Spis treści
  1. Wyzwanie związane z chmurą obliczeniową typu multicloud
  2. Log4shell
  3. Ryzyko dla bezpieczeństwa ludzi
  4. Bezpieczna praca w domu
  5. Bezpieczeństwo techniczne
  6. Zabezpieczanie chmury
  7. Mała nieostrożność z dużymi konsekwencjami
  8. Na wszelki wypadek

Jakie są sposoby radzenia sobie z zagrożeniami dla bezpieczeństwa cybernetycznego? Czy na systemy ERP często zdarzają się włamania hakerskie, lub próby kradzieży danych ?

W dobie cyfryzacji, oraz szybszego wzrostu potrzeby rozwijanie firm w kierunku IT, możemy stwiedzić, że ataków będzie coraz wiecej. A tendencja może być rosnąca. Pomimo tego zagrożenia wielu dostawców i użytkowników systemów ERP wydaje się jednak (nadal) lekceważyć temat bezpieczeństwa: W badaniu „Cloud ERP 2021” przeprowadzonym przez IDG Research 20 procent ankietowanych firm stwierdziło, że bezpieczeństwo chmury ERP nie jest dla nich ważne lub nie jest ważne w ogóle.

Być może takie myślenie wywodzi się jeszcze z czasów, gdy większość firm obsługiwała swoje systemy ERP lokalnie, na własnym serwerze. Ale świat ERP się zmienił: Obecnie coraz więcej aplikacji przenosi się do chmury. Są więc dostępne z zewnątrz, a tym samym stanowią większą powierzchnię ataku dla hakerów.

Z drugiej strony, uznani dostawcy usług w chmurze, tacy jak Amazon Web Services (AWS) czy Microsoft Azure, mają bardzo wysokie standardy bezpieczeństwa, które trudno jest osiągnąć średniej wielkości firmie w przypadku rozwiązań instalowanych lokalnie.

Wyzwanie związane z chmurą obliczeniową typu multicloud

Z punktu widzenia bezpieczeństwa nie jest więc tak ważne, czy firmy używają swoich systemów ERP lokalnie czy w chmurze. Ważna jest złożoność całego środowiska aplikacji. Dzieje się tak dlatego, że większość firm łączy swoje systemy ERP z aplikacjami wyspecjalizowanych dostawców z różnych chmur, które są połączone ze sobą za pomocą interfejsów. Tendencja jest rosnąca: według amerykańskiego dostawcy rozwiązań z zakresu cyberbezpieczeństwa Vectra AI prawie dwie trzecie firm na całym świecie co tydzień rezerwuje nowe usługi AWS. Jednak rosnąca i stale zmieniająca się sieć różnych aplikacji i systemów niesie ze sobą niebezpieczeństwo powstawania luk i błędów, które – niestety – w najgorszym przypadku wykorzystują także hakerzy.

Silne rozpowszechnienie metod zwinnych i ciągłego dostarczania (CD) w procesie adaptacji i rozwoju systemów (ERP) również niesie ze sobą zagrożenia dla bezpieczeństwa. Coraz krótsze cykle i czasy dopuszczenia do użytku skracają czas na przeprowadzenie wystarczających testów i zdobycie doświadczenia w terenie.

Może to stanowić problem nie tylko dla producentów, ale także dla użytkowników. W końcu często muszą oni zapewnić w bardzo krótkich ramach czasowych płynne i bezpieczne działanie aktualizacji w całej strukturze wielochmurowej. Nie należy również zapominać o możliwych lukach w zabezpieczeniach bibliotek open source (np. log4j), które są obecnie wykorzystywane w bardzo wielu komercyjnych rozwiązaniach programowych.

Log4shell

W połowie grudnia luka w zabezpieczeniach Java „Log4Shell” wstrząsnęła działami IT  i zwróciła uwagę użytkowników systemów ERP na kwestię bezpieczeństwa. Luka, która pojawiła się w szeroko rozpowszechnionej bibliotece logowania Log4j dla aplikacji Java, jest uważana za największą dziurę w zabezpieczeniach w historii Internetu.

Problem: Log4shell naraża na ataki niektóre z najpopularniejszych na świecie aplikacji i usług, ponieważ szkielet Log4j jest używany na milionach serwerów. Odkryta właśnie luka w serwerze umożliwia atakującym wykonanie własnego kodu programu w systemie docelowym, a tym samym przejęcie kontroli nad serwerem.
W grudniu BSI wstępnie sklasyfikowała zagrożenie IT dla procesów biznesowych i aplikacji jako wyjątkowo krytyczne i nadała najwyższy poziom ostrzegawczy „czerwony”. W międzyczasie sytuacja nieco się uspokoiła i dlatego poziom ostrzeżenia został obniżony z „czerwonego” na „żółty”.

 

Ryzyko dla bezpieczeństwa ludzi

Niezależnie od tego, czy chodzi o wyłudzanie wiadomości e-mail, niezabezpieczone hasła czy nieostrożne podłączenie biurowego laptopa do zainfekowanego sprzętu – nawet najbezpieczniejsza technologia nie jest w stanie uchronić użytkowników przed popełnianiem błędów. Szczególnie kryzys związany z chorobą Corona, w którym pokój dzienny stał się nagle miejscem pracy dla wielu pracowników, zadziałał tu jak akcelerator ognia: od początku pandemii incydenty związane z bezpieczeństwem IT w związku z pracą w domu wystąpiły w 59 procentach firm, w których pracownicy pracują w domu – wynika z danych firmy Bitkom. W 24% z tych firm nawet często.

Bezpieczna praca w domu

Biorąc pod uwagę fakt, że biuro domowe pozostanie integralną częścią świata pracy nawet po pandemii, firmy powinny w razie potrzeby podjąć dodatkowe kroki w tym zakresie: regularne szkolenia z zakresu bezpieczeństwa, bezpieczne hasła oraz jasno określone zasady dotyczące użytkowników i autoryzacji powinny być standardem również w przypadku pracy w domu.

Zawsze aktualne procesy uwierzytelniania określają również dokładnie, które dane w systemie ERP pracownik może tylko czytać, a które może również zmieniać lub łączyć z innymi. W ten sposób można znacznie ograniczyć ryzyko kradzieży danych lub manipulacji nimi przez pracowników. Mobilne stacje robocze powinny być również wyposażone w technicznie aktualne szyfrowanie typu end-to-end lub, jeszcze lepiej, uwierzytelnianie wieloczynnikowe.

Bezpieczeństwo techniczne

Od strony technicznej istnieje szereg innych środków, które można podjąć w celu ochrony systemów ERP przed atakami:

Firmy, które pozyskują swoje rozwiązania ERP z chmury, powinny najpierw dokładnie przeanalizować koncepcję bezpieczeństwa dostawcy. Podstawowe pytania to: Czy dane przesyłane między serwerem w chmurze a odpowiednim urządzeniem końcowym użytkownika są szyfrowane? Czy serwery znajdują się w certyfikowanym centrum danych, które zapewnia regularne, bezpieczne i szyfrowane przechowywanie danych, kontrolę dostępu, monitorowanie systemów, ochronę przeciwpożarową i redundancję?
W tym kontekście certyfikaty zwykle dostarczają informacji, np. seria ISO9000 dotycząca zarządzania jakością lub certyfikat ISO27001 dla bezpiecznych centrów danych. Należy ostrożnie podchodzić do dostawców, którzy nie lubią pokazywać swoich kart, jeśli chodzi o kwestie bezpieczeństwa.

W procesach obejmujących wymianę danych między różnymi platformami lub między rozwiązaniami w siedzibie firmy i w chmurze, od samych użytkowników wymaga się zwracania uwagi na regularne aktualizacje i nowe funkcje oraz śledzenia ich wpływu na środowisko informatyczne. Standardem powinny być także regularne audyty bezpieczeństwa i testy penetracyjne.

Aby w porę wykryć wycieki takie jak log4shell, dostawcy oprogramowania powinni regularnie sprawdzać swoje komponenty open source pod kątem luk w zabezpieczeniach i sprawdzać używane biblioteki (sprawdzanie zależności) pod kątem podatności na ataki. W związku z tym pilnie zalecane jest także szkolenie programistów w zakresie tworzenia bezpiecznych kodów.

W rozległych hybrydowych środowiskach ERP niektóre firmy polegają również na centralnych rozwiązaniach SIEM (SIEM = Security Information and Event Management). Monitorują one systemy ERP automatycznie i w czasie rzeczywistym. Umożliwia to natychmiastowe wykrywanie zagrożeń, a tym samym zapewnia dodatkową ochronę operacji informatycznych i zgodności z przepisami. Mechanizmy kontroli, raporty i narzędzia do automatycznego monitorowania zgodności i konserwacji zapewniają dodatkowe odciążenie ekspertów ds. bezpieczeństwa IT w firmach.

Zabezpieczanie chmury

Aby być przygotowanym na sytuacje awaryjne, nie tylko duże firmy, ale także wiele małych i średnich przedsiębiorstw korzysta obecnie z systemów kopii zapasowych w chmurze. Przechowują tam szczególnie wrażliwe dane kopii zapasowych, a nawet tworzą kopie lustrzane całej swojej infrastruktury. Zalecamy, aby takie rozwiązania były projektowane i wspierane przez specjalistów. Uzupełnieniem tych działań powinny być regularne szkolenia dla administratorów i regularne kontrole bezpieczeństwa.

Mała nieostrożność z dużymi konsekwencjami

To, co w zamierzeniu ma być środkiem bezpieczeństwa, może przynieść odwrotny skutek, jeśli zostanie wykonane niepoprawnie. Jednym z najbardziej znanych przykładów jest przypadek firmy Buchbinder, zajmującej się wypożyczaniem samochodów. Dział informatyczny firmy sumiennie tworzył codzienne kopie zapasowe na zewnętrznym serwerze. Jednak port, który umożliwia przesyłanie danych za pomocą protokołu SMB (Server Message Block), był fatalnie otwarty.
Około trzech milionów danych klientów, w tym adresy i numery telefonów znanych osobistości, czołowych polityków, pracowników ambasad i ministerstw federalnych, było przez tygodnie dostępnych na niezabezpieczonym serwerze. Wystarczyło wpisać w przeglądarce odpowiedni adres IP. Następnie można było pobrać około dziesięciu terabajtów danych. W tym celu nie trzeba było podawać hasła.

Na wszelki wypadek

W sytuacjach kryzysowych jasny podział obowiązków jest najważniejszy. Dlatego zawsze aktualna koncepcja bezpieczeństwa oraz lista awaryjna z odpowiednimi danymi kontaktowymi powinny być zawsze aktualne i dostępne dla wszystkich pracowników, którzy pracują z systemem ERP i wszystkimi połączonymi z nim systemami. Najlepiej, jeśli plany awaryjne obejmują nie tylko działania samej firmy, ale także dostawców i ważnych klientów, na przykład w formie konkretnych instrukcji postępowania. Zaleca się również sporządzenie listy alternatywnych dostawców, gdyby istniejący nie byli już dostępni.

Plan awaryjny to żywy dokument. Musi on być regularnie aktualizowany i dostosowywany do zmieniających się warunków. Oraz: Najlepszy plan awaryjny jest bezużyteczny, jeśli pracownicy nie mogą go znaleźć w sytuacji awaryjnej. Dokument ten powinien być zatem przechowywany w centralnym miejscu, łatwo dostępnym dla wszystkich pracowników.

Mimo wszystkich ostrzeżeń: absolutne bezpieczeństwo nie jest możliwe w świecie ERP, w którym systemy hybrydowe i sieciowe są normą. Jednak stosując odpowiednie środki, można przynajmniej znacznie ograniczyć odsetek sukcesów hakerów. W nagłych wypadkach pozwala to nie tylko oszczędzić nerwy, ale także sporo pieniędzy.

Lista kontrolna dotycząca bezpieczeństwa

Regularne szkolenia z zakresu bezpieczeństwa, higiena haseł oraz jasno określone zasady dotyczące użytkowników i autoryzacji są tak samo ważne w biurze domowym, jak i w biurze. Jeśli Twoi pracownicy pracują w ruchu, upewnij się, że masz technicznie aktualne szyfrowanie end-to-end lub uwierzytelnianie wieloskładnikowe.

Należy dokładnie przyjrzeć się koncepcji bezpieczeństwa dostawcy usług w chmurze: Certyfikaty, takie jak seria ISO9000 dla zarządzania jakością lub ISO27001 dla bezpiecznych centrów danych, są obecnie standardem.

Odpowiadasz za procesy obejmujące wymianę danych między różnymi platformami i dostawcami. Należy zwracać uwagę na regularne aktualizacje i nowe funkcje oraz ich wpływ na środowisko informatyczne, a także zapewnić regularną ocenę ryzyka. Równie ważne są audyty bezpieczeństwa i testy penetracyjne.

Dostawcy oprogramowania powinni regularnie sprawdzać swoje komponenty open source pod kątem występowania luk w zabezpieczeniach i zwracać uwagę na wykorzystywane biblioteki (sprawdzanie zależności) pod kątem występowania podatnych kodów. Centralne rozwiązania SIEM mogą obsługiwać hybrydowe środowiska ERP. Monitorują one systemy ERP automatycznie i w czasie rzeczywistym oraz natychmiast wykrywają zagrożenia.

Rozwiązania do tworzenia kopii zapasowych powinny być zdecydowanie projektowane i zarządzane przez specjalistów. Zalecane są również regularne kontrole bezpieczeństwa i dalsze szkolenia dla administratorów. Jeśli dojdzie do najgorszego, upewnij się, że Twoja koncepcja bezpieczeństwa jest zawsze aktualna i że masz listę awaryjną zawierającą wszystkie ważne dane kontaktowe.