/ We know how

Bezpieczeństwo danych w systemach ERP, czyli jak zabezpieczyć niezwykle ważne firmowe dane?

Bezpieczeństwo danych ponad wszystko! Takie wnioski można wyciągnąć z przeglądu wielu raportów poświęconych najważniejszym zagadnieniom w IT. W jednym z badań aż 98% zapytanych informatyków[i] stwierdziło, że poziom bezpieczeństwa danych jest najważniejszym kryterium wyboru systemu klasy ERP. Nic w tym dziwnego, skoro czasy w sieci są niespokojne, a i kary, nie tylko finansowe, za utratę danych wcale niemałe. Znaczenie bezpieczeństwa podnosi także fakt, że systemy ERP przechowują informacje krytyczne z punktu widzenia działania całej organizacji. Ich utrata może oznaczać śmierć firmy.

 

Lista metod działania cyberprzestępców wciąż się zmienia i wydłuża – mamy tam pishing, skimming, spoofing, ataki DDoS, ransomware i malware i wiele, wiele innych. Na dodatek awarii może ulec dysk z kluczowymi danymi, uszkodzić się baza danych, ktoś może zgubić służbowy smartfon lub przenośny dysk, który nie był dostatecznie zabezpieczony, mogą się zdarzyć także tzw. „czarne łabędzie”[ii], o których nikt nigdy nawet nie pomyślał – a to oznacza, że specjaliści od bezpieczeństwa danych naprawdę mają czym się martwić.

 

 

W jaki sposób systemy ERP powinny dbać o dane firmy?

 

Najważniejsze to zdać sobie sprawę, że bezpieczeństwo systemów ERP jest bezpośrednio związane z zabezpieczeniami całej infrastruktury IT. Każda firma powinna posiadać własną politykę bezpieczeństwa, czyli zbiór zasad i procedur bezpieczeństwa wraz z planem ich wdrożenia, a przede wszystkim egzekwowania. Bezpieczeństwo danych w samym systemie klasy ERP jest oparte na rozbudowanej polityce przydzielania uprawnień do zasobów. Każdy z użytkowników powinien korzystać wyłącznie z tych funkcji i danych, które są mu niezbędne do pracy, a dostęp do zasobów może być przydzielony wyłącznie po identyfikacji, uwierzytelnieniu i dwustopniowej autoryzacji. Polityka haseł, tak nielubiana praktycznie w każdej organizacji, musi wymuszać regularne zmiany i używanie silnych kombinacji.

 

Zachowaniu bezpieczeństwa danych sprzyja wielowarstwowa architektura systemów ERP, w której dane oddzielone są od logiki aplikacji, a ta z kolei oddzielona jest od interfejsu użytkownika. Dla każdej z tych warstw powinno istnieć w firmie środowisko zapasowe i plan przywrócenia do działania, którego będzie można użyć w przypadku ataku. Bezpieczeństwo wzmacnia także odpowiednio prowadzona polityka wykonywania kopii bezpieczeństwa. Jeśli wszystko jest jak należy to np. atak na serwer aplikacyjny nie powinien zrobić żadnego wrażenia, po prostu będzie można go odtworzyć z kopii zapasowej. Współczesne macierze dyskowe korzystające z zaawansowanych algorytmów replikacji, kompresji, deduplikacji i szyfrowania mogą relatywnie niewielkim kosztem przechowywać gigantyczne zbiory danych. Warto w tym miejscu przypomnieć starą zasadę, że kopie zapasowe danych z systemów ERP powinny być wykonywane na różnych nośnikach i przechowywane w różnych lokalizacjach. Dopiero wtedy można mówić, że kopie są bezpieczne.

 

 

Jakie są najczęstsze luki bezpieczeństwa w oprogramowaniu ERP?

 

Najczęściej przyczyną powstawania luk w systemie zabezpieczeń oprogramowania ERP są po prostu błędy w kodzie. Po wykryciu są one szybko naprawiane w kolejnych łatkach i poprawkach do systemu, ale rzeczywiste usunięcie zagrożenia wymaga jednak zainstalowania tych łatek, a z tym to już różnie bywa. Nawet największym dostawcom takim, jak SAP zdarzają się na tym tle bolesne wpadki[iii], a i polski rynek także nie jest wolny od tego typu zdarzeń[iv]. Za niski poziom bezpieczeństwa danych mogą odpowiadać również moduły firm trzecich, z którymi są zintegrowane systemy ERP – np. luki w PowerApps lub oprogramowaniu systemowym mogą ułatwiać przejęcie uprawnień do całej aplikacji.

Do typowych luk w zabezpieczeniach należy zaliczyć choćby upowszechnione położenie bazy danych na dyskach firmy, hasło dostępu do serwera danych znane zbyt dużej grupie osób, czy możliwość pobierania dużych zbiorów danych z systemu i zapisywania ich na dowolnych nośnikach. To są oczywiście czynniki techniczne, ale największym zagrożeniem dla danych w systemach ERP jest brak spójnej, zintegrowanej i egzekwowanej polityki bezpieczeństwa.

 

 

Bezpieczne korzystanie z systemów ERP – dekalog pracownika

 

Bez względu na zaawansowanie systemu zabezpieczeń w aplikacjach klasy ERP, to człowiek decyduje na ile te zabezpieczenia będą skuteczne. Jeśli nie przestrzega się najprostszych zasad, to

tak, jakby kusić los i prosić się o nieszczęście. Przestrzeganie reguł w pełni dotyczy każdego pracownika firmy, bez względu na zajmowane stanowisko. Gdyby pokusić się o spisanie dekalogu zasad bezpieczeństwa, na liście powinny się znaleźć między innymi:

  1. Nakaz regularnego zmieniania haseł dostępowych, które nie mogą być łatwe do odgadnięcia, zakaz używania tych samych haseł do logowania w różnych systemach.
  2. Zakaz otwierania e-maili od nieznanych nadawców, bez zwracania uwagi na dane nadawcy.
  3. Zakaz klikania w linki w niespodziewanych wiadomościach, szczególnie tych pisanych w alarmistycznym tonie.
  4. Nakaz częstego i regularnego wykonywania kopii zapasowych na różnych nośnikach.
  5. Nakaz aktualizowania nie tylko systemu ERP, ale i wszystkich aplikacji używanych w firmie – nowe wersje często usuwają luki w systemach zabezpieczeń. Dotyczy to szczególnie systemów operacyjnych, przeglądarek internetowych oraz programów antywirusowych.
  6. Zakaz udostępniania własnych haseł zaprzyjaźnionym użytkownikom oraz zapisywania ich w widocznym miejscu.
  7. Nakaz szyfrowania dysków przenośnych oraz poczty elektronicznej.
  8. Zakaz pozostawiania włączonego urządzenia dostępowego (komputer stacjonarny, laptop, tablet, czy smartfon) bez wylogowania się z aplikacji i wyłączenia ekranu.
  9. Zakaz logowania się do aplikacji biznesowych z niezabezpieczonych, publicznych punktów dostępowych.
  10. Nakaz brania udziału w szkoleniach dotyczących bezpieczeństwa danych oraz zakaz lekceważenia poprzednich dziewięciu zasad.

 

Wszystko wskazuje na to, że tak naprawdę najsłabszym ogniwem w łańcuchu zabezpieczeń jest zawsze człowiek. W kwestii bezpieczeństwa nikt nie powinien liczyć na taryfę ulgową.

 

Oprogramowanie ERP a rozporządzenie o ochronie danych (GDPR)

25 maja 2018 roku weszło w życie rozporządzenie o ochronie danych osobowych RODO lub jak kto woli GDPR – General Data Protection Regulation. Nałożyło to na organizacje wiele nowych obowiązków, które dotyczą systemów klasy ERP, bo w ich bazach danych są przechowywane i przetwarzane także dane osobowe.

 

Przede wszystkim powstała konieczność opracowania i wdrożenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w tym systemem ERP. Polityka bezpieczeństwa powinna wskazywać obszary przetwarzania danych osobowych oraz identyfikować zbiory danych osobowych wraz z aplikacjami do ich przetwarzania, a instrukcje powinny regulować takie kwestie, jak rozpoczynanie i kończenie pracy z systemem informatycznym, stosowane metody i środki uwierzytelnienia oraz zasady przydzielania dostępu do danych osobowych.

GDPR wprowadziło także wymóg rozliczalności, co oznacza, że każda operacja na danych osobowych dokonana w systemie informatycznym powinna wskazywać na wykonawcę i czas dokonania danej czynności.

 

GDPR stawia także wymagania sieciom teleinformatycznych, które powinny być zabezpieczone przed atakami z zewnątrz i kradzieżą danych, a same bazy z danymi osobowymi muszę mieć swoje kopie zapasowe. Dodatkowym zabezpieczeniem danych jest ochrona fizyczna nośników danych, które także muszą być zaszyfrowane i zabezpieczone hasłem.

 

 

Na jakie kwestie bezpieczeństwa zwrócić uwagę wybierając system ERP?

 

Według raportu Cisco „2021 Security Outcomes Study: Endpoint Edition”[v], aż 41 % organizacji padło ofiarą cyberataku w ostatnich dwóch latach. Dlatego właśnie bezpieczeństwo danych należy do grupy najważniejszych kryteriów wyboru systemu ERP. Koniecznie trzeba zwrócić uwagę na sposób identyfikacji, autentykacji i autoryzacji użytkowników, na używanie certyfikowanych technologii przechowywania danych, możliwość zautomatyzowanego dokumentowania na potrzeby audytów bezpieczeństwa oraz stosowane metody replikacji danych oraz szyfrowania danych kluczami SSL/AES 256-bitowym. Liczy się także poziom zabezpieczeń samej centralnej bazy danych oraz kwalifikacje zespołu wdrożeniowego – bo w ostateczności to ludzie uruchamiają i egzekwują wszystkie mechanizmy wpływające na bezpieczeństwo danych.

 

 

Czym jest i dlaczego warto przeprowadzić audyt bezpieczeństwa systemu ERP?

 

Audyt bezpieczeństwa polega na weryfikacji i ocenie wdrożonych zabezpieczeń technicznych i organizacyjnych w odniesieniu do normy i regulacji prawnych. Jest on tym czynnikiem, który pozwala wykryć luki w systemie zabezpieczeń oraz naprawić je zanim dojdzie do naruszenia prywatności firmowych danych.

Ponieważ, jak donoszą raporty na temat bezpieczeństwa, włamania do firmowych sieci wykrywane są ok. od 6 do 12 miesięcy po fakcie, to oznacza, że intruz ma swobodny dostęp do poufnych informacji przez długi czas. Dobrą praktyką jest zatem przeprowadzanie przynajmniej 2 audytów bezpieczeństwa w roku. Idealnie, jeśli prowadzi je firma zewnętrzna. W ramach audytów prowadzi się testy penetracyjne infrastruktury sieciowej oraz aplikacji webowych, testy socjotechniczne, konfiguracji rozwiązań, a wszystko to zgodnie z normą ISO 27001.

 

Ogólnie, jeśli w organizacji są jakiekolwiek wątpliwości z zakresu bezpieczeństwa danych, należy bezzwłocznie skontaktować się ze specjalistami w tej dziedzinie. Licho nie śpi.

[i] https://www.erp-view.pl/erp/15165-o-wyborze-erp-decyduje-bezpieczenstwo-rodzaj-bazy-danych-nie-ma-znaczenia.html

[ii] Nassim Nicholas Taleb – Czarny Łabędź – jak nieprzewidywane zdarzenia rządzą naszym życiem, Wydawnictwo Zysk i s-ka, 2021.

[iii] https://lukardi.com/luka-bezpieczenstwa-raport-nhs/

[iv] https://www.spolecznosc.comarch.pl/idea/bezzwloczne-usuniecie-powaznej-luki-bezpieczenstwa-w-optimie-13979

[v] https://www.erp-view.pl/bezpieczenstwo-it/29460-wedlug-raportu-cisco-az-41-proc-organizacji-padlo-ofiara-cyberataku-w-ostatnich-dwoch-latach.html