В раздел «Новости»

Безопасность ERP-системы: 5 угроз, о которых все забывают

21 сентября, 2016
News

В условиях, когда и финансовая информация, и данные о клиентах, и кадровые данные сосредоточены в ERP-системе, именно ERP представляет собой идеальную мишень как с точки зрения инсайдера, так и внешнего злоумышленника.

Одной из основных тенденций развития инфраструктуры крупных компаний является движение от децентрализованной модели к интеграции всех бизнес-процессов в единое целое. Так, в марте 2016 года агентство Gartner опубликовало доклад «ERP эпохи постмодерна», где главный тезис – рост потребности в тщательно подготовленной «постмодерновой» стратегии интеграции приложений, вызванная растущим уровнем сложности портфеля приложений для планирования ресурсов предприятий.

В условиях, когда и финансовая информация, и данные о клиентах, и кадровые данные сосредоточены в ERP-системе, именно ERP представляет собой идеальную мишень как с точки зрения инсайдера, так и внешнего злоумышленника.

5 угроз безопасности данных ERP-системы

По оценкам экспертов, от 60% до 90% инцидентов, связанных с информационной безопасностью на предприятии, происходит по вине сотрудников. В классификации внутренних угроз выделяются две группы: совершаемые из корыстных или других злонамеренных соображений и совершаемые без злого умысла, по неосторожности или технической некомпетентности.

1. Злонамеренная кража данных:
  • «Обиженные» сотрудники, затаившие злобу на компанию-работодателя, действующие исходя из мотивов личной мести, причин для которой может быть множество – от увольнения или понижения в должности до отказа компании предоставить желаемые блага, например, ноутбук или расширенный социальный пакет.
  • Нечистые на руку сотрудники, стремящиеся заработать за счёт компании-работодателя, например, используя базы данных клиентов, информацию о планируемых сделках либо в личных интересах, либо продаваться конкурентам.

2. Проблема разделения полномочий (SoD) и настройки ролей доступа - сотрудники могут совершить транзакцию без содействия других пользователей, а также получают доступ к большему объему конфиденциальной информации, чем требуется для выполнения их задач, что крайне рискованно для бизнеса. Реализация такой угрозы может привести к совмещению функции ввода и контроля правильности платёжных документов или к совмещению функции выделения средств и контроля за расходами.

3. Злоупотребления легальными правами доступа. Исследования показывают, что 10% сотрудников используют доступ к корпоративным данным в личных целях. Данный факт редко признают руководители компаний, но именно он является причиной ряда нарушений информационной безопасности предприятий. Мониторинг и отчетность по злоупотреблениям – непростая задача, однако она должна стать неотъемлемой частью обеспечения безопасности ERP-системы.

Хотя к нарушениям безопасности чаще приводят внутренние риски, внешние угрозы безопасности ERP-систем также растут. Широкое распространение облачных технологий дало возможность сотрудникам работать в ERP где бы они ни находились, с любых устройств, при наличии доступа в Интернет. В результате злоумышленники могут войти в ERP-систему, используя онлайн-обновления, веб-службы, мобильные приложения и узлы связи интернет-магазинов.

4. Киберпреступления. Цель хакеров — промышленный шпионаж, саботаж и финансовые махинации, и чтобы решить эти задачи, они ищут доступ к финансовым данным, заказам на закупку и системе оплат. Такова сегодняшняя реальность, и число хакерских атак постоянно растет. В ряде случаев кража информации из ERP-систем приводила к оплате поддельных счетов и значительным финансовым потерям. Исследования показывают, что киберпреступность наносит ощутимый ущерб 6% компаний.

5. Увеличение числа подключаемых устройств и точек доступа. Одним из главных факторов риска в последние годы стало широкое распространение таких инноваций, как облачные технологии и Интернет вещей (IoT), которые создают множество дополнительных возможностей доступа в корпоративные сети и ERP-системы. Смартфоны, планшеты, платежные терминалы, POS-системы, веб-сервисы становятся новыми точками входа во внутренние бизнес-системы.

ERP-решения, как никакие другие системы, связаны со всей инфраструктурой предприятий – системой управления жизненным циклом продукции (PLM), системами автоматизированного проектирования (CAD), управления продажами, электронной коммерции, порталами услуг. Чем больше точек доступа, тем выше риски. В худшем случае преступники, которые взяли в свои руки управление ERP-системой, могут полностью блокировать ваш бизнес.

Как Columbus помогает обеспечить безопасность ERP?

Columbus предлагает встраиваемое решение Dynamic Security Management, которое позволяет снизить угрозу данных ERP-систем, реализуя принцип разделения полномочий (SoD), а также значительно упрощает настройку ролей и прав доступа. Решение обеспечивает необходимую степень защиты ключевой информации, контролируя то, к каким данным каждый из пользователей имеет доступ. DSM сопоставляет список обязанностей, соответствующих ролям доступа, с описаниями элементов безопасности Microsoft Dynamics AX, что позволяет легко и быстро создавать роли безопасности для конечных пользователей.

Компании, использующие DSM, в любой момент могут получить полный обзор прав доступа пользователей Microsoft Dynamics AX. При этом в случае любых организационных изменений, используя DSM, вы имеете возможность легко внедрять любые усовершенствования и учитывать изменения политики безопасности, всегда поддерживая систему ролевого доступа в актуальном состоянии.

Преимущества использования Dynamic Security Management:

  • Расширенная защита от внутренних злоумышленников;
  • Автоматизация предоставления прав доступа: уменьшение ошибок персонала, предотвращение мошенничества;
  • Разграничение прав доступа: пользователь видит только то, что необходимо для его работы;
  • Автоматический сбор информации об использовании данных;
  • Ведение корректного журнала ролей безопасности;
  • Исчерпывающие данные для ИТ-аудита, полная и детализированная история доступа к данным ERP-системы;
  • Оптимизация количества и стоимости приобретаемых пользовательских лицензий, за счет механизма определения необходимого типа лицензий для выполнения обязанностей.