7 biztonsági problémaforrás az ERP-rendszereknél
A kiberbűnözők lophatnak és zsarolhatnak, de alapvető fontosságú rendszereket is tönkre tehetnek. A nagyobb méretű vállalatok már régóta célpontnak számítanak, azonban napjainkban a kis- és középvállalkozásokat is egyre gyakrabban érik támadások. A modern ERP-rendszerek biztonsági funkciói napról napra fejlődnek és javulnak, de mutatjuk, hol lehet még rés a pajzson!
1. Elavult szoftver
A legnagyobb ERP szolgáltatók könyörtelenül harcolnak az újabb és újabb biztonsági kockázatok ellen. Bármikor, amikor ilyen jellegű problémát azonosítanak, biztonsági javítást fejlesztenek ki és terjesztenek el az ügyfelek között. Azonban hiába minden törekvés, ha egyes vállalkozások figyelmen kívül hagyják vagy hosszú időn keresztül késleltetik ezeknek a frissítéseknek a végrehajtását. Így rendszerük sebezhetővé válik. Ez különösen igaz a régebbi ERP-rendszerek esetében, amelyek számos testreszabáson, egyedi fejlesztésen és ráncfelvarráson estek át, ami bármilyen frissítés futtatását jelentősen megnehezíti.
Mivel folyamatosan új fenyegetések jelennek meg a piacon, az egyetlen megoldás, hogy a frissítéseket és a biztonsági javításokat rendszeresen be kell ütemezni. Az esetleges üzemszünetek és a leállások ellenére is. A javítások és frissítések alkalmazása a helyben telepített ERP-hez kockázatalapú megközelítést igényel, de a felhőalapú ERP-szoftverek esetében az ilyen jellegű frissítések zökkenőmentesen zajlanak le a háttérben. A szolgáltató által anélkül, hogy az üzletmenetet megzavarná.
2. Engedélyezési kérdések
A mai üzleti környezetben a HR, az IT és más csapatvezetők nagy nyomás alatt vannak, hogy az új felhasználókat a lehető leggyorsabban munkába állítsák. Ilyenkor előfordulhat, hogy biztonsági rés keletkezik az ERP hozzáférések kiosztásakor. Vagy akár abban az esetben, amikor egy munkavállaló távozik az adott cégtől és a felhasználójának az inaktiválása elmarad. A régebbi ERP-rendszerek gyakran nagyobb veszélynek vannak kitéve ebben a helyzetben az elavult hitelesítési megoldások és az engedélyezést támogató automatizált munkafolyamatok hiánya miatt.
A modern ERP-rendszerek azonban már ezt a kockázatot szem előtt tartva készülnek. Emellett ma már a vállalkozások szélesebb körű, végponttól végpontig terjedő biztonsági beállításokat is megvalósíthatnak.
3. Nem megfelelő biztonsági képzés
A gyenge jelszavak, az adathalászattal kapcsolatos alapvető ismeretek hiánya és a rosszul megértett biztonsági protokollok miatt még a leghűségesebb és legszorgalmasabb alkalmazottak is akaratlanul veszélybe sodorhatják az adott vállalkozást.
Sok alkalmazott egyszerűen nincs tisztában azzal, hogy egyszerű, ártatlannak tűnő cselekedetek milyen módon okozhatnak kockázatot vagy kárt. Érdemes rendszeres, interaktív kiberbiztonsági képzéseket szervezni megfelelő szakemberekkel. Valamint egy kockázati audittal feltárhatók, hol rejtőznek a leggyengébb biztonsági láncszemek.
4. A tapasztalt ERP biztonsági személyzet hiánya
A régebbi ERP-szoftvereket üzemeltető vállalkozások esetében az IT-csapatoknak teljes mértékben tisztában kell lenniük a sajátos ERP biztonsági kockázatokkal. Valamint képesnek kell lenniük a legjobb biztonsági gyakorlatok végrehajtására. Ez magában foglalja a fenyegetések azonosítását, a sebezhetőségi vizsgálatok és behatolástesztek elvégzését, az incidensekre való reagálási tervek elkészítését. Továbbá a legújabb kiberbiztonsági felügyeleti eszközök integrálását az elavult rendszerekbe. Manapság nem csak a képzett szakemberek megtalálása és megtartása nehéz, de a megfelelő képzések is drágák és időigényesek is.
A felhőalapú ERP-rendszerek óriási könnyebbséget jelenthetnek. Az olyan nehéz biztonsági funkciókat, mint a 24/7-es felügyelet és a katasztrófa utáni helyreállítás, a szállító kezeli zökkenőmentesen, a felhőben. Mi több, a napi szintű és időigényesebb IT-feladatok, például a javítások kezelése, tesztelés és frissítések, szintén automatizálhatók a felhőben, és észrevehető megszakítás nélkül zajlanak.
5. A biztonsági és irányítási előírások be nem tartása
Ahogy az ERP-rendszerek egyre több részlegben integrálódnak, a sérülékeny adatok köre egyre változatosabbá válik, beleértve olyan dolgokat, mint a biztonságos termékinformációk, az orvosi feljegyzések vagy a szellemi tulajdon. Minél érzékenyebbek az adatok (például pénzügyi, orvosi vagy jogi), annál valószínűbb, hogy saját egyedi biztonsági és tárolási protokollokkal rendelkeznek. Ha ezeket a protokollokat nem tartják be vagy nem ismerik, az nem csak az adatok lehetséges megsértéséhez vezethet, hanem büntetésekhez és akár jogi következményekkel is járhat.
Ma már a legjobb ERP rendszerek modern adatbázisokkal megkönnyítik a legkülönbözőbb adattípusokra vonatkozó megfelelési protokollok központosított automatizálását és ellenőrzését. Ez azt jelenti, hogy az IT-csapatok az egész vállalaton belül együttműködhetnek a téma szakértőivel a megfelelő biztonsági szabványok kezdeti meghatározásában, majd automatizálhatják a rendszereket és a felhasználói műszerfalakat annak biztosítására, hogy a helyes protokollokat a jövőben is betartsák.
6. Egyfaktoros hitelesítés
Bár manapság a legtöbb vállalkozás tisztában van a ténnyel, hogy egyetlen jelszó nem elég, a szervezetek több mint 40%-a még mindig nem használ kétlépcsős hitelesítést az ERP összes potenciális belépési pontján. Más szóval, nincs értelme a nyilvánvalóan legfontosabb adatokat kétfaktoros (2FA) hitelesítéssel védeni, ha más csatlakoztatott dolgok, például IoT-eszközök vagy részleg alkalmazások sebezhetőek maradnak egylépéses jelszavakkal.
Minden vállalkozás számára elengedhetetlen, hogy azonnal 2FA protokollokat (beleértve a biztonsági tokeneket vagy a biometrikus beolvasást) vezessen be az összes lehetséges ERP-bemeneti ponton. Ez egy egyszerű, alacsony költségű kiegészítés, amely rendkívül fontos.
7. Adatexport
A hivatalos protokollok ellenére a felhasználók szeretik a dolgokat táblázatokba tenni vagy más formátumban elmenteni, és az adatexport kockázatai továbbra is problémát jelentenek a vállalkozások számára. A vállalatok ezt némileg kontrollálhatják az Excel letöltések blokkolásával vagy a felhasználói műveletek adatbázisban történő nyomon követésével. De végső soron az adatexport ellen úgy lehet a legjobban védekezni, ha korlátozzák a sérülékeny adatokhoz hozzáférő személyek számát.
Forrás: SAP
