюйте з керівниками вашої команди, щоб будувати регулярні навчальні плани, які відповідають їхнім конкретним потребам. Впроваджувати автоматизовані графіки для кожного відділу, з датами тестування, поновленням сертифікатів та поновленням курсів підвищення кваліфікації.

4. Дефіцит досвідченого персоналу служби безпеки ERP

Для компаній, які працюють із застарілим програмним забезпеченням ERP, ІТ-команди повинні повністю розуміти свої конкретні та безліч ризиків безпеки ERP, а також мати можливість запускати та впроваджувати найкращі в своєму класі практики безпеки. Це включає виявлення загроз, проведення сканування вразливостей та тестування на проникнення, створення планів реагування на інциденти та інтеграцію новітніх інструментів моніторингу кібербезпеки в застарілі системи. У сучасному кліматі не тільки важко знайти і утримати кваліфікованих фахівців, це також дорого і трудомістко, щоб вписатися в зростаючу кількість навчальних занять, необхідних для того, щоб ІТ-команди могли б прискорити з блискавичними темпами розвитку цифрової безпеки.

Виправлено: Cloud ERP забезпечує величезне полегшення для цього зростаючого занепокоєння. Важкі функції безпеки, такі як моніторинг 24/7 та аварійне відновлення, обробляються постачальником без проблем у хмарі. Більше того, повсякденні та трудомісткіші ІТ-завдання, такі як керування патчами, тестування та оновлення, також можуть бути автоматизовані в хмарі та виконуватися без будь-якого відчутного переривання.

5. Недотримання стандартів безпеки та управління

Оскільки ERP-системи інтегровані в усе більше відділів, обсяг вразливих даних стає все більш різноманітним, включаючи такі речі, як безпечна інформація про продукт, медична документація або інтелектуальна власність. Чим більш чутливі дані (наприклад, фінансові, медичні або юридичні), тим більше шансів мати власні унікальні протоколи безпеки та зберігання. Недотримання цих протоколів може призвести не лише до потенційних порушень цих даних, але й до штрафних санкцій і навіть юридичних наслідків за недотримання.

Виправлено: Сьогодні найкращі ERP — з сучасними базами даних — можуть полегшити централізовану автоматизацію та контроль цілого ряду протоколів відповідності для найрізноманітніших типів даних. Це означає, що ІТ-команди можуть працювати з профільними спеціалістами по всьому бізнесу, щоб спочатку визначити правильні стандарти безпеки, а потім автоматизувати системи та інструментальні панелі користувача, щоб забезпечити дотримання правильних протоколів.

6. Однофакторна автентифікація

Однофакторного (одиничного пароля або коду доступу) просто недостатньо. Хоча в наші дні більшість підприємств знають про цей факт, більше 40% організацій все ще не використовують двоетапну автентифікацію на всіх потенційних точках входу ERP. Іншими словами, немає сенсу захищати ваші найбільш очевидно важливі дані з двофакторною (2FA) автентифікацією, якщо інші пов'язані речі, такі як пристрої IoT або відомчі програми, залишаються вразливими з однокроковими паролями.

Виправлено: Для підприємств усіх розмірів важливо негайно впровадити протоколи 2FA (включаючи токени безпеки або біометричні сканування) у всіх потенційних точках входу ERP. Це просте, недороге виправлення, що вкрай важливо.

7. Експорт даних

Незважаючи на офіційні протоколи, користувачі люблять вкладати речі в електронні таблиці або зберігати їх в інших форматах, а ризики експорту даних залишаються проблемою для бізнесу.

Виправлено: Компанії можуть контролювати це дещо, блокуючи завантаження Excel або відстежуючи дії користувача в базі даних. Але в кінці дня найкращим способом захисту від експорту даних, є обмеження кількості людей, які мають доступ до вразливих даних. За допомогою сучасної ERP керівники відділів можуть легко визначити і встановити не тільки того, хто може бачити, що, але і які елементи набору даних вони можуть отримати доступ і переглядати. На відміну від застарілих систем, хмарні ERP мають інтегровані функції безпеки, які можна автоматизувати для надсилання сповіщень і запобігання несанкціонованим командам, таким як завантаження або експорт даних.

Найкращі практики кібербезпеки ERP

Багато питань і виправлень, які ми обговорювали, стосуються ширших стратегій безпеки для оптимізації ваших людських і технологічних ресурсів у світі кіберзлочинності. Нижче наведено деякі додаткові основи найкращих практик, які допоможуть вам отримати максимум від послуг та переваг, пов’язаних із функціями та функціями безпеки хмарного ERP:

• Переконайтесь, що угоди про рівень сервісу діють для безперервності бізнесу, можливості аварійного відновлення та безвідмовної роботи. Хмарні інструменти можуть допомогти інтегрувати ці угоди в одному місці, в рамках глобальних операцій і автоматизувати оновлення.
• Проведення гіперскалейлеру, сторонніх аудитів. Ці незалежні сторонні аудити мають важливе значення для забезпечення міжділової відповідності на всіх етапах та підтримки таких речей, як сертифікація моделі зрілості кібербезпеки (CMMC) та зусилля Zero Trust.
• Шифруйте всі ваші дані та зосередьтеся на зміцненні процесів, протоколів та управління проектами для всіх команд, які беруть участь у практиках безпеки ERP. Зокрема, у сферах управління виправленнями, конфігурації безпеки, сканування вразливостей та управління загрозами.
• Зробіть необхідні консультаційні інвестиції в зовнішніх експертів з кібербезпеки світового рівня, щоб переконатися, що всі ваші команди добре розбираються в своїх ролях і обов'язках у сферах зниження ризиків.
• Переконайтеся, що моніторинг 24/7 та проактивне керування безпекою було впроваджено у вашому бізнесі, щоб покращити швидкість реагування на інциденти. Це включає в себе вашу ERP і будь-які системи, пристрої або IoT активи, з яких хакер може отримати доступ.
• Використовуйте метод тестування ERP на основі домену, щоб забезпечити послідовний і відтворюваний процес тестування для вирішення загальних векторів акторів по всій поверхні атаки.

Наступні кроки для покращення безпеки ERP

Кіберзлочинність впливає на всіх нас, і якщо бізнес має боротися з нею, вони повинні використовувати багатосторонній підхід. Хмарні технології ERP – це чудове місце для початку – надання бізнесу єдиної бази, з якої можна координувати та автоматизувати потужну та ефективну оборону.

Але врешті-решт ваші зусилля з кібербезпеки починаються і закінчуються з вашими людьми. Ваші керівники та працівники команди є частиною рішення, але їх не можна очікувати, щоб зрозуміти це самостійно. Хорошим першим кроком на шляху до кібербезпеки ERP є побудова комунікаційних та навчальних планів, до яких залучаються цікаві експерти, практичні навчальні, візуальні та практичні плани уроків, і навіть деякі реальні приклади того, що може статися, коли це піде не так. Специфічні заходи з навчання та сертифікації є важливими, але це також найкраще працює для підвищення загальної обізнаності та інтересу до теми.

Цифрова безпека зараз є важливою частиною всього нашого життя, тому чому б не зробити вивчення кібербезпеки захоплюючим і інтригуючим досвідом?