Компания САП СНГ (SAP CIS) подвела итоги за 2010 год, как рассказал генеральный директор российского подразделения SAP Владислав Мартынов, рост оборота компании составил 53%, а рост продаж ПО 84%. SAP CIS отмечает, что одним из важнейших факторов роста стала новая стратегия направленная на развитие партнеров, занимающихся внедрением системы, развитием новых стратегических сегментов (финансовый сектор, госсектор и торговля), а также фокусом компании на рынок среднего бизнеса (компании, не входящие в топ 400 согласно оценкам РА Эксперт).
В ходе сессии ответов на вопросы мы затронули тему безопасности SAP-приложений, о которой уже писали на нашем сайте. Мартынов отметил, что "так как приложения SAP охватывают критические для бизнеса процессы, компания SAP уделяет повышенное внимание задачам безопасности своих приложений на протяжении 38 лет существования компании на рынке". Также по словам Мартынова существует отлаженный механизм реакции разработчика ПО SAP на информацию о уязвимостях, исходя из критичности и уровня угрозы бизнесу клиентов.
Несмотря на уже сложившийся порядок решения вопросов безопасности SAP-приложений на рынке безопасности и в специализированной прессе отмечается всплеск интереса к данной теме со стороны независимых лабораторий, занимающихся поиском и публикацией уязвимостей SAP-приложений, появление услуг по аудиту безопасности SAP-систем, поглощение компанией SAP AG разработчиков в области информационной безопасности.
По оценкам Anti-Malware.ru тенденция перехода компаний среднего бизнеса на системы на платформе SAP может потребовать повышенного внимания к вопросам безопасности непосредственно в ходе внедрения и поддержки информационных систем, как, в первую очередь со стороны клиентов, так и со стороны поставщиков ПО и услуг по внедрению и поддержке SAP-систем. Это обусловлено рядом факторов, начиная от ограниченных ресурсов, которые может выделить средний бизнес на организацию подразделений занимающихся безопасностью, заканчивая тем, что практически все такие компании работают в жесткой конкурентной среде и с развитием кибер-преступности больше подвержены угрозам "утечки" критичных для бизнеса данных.
Для того, чтобы ответить на новые вызовы, компаниям придется уделять больше внимания подбору и обучению специалистов, которые решают задачи на стыке областей информационной безопасности и поддержки бизнес-приложений. Это в равной мере относится как к компаниям-клиентам, так и к интеграторам, осуществляющим внедрение системы. В связи с восстановлением экономики от потрясений, связанных с кризисом 2008 года, на рынке труда SAP наблюдается существенная нехватка специалистов, в том числе и по администрированию систем SAP (SAP Basis Cоnsultant), при этом опыт участия в комплексных проектах по построению непрерывного процесса обеспечения безопасности SAP-приложений имеют немногие. Поэтому задачи, связанные с обеспечением безопасности передаются не связанным с внедрением и поддержкой SAP-приложений подрядчикам и специалистам.
Из-за нехватки "смежных" компетенций возникают неуправляемые риски по безопасности критической для бизнеса информации:
- компрометация паролей существующих пользователей, имеющих доступ к критическим процессам и информации (Onapsis - SAP Security In-Depth Vol. 1 - The Risks of Downwards Compatibility)
- использование технических пользователей с паролями и полномочиями по умолчанию (default users) для несанкционированного доступа в ряде SAP-приложений (Onapsis - SAP Security In-Depth Vol. 2)
- использование уязвимостей в пользовательских (Z) программах, ответственность контроль данного риска полностью лежит на специалистах клиента и системного интегратора, осуществляющего внедрение
- использование уязвимостей в стандартной конфигурации продуктов SAP, данный риск усугубляется недостаточно быстрой реакцией на уязвимости, например, несвоевременная установка критических обновлений и нерегулярный апдейт последнего доступного уровня версии приложения (patch level).
Для автоматического мониторинга уровня версий приложений SAP (для управления риском 4) используется специализированный продукт SAP Solution Manager, внедрение которого для предприятий не имеющих разветвленной сети систем или множества одновременно идущих ИТ проектов в большинстве случаев не является экономически целесообразным.
Для управления рисками, связанными с ролями и полномочиями (риски 1 и 2), на рынке представлен другой продукт SAP GRC (SAP solutions for governance, risk and compliance), внедрение которого требует отдельных вложений.
Таким образом предприятиям среднего бизнеса, работающим в рамках одной SAP-системы и не готовых стартовать проекты по управлению инфраструктурой SAP в вопросах технической реализации задач по управлению ролями и полномочиями пользователей и поддержки актуального уровня системы и установки критических обновлений остается полагаться на квалификацию консультанта по базису, а также регламентов по безопасности и поддержке SAP систем, в которых своевременно были учтены риски, связанные с безопасностью SAP-приложений.
Ситуация с вопросами, связанными с уязвимостью пользовательских приложений (риск 3), несколько сложнее. Рынок сканеров уязвимостей систем SAP сейчас находится в зачаточном состоянии, вследствие этого данный инструмент широко применяемый в других областях, сейчас практически не используется. Тем самым критичность и вероятность риска напрямую связана с квалификацией не только администраторов SAP-приложений, но и с грамотностью разработчиков ABAP/4.
В силу сложности системы, а также сложившейся обособленностью экспертизы в области SAP-приложений вопросы, связанные с безопасностью SAP недостаточно изучены и освещены в специализированных изданиях. Данный факт, во многом, является и причиной, и следствием того, что вопросам, связанным с безопасностью SAP-приложений, зачастую уделяется недостаточно внимания при планировании и реализации проектов внедрения SAP, а также при дальнейшей эксплуатации систем на платформе SAP.
Эксперты информационно-аналитического центра Anti-Malware.ru видят свою роль и участие в создании базы знаний по вопросам безопасности SAP-приложений и акцентировании внимания на данную проблему со стороны всех заинтересованных лиц, и в первую очередь специалистов по безопасности, SAP базису компаний, использующих SAP в своей повседневной деятельности, и системных интеграторов.