Bezpieczeństwo danych w systemach ERP albo jak zabezpieczyć bardzo ważne dane firmowe?
Systemy ERP przechowują wiele informacji krytycznych z punktu widzenia działania całej organizacji. Dane te zatem mogą stanowić cel ataku dla cyberprzestępców. Sposób identyfikacji zagrożeń określa zasady postępowania, poziom bezpieczeństwa i metodę zapobiegania tego typu przypadkom. Należy zadbać o to, aby nie udało się im w żaden sposób wykraść ani uszkodzić zgromadzonych informacji. Poziom bezpieczeństwa danych w systemach ERP powinien być jednym z najważniejszych kryteriów wyboru systemu. Bezpieczeństwo systemu ERP okazuje się ważniejsze niż jego intuicyjność, możliwość dopasowania do potrzeb organizacji, kompatybilność z innymi systemami, a nawet cena. Najważniejsze ogniwo zasady postępowania, zapewniające ochronę aplikacji biznesowych i danych zawartych w oprogramowaniu, to system uprawnień do funkcjonowania całego rozwiązania IT. Kluczową kwestią jest używanie aplikacji biznesowych o certyfikowanych technologiach zabezpieczania i przechowywania danych oraz szyfrowania przesyłanych danych. Ważki jest także poziom stosowanych zabezpieczeń w bazach danych i przy tworzeniu ich kopii zapasowych. Bezpieczeństwo danych w systemach ERP powinno być zgodne z polityką bezpieczeństwa, obowiązującą w całej infrastrukturze IT firmy.
Źródło zagrożenia dla systemów ERP – jak się bronić?
Systemom ERP zagrażają czynniki z wielu kategorii. Phishing, spoofing, ransomware i malware, skimming, spoofing, ataki DDoS – to tylko przykłady najczęściej spotykanych zagrożeń występujących w sieci, narażających organizację na utratę danych. Do jednego z najpopularniejszych ataków z zewnątrz zalicza się oprogramowanie ransomware. Jest to program, który ogranicza i blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (sprowadzając je do postaci zaszyfrowanej), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Istotny jest w tym przypadku sposób identyfikacji zagrożenia. Ransomware zwykle można znaleźć w załączniku do wiadomości e-mail, która ma imitować korespondencję od danej instytucji lub osoby, np. banku lub urzędu. Taki rodzaj oszustwa nazywa się phishingiem. Po otwarciu załącznika lub kliknięciu dołączonego linku, pobiera się złośliwe oprogramowanie i umożliwia dostęp do komputera.
Luka po błędzie w kodzie.
Nierzadką przyczyną zaburzającą bezpieczeństwo danych w systemach ERP są błędy w kodzie, prowadzące do powstawania luk, a w konsekwencji narażające na utratę danych. Za niski poziom bezpieczeństwa danych mogą odpowiadać również moduły firm trzecich, z którymi są zintegrowane systemy ERP – np. luki w PowerApps lub oprogramowaniu systemowym, mogą ułatwiać przejęcie uprawnień do całej aplikacji.
Zbyt szerokie uprawnienia.
Kolejny błąd to nazbyt szeroka polityka przydzielania uprawnień do zasobów. W praktyce każdy z użytkowników powinien mieć dostęp i korzystać jedynie z tych funkcjonalności i danych, które są mu niezbędne do codziennej pracy. Istotną kwestią jest praktyka udzielania dostępu jedynie po każdorazowej identyfikacji, dwustopniowej autoryzacji i uwierzytelnieniu użytkownika. Na pewno przyczyni się ona do wzrostu zakresu ochrony i bezpieczeństwa danych systemów ERP.
Czynnik ludzki.
Bez względu na zaawansowanie systemu zabezpieczeń w oprogramowaniu ERP, to człowiek jest czynnikiem ostatecznie decydującym o zakresie bezpieczeństwa danych. Niebagatelne znaczenie ma zatem właściwie zdefiniowana polityka bezpieczeństwa. Powinna ona niejako zmuszać użytkowników systemów ERP do regularnej zmiany haseł dostępowych. Ważne, aby były to tzw. silne hasła, odpowiednio długie, z użyciem małych i wielkich liter, cyfr i znaków specjalnych. Hasła powinny być unikalne, niestosowane jako dane dostępowe do innych systemów, usług i aplikacji. Dobrą praktyką jest wprowadzenie obowiązku dwustopniowej autoryzacji dostępu do danych wrażliwych.
Istota backupu.
Istotną kwestią dla bezpieczeństwa systemów ERP i infrastruktury IT jest stworzenie odpowiedniego środowiska zapasowego i właściwego sposobu przechowywania danych. Możliwe jest wykorzystanie w systemie zabezpieczeń zdalnego tworzenia kopii zapasowych. Dane są przesyłane za pośrednictwem sieci lokalnej lub internetu do dysków serwerowych, umieszczonych w centrach przetwarzania danych. W ten sposób zabezpieczone są one nawet przed skutkami katastrof naturalnych, ale prędkość ich przesyłania uzależniona jest od parametrów sieci. Tworzenie kopii zapasowych określa rozporządzenie o ochronie danych osobowych RODO lub GDPR – General Data Protection Regulation. GDPR stawia wymagania sieciom teleinformatycznym, które powinny być zabezpieczone przed atakami z zewnątrz i kradzieżą danych, a same bazy z danymi osobowymi muszę mieć swoje kopie zapasowe. Dodatkowym zabezpieczeniem włączonego urządzenia dostępowego jest ochrona fizyczna nośników danych, które także muszą być sprowadzone do postaci zaszyfrowanej i zabezpieczone hasłem. Konieczność zabezpieczenia danych wynika z faktu, że w ich bazach są przechowywane i przetwarzane także dane osobowe. Oprogramowanie ERP musi mieć więc jasno określone obszary, w których przetwarza się i przechowuje dane osobowe. Każda ich modyfikacja powinna być zapisana wraz z datą i informacją o osobie dokonującej zmiany.
Audyt bezpieczeństwa systemu ERP.
Jak wskazują badania na temat zakresu bezpieczeństwa danych, włamania do firmowych sieci wykrywane są od 6 do 12 miesięcy po fakcie. Wynika z tego, że „niechciany gość” przez długi czas może mieć swobodny dostęp do włączonego urządzenia dostępowego i poufnych informacji. Dobrą praktyką jest audyt bezpieczeństwa, który polega na weryfikacji i ocenie wdrożonych zabezpieczeń organizacyjnych i technicznych. Pozwala wykryć luki w systemie zabezpieczeń oraz naprawić je zanim dojdzie do naruszenia poufności firmowych danych.