Системы класса ERP (Enterprise Resource Planning — планирование ресурсов предприятия) используются для оптимизации бизнес-процессов и позволяют эффективно связывать между собой многие важные операции; однако сведение воедино множества корпоративных данных — это не только удобство, но и неизбежные риски, примером борьбы с которыми послужит SafeERP Suite от компании «Газинформсервис».
- Введение
- ERP-система выгодна, даже если у вас малый бизнес
- Использование ERP-систем сопряжено с рисками
- Защищаем ERP-систему с помощью SafeERP Suite
- Выводы
Введение
Теория профессиональной коммуникации утверждает, что всякая организация имеет множество внешних и внутренних связей, которые образуют ее «нервную систему» и определяют то, насколько эффективно она будет функционировать. Действительно, шансы компании преуспеть напрямую связаны с тем, насколько быстро и точно передается информация — причем не только наружу (контрагентам или клиентам), но и внутри, между отделами и филиалами.
Небольшое предприятие может управлять бизнес-процессами «вручную», поскольку в малом масштабе легко обмениваться данными. Однако по мере того, как компания увеличивается, поддерживать связи становится труднее, и встает закономерный вопрос о призыве на помощь информационных технологий. Кто-то справляется сам, создавая программное обеспечение собственными силами или надстраивая самописные модули поверх CMS либо системы бухгалтерского учета; кто-то прибегает к готовым решениям.
Популярный вариант такого готового решения — ERP-система, которая превращает отдельные элементы компании в целостный организм. Производство, финансы, товарные склады, кадры — все это становится частью единой информационной сети и получает таким образом возможность взаимодействовать друг с другом без ошибок и сбоев. Однако у любой подобной структуры есть свои уязвимые места, а следовательно, ее нужно защищать от угроз. Именно об этом нам предстоит поговорить сегодня.
ERP-система выгодна, даже если у вас малый бизнес
Разработчики программных продуктов этого класса рассказывают истории успеха, в которых от внедрения ERP-систем выигрывают и небольшие компании. Для среднего или крупного бизнеса решение такого рода превращается едва ли не в обязательный элемент организационной структуры, потому что без него ведение дел начинает страдать отсутствием порядка и координации. Как мы уже отметили, настоящая ERP-система используется не всегда, однако в любом случае существует нечто исполняющее схожие функции. Кстати, толчком для миграции на ERP-систему часто служит растущая неэффективность этого «заменителя».
ERP-система — это программный продукт, который реализует маркетинговую стратегию ERP и по сути предназначен для эффективного администрирования (в силу чего такие решения иногда называют «система управления предприятием», хотя с точки зрения перевода это не совсем верно). Он рассчитан прежде всего на компании, имеющие собственное производство, однако может применяться и в других областях — например, в продажах. Специалисты обычно говорят по этому поводу, что внедрять ERP-систему нужно в соответствии с главным направлением деятельности организации.
Структурно ERP-система состоит из ядра и нескольких модулей, которые способны как взаимодействовать между собой, так и функционировать автономно (т. е. изъятие или отключение любого модуля никак не отражается на работоспособности всех остальных). Спектр доступных модулей обычно охватывает все основные стороны и элементы предприятия: уже упоминавшееся производство, финансы, управление персоналом, логистику и т. п. Кроме того, существуют модули для взаимодействия с клиентами — например, интернет-магазин.
Именно модульная структура и масштабируемость делают ERP-систему удобной. Эффективной же она становится потому, что все аспекты деятельности компании привязываются к единой БД, а из коммуникаций исчезает влияние человеческого фактора. Например, данные складского учета всегда доступны и финансовому департаменту, и отделу продаж, причем в режиме реального времени — а следовательно, нейтрализуются многие проблемы взаимодействия между подразделениями.
Кажется логичным, что интерес к таким решениям возрастает. Согласно данным Росстата, затраты организаций на программное обеспечение неуклонно увеличиваются (ниже приведен состав распределения этих затрат), и, например, в 2016 г. примерно 15,9% организаций использовали специальное программное обеспечение для управленческой деятельности компании.
Рисунок 1. Фрагмент данных Росстата о распределении затрат организаций на инфокоммуникационные технологии
Для управления корпоративными ресурсами предприятия используют различные комплексные системы. Аналитическая компания Panorama Consulting Solutions приводит ряд причин выбора систем управления и статистику по ним, которые представлены ниже.
Рисунок 2. Причины выбора информационных систем управления предприятием по данным Panorama Consulting Solutions
Общемировой рынок систем ERP резко изменился в 2017–2018 годах:
- По данным аналитического агентства Panorama Consulting, спрос на ERP-системы изменился в сторону облачных и сервис-ориентированных решений.
- Согласно отчету IDC, 2017 год ознаменовался ростом интереса к облакам не только со стороны потенциальных потребителей, но и со стороны компаний, способных сделать серьезную заявку в качестве поставщиков облачных услуг.
Российский рынок систем ERP пока придерживается более традиционных On-Premise-решений, но под влиянием общего тренда начинает рассматривать облачные продукты. По данным Росстата, доля организаций, использующих ERP-системы, растет и на 2017 год составляет 12,2% от всего количества зарегистрированных организаций РФ.
Использование ERP-систем сопряжено с рисками
Независимо от исполнения — коробочного или облачного — программное обеспечение для ERP создает некоторые проблемы безопасности, которые обусловлены его сущностью.
Основной уязвимостью такого продукта является его главное достоинство — централизация. Напомним, что обычно ERP-система имеет единую базу данных, к которой обращаются разные подразделения, и вполне естественно, что в результате подобного подхода вся важная информация компании оказывается собранной в одном месте. Облегчая совместную работу отделов организации, единая БД одновременно упрощает задачу потенциального злоумышленника, поскольку вместо множества разрозненных активов ему достаточно получить доступ к одному источнику ценных сведений.
Кроме того, ERP-система сложна. В частности, если в большинстве обычных информационных систем достаточно создать несколько глобальных групп пользователей и наделить их общими правами, то здесь все та же единая база обеспечивает доступ пользователя к разнородным и многообразным данным, далеко не все из которых ему полагается видеть и обрабатывать. Соответственно, такая конструкция нуждается во многоуровневой и разветвленной системе пользовательских привилегий — вплоть до того, что может понадобиться выставлять разрешения и запреты по каждому конкретному виду действий для определенного пользователя. Это, конечно, крайний случай, но тем не менее пользовательские права здесь требуют большого внимания.
Этот вопрос связан и с инсайдерской угрозой. Пользователи, которые ежедневно работают с ERP-системой, рано или поздно обнаруживают незапланированные особенности конфигурации, позволяющие выходить за пределы полномочий или совершать мошеннические действия. Мы писали об этом два года назад.
Если ERP-система является облачной, то следует добавить к списку потенциальные проблемы, связанные с использованием публичной сетевой инфраструктуры. Мы уже писали, что делегирование вычислений в среду, которая находится под чужим контролем, требует дополнительных мер безопасности, которые могли бы компенсировать возможные недосмотры со стороны провайдера облачных услуг.
Отметим также, что системы управления предприятием имеют давнюю историю и активно изменяются, причем на уровне как базовой системы, так и отдельных функциональных модулей, над которыми трудятся различные команды разработчиков, действующие порой в условиях нехватки ресурсов. Из-за этого неизбежны программные изъяны, свойственные любому сложному программному продукту. Например, еще в 2015 году аналитики предупреждали о том, что нефтегазовые компании подвержены атакам через уязвимости в ERP. В такой ситуации вопрос обеспечения безопасности данных и бизнес-процессов предприятия становится очень актуальным.
Кроме того, коль скоро ERP-система имеет модульную структуру, важно, чтобы ее защита обеспечивалась так же бесшовно, как и вся остальная ее функциональность. Желательно, чтобы защитное решение учитывало специфику конкретного продукта и обеспечивало эффективное администрирование, а также содержало инструменты, соответствующие специфике ERP-системы. Обратим внимание на практику подобной работы, взяв за основу программное обеспечение SafeERP Suite.
Защищаем ERP-систему с помощью SafeERP Suite
В настоящее время основное количество продуктов для обеспечения безопасности ERP-систем выполнено как профильные решения с широкими возможностями и глубокой проработкой политик и проверок. На рынке существуют и универсальные продукты, закрывающие много задач, но они характеризуются меньшей функциональностью.
Продукт SafeERP Suite производства компании «Газинформсервис» относится к линейке профильных продуктов. Он обеспечивает защиту SAP-систем, размещенных на платформах ABAP, Java, HANA и BI. Продукт предлагается на базе SAP Netweaver и бесшовно встраивается в SAP-инфраструктуру заказчика, агенты устанавливаются в качестве SAPP Add-on на системы заказчика и позволяют контролировать соответствие конфигураций систем установленным требованиям, выполнять контроль целостности объектов и проводить синтаксическую проверку программного кода ABAP.
Рисунок 3. Схема устройства и работы продукта SafeERP Suite
Консоль управления для администратора безопасности позволяет контролировать состояние наблюдаемых систем, а также выполнять системные проверки (Audit) и контроль соответствия стандартам (Compliance). Для формирования регулярных отчетов проверки можно запускать по расписанию.
Продукт имеет удобные интерфейсы управления, которые изображены ниже.
Рисунок 4. Управление на основе стандартного SAP-интерфейса
Рисунок 5. Выбор сценария системной проверки в SafeERP Platform Security
Рисунок 6. Управление на основе интерфейса SAP Fiori
В рамках проекта внедрения выполняется интеграция продукта с BI- и SIEM-системами для анализа результатов проверок.
Рисунок 7. План-схема интеграции SafeERP Suite
Программный комплекс SafeERP Suite обладает следующими достоинствами:
- Простая интеграция в SAP инфраструктуру как add-on.
- Агенты для SAP NW, SAP Java, SAP HANA.
- Большое и актуальное количество проверок.
- Доступ ко всему репозиторию системы SAP и, как следствие, возможность проверки вложенности программных пакетов.
- Возможность встраивания в транспортную систему ландшафта SAP.
- Настройка и работа со всем SAP-ландшафтом из единой консоли управления.
- Регулярные обновления в соответствии с выпуском SAP Note.
- Удобный русскоязычный интерфейс и рекомендации по недостаткам.
Продукт регулярно обновляется, как функционально, так и качественно. В октябре 2018 года компанией «Газинформсервис» выпущена новая версия продукта, SafeERP Suite 4.5.0, в которую включена новая функциональность:
- проверка объектов полномочий транзакций SAP,
- изменен формат вывода отчетов, для работы с большими объемами данных,
- обновлены профили проверок на соответствие требованиям стандартов ФЗ-152, GDPR, HIPAA, OWASP ASVS.
Выводы
Современные информационные технологии создают много интересных возможностей для того, чтобы оптимизировать корпоративные коммуникации и повысить их эффективность. Предприятие, которое ориентировано на рост и на успешную конкурентную борьбу, непременно будет изучать такие возможности и применять их, поскольку скоростное, безошибочное и надежное взаимодействие между подразделениями и филиалами становится требованием времени.
Откликом на потребности такого рода становится рост рынка ERP-систем, которые разрабатываются специально для решения подобных задач и совершенствуют ведение дел в бизнесе любого размера. Однако в теории защиты информации известно, что удобство и безопасность часто противоречат друг другу, и те достоинства, которые обеспечивают привлекательность ERP-систем, могут обернуться изъянами в обороне важных данных компании.
Поэтому программные продукты этого класса, как и любые другие информационные активы, нуждаются в охране. Подбирая для них защитное решение, следует обращать внимание не только на функциональность, но и на вопросы совместимости, интеграции и учета нормативных требований. При правильном подходе к обеспечению безопасности такой продукт позволит убедиться в том, что ERP-система правильно настроена, а все меры, предписанные политикой безопасности, приняты.
Благодарим Владимира Романова — менеджера по продукту SafeERP компании «Газинформсервис», выступившего соавтором данной статьи.