Még nemigen védik a vállalatirányítási rendszerekben tárolt adatokat a cégek, pedig kellene
Új szolgáltatással bővült a Noreg portfoliója, a vállalat felvette szolgáltatásai körébe a vállalatirányítási rendszerek biztonságának vizsgálatát, illetve az ezzel kapcsolatos tanácsadást is.
Ma már szinte minden vállalat használ valamiféle integrált ERP-rendszert, és ebben tárolja az üzletmenet szempontjából kritikus adatait -- mégis, kevés cég fordít figyelmet arra, hogy ezeket az információkat kellőképpen megvédje, vélekedett Kovács Tamás, a Noreg műszaki vezetője. Noha az SAP számos integrált biztonsági funkcióval rendelkezik, a legtöbb esetben a cégek kompetencia hiányában nem tudják finmohangolni a beállításokat, az SAP biztonságához mélyen értő szakemberek fizetése pedig a csúcsmenedzserekét közelíti -- mondta el Kamenszky László, az SAP-bevezetéssel foglalkozó BSIS9 Kft. vezetője. Sok helyen még arra sem veszik a fáradtságot, hogy a naplókat elemezzék, de van ahol még ki is kapcsolják a naplózás funkciót, hogy ne terhelje a rendszert.
Ma a támadások túlnyomó többsége a szervezeten belülről ered, a dolgozók pedig viszonylag egyszerűen férhetnek hozzá kényes adatokhoz, de a sebezhetőségeket kihasználva akár az ERP rendszer alapjául szolgáló adatbázishoz, vagy akár az azt futtató szerverhez is hozzáférhetnek. Tresch Ádám, a SECUDE hazai leányvállalatának vezetője úgy vélekedett, a törvényi szabályozások (pl. Sarbanes-Oxley, Basel II, PSZÁF) rákényszeríthetik a cégeket arra, hogy proaktívan foglalkozzanak a vállalatirányítási rendszereik biztonságával, de egyébként a legtöbb cég még nem ismerte fel, mit veszíthet. Bizonyos cégek nem csak a bevételkiesés, hanem a sérült renomé, az elvesztett bizalom miatt is tönkremehetnek.
Ma már nem ritka, hogy a könyvvizsgáló cégek is bevetnek olyan informatikai eszközöket, amelyekkel az auditált cég ERP-rendszerét vizsgálják visszaélésre lehetőséget adó pontok után kutatva. Ha olyan hibát találnak, amely törvénytelen tettekre ad lehetőséget (pl. a vállalatirányítási rendszerben ugyanannak a személynek joga van számlát felvinni és a kifizetésére engedélyt adni), egyszerűen nem írják alá a mérleget -- mondta el Tresch. Szakemberek egybehangzó véleménye szerint az ERP rendszer biztonságára vonatkozó törekvésnek felsővezetői szinten kell megszületnie, vagy legalábbis belőlük kell kikényszeríteni.
A svájci központú SECUDE International az SAP és a Fraunhofer Intézet együttműködéséből jött létre 1996-ban. Az SAP megbízásából a Fraunhofer Intézetben fejlesztették ki ugyanis a vállalatirányítási rendszer által használt Secure Network Communication (SCN) protokollt, majd az ezen dolgozó szakemberek egy saját vállalatot alapítottak, amely kimondottan az SAP rendszerek biztonságával foglalkozik. SAP környezetekhez a SECUDE számos terméket kínál, például biztonságos beléptető- és azonosítórendszert, valamint a Security Center for NetWeavert, amely egy átfogó sebezhetőségelemző megoldás, kiterjedt riportkészítési képességekkel és integrált tudástárral, amelyre támaszkodva javaslatot is tesz a hibák elhárítására.
A Noreg az ERP biztonsági vizsgálatához természetesen nem csak magát a vállalatirányítási rendszert, hanem az adatbázist, az operációs rendszereket és a hálózati réteget is feltérképezi. A használt eszközök között vannak a SECUDE termékei, emellett ISS sérülékenységvizsgáló megoldások, vagy az Oracle vagy SQL Server adatbázisok sebezhetőségét feltáró AppDetective. A vizsgálatokról részletes beszámolót ad át a megbízónak a Noreg, amelyben javaslatot is tesz a megfelelő szintű biztonság kiépítéséhez szükséges lépésekre.