Kybernetičtí útočníci se dnes zaměřují především na ty cíle, které mají peníze. Úspěšný útok jim totiž může vynést nemalé částky, a to díky vydírání nebo třeba prodeji získaných informací. S rostoucím využíváním komplexních podnikových informačních systémů jsou potenciální rizika ztrát stále vyšší.
foto: PixabayRizik jsou si vědomi i provozovatelé podnikových informačních systémů (ERP). Tedy - do jisté míry. Z ERP Security Report společnosti ERPScan za minulý rok plyne, že 89 % uživatelů ERP systémů očekávají nárůst útoků proti tomuto softwaru. Pokud je útok úspěšný, průměrné náklady s ním spojené se pohybují okolo pěti milionů amerických dolarů, přičemž třetina dotazovaných zástupců firem očekává spíše částky nad 10 milionů amerických dolarů.
Firmy se podle průzkumu při útoku na ERP systém nejvíce obávají o data zákazníků (72 % dotazovaných), data zaměstnanců (66 %) a e-maily (54 %). 47 % dotazovaných má obavy z krádeže intelektuálního vlastnictví, 46 % o finanční data, 35 % o data o kontraktech, 33 % o zdravotní informace a cca pětina tázaných vyjádřila obavu o marketingová data nebo o vývojářská data.
Když měli tázaní určit nejkritičtější byznys aplikace z hlediska bezpečnosti, označili je v tomto pořadí: samotné ERP (61 %), finanční systémy (57 %), systémy pro práci se zákazníky CRM (55 %) a systémy pro práci se zaměstnanci HR (39 %).
Dodejme, že průzkumu se podle jeho autorů zúčastnily téměř dvě tisícovky profesionálů z oblasti IT bezpečnosti z firem nejrůznějších velikostí a z nejrůznějších oborů podnikání.
Ve firmě je třeba si klást otázku, kdo nese odpovědnost za zabezpečení systému. Tazatelé se ptali provozovatelů ERP SAP a zjistili, že v mnoha firmách v tomto ohledu panuje zmatek. Šéfové informatiky (CIO) se mnohdy domnívají, že zodpovědnost leží na šéfech informatické bezpečnosti, zatímco ti předpokládají, že tíha leží na CIO, kteří jsou obecně zodpovědní za ERP systém, protože ostatně SAP tým má typicky své oddělení bezpečnosti. A tak se prý mnohdy zabezpečení ERP nevěnuje nikdo.
Situace se podle zprávy ale poměrně rychle mění, přičemž zlomovým prý byl rok 2016, kdy bylo vydáno několik analýz věnujících se právě této oblasti. I tak ale podle zmiňované zprávy Stále jen 30 % respondentů kontinuálně monitoruje a analyzuje bezpečnostní problémy kolem svého systému SAP, aby mohli okamžitě zasáhnout. A analytici k tomu poznamenávají, že právě jen zajištění takové úrovně monitoringu a analýzy může zajistit dostatečnou bezpečnost.
Za pozitivní zprávu lze považovat, že 44 respondentů analyzuje bezpečnost svého (jakéhokoli) ERP systému alespoň jednou měsíčně, čtvrtina pak kontinuálně. Alarmující je ale zjištění, že 14 % jich nikdy neprovedlo analýzu bezpečnosti svého ERP systému.
Tazatelé se zaměřili na uživatele SAP, konkrétně na manažery na úrovni CXO, také s otázkou, čeho se nejvíce bojí. Největší obavu tito vyjádřili z podvodů, ke kterým by se útočníci díky napadení systému mohli uchýlit. Obavy mají rovněž ze špionáže a za potenciálně problematický označili také fakt, že je ERP systém propojen s dalšími systémy napojenými na výrobu, které by se při úspěšném útoku rovněž mohly stát zranitelnými. Problémem může být rovněž sabotáž vedoucí k výpadku systému.
Podle zprávy z uvedeného průzkumu je velkým problémem také nedostatečné povědomí o rizicích. Pouze 31 % respondentů podle ní vědělo o nejznámějším incidentu (varování US-CERT před možnými čínskými útoky na systémy SAP s více než 30 oběťmi ze strany firem), a to přesto, že dotazováni byli lidé, kteří se o bezpečnost SAP zajímají. A pouze 4 % tázaných věděla o historii společnosti USIS, která byla dodavatelem vládního sektoru, stala se však cílem útoku (dle zmiňované zprávy začal zneužitím slabiny v systému SAP) a následně zkrachovala.
Jakkoli se tato část průzkumu zaměřila právě na ERP od SAP, podobných rizik se lze obávat i u dalších ERP systému (a dalšího softwaru pracujícího s citlivými daty obecně).
Dobře zvolený a dobře nasazený podnikový informační systém může výrazně zefektivnit provoz vaší firmy. Při jeho výběru je mnohdy užitečné...