A 90-s évek eleje óta az ERP-rendszerek nagyon hosszú utat tettek meg, a vállalati folyamatok támogatásában betöltött szerepüket és szoftveres-hardveres megvalósításukat tekintve egyaránt. A nagy, monolitikus – házon belül működő vállalati szervereken futó - rendszerek lassan átalakulnak, és helyüket átveszik a nyíltabb, rugalmasabb, felhőalapú megoldások, illetve ezek hibrid verziói.
Napjainkban a legnagyobb ERP-szállítók már kivétel nélkül kínálnak felhőszolgáltatásként, SaaS-modellben működő vállalatirányítási megoldásokat, vagy dolgoznak ilyeneken – ahogyan azt az SAP HANA Cloud platformon kínált üzletági rendszerei, az Oracle Fusion Applications, a Microsoft Dynamics Online, vagy a Sage és az Epicor palettája is példázza. Mellettük megjelentek a piacon a tisztán felhőalapú ERP-megoldások szállítói is, mint például a NetSuite vagy a Plex, és ők sem tétlenkednek.
Az idők tehát, ha lassan is, de változnak, még az informatika olyan, viszonylag konzervatívnak számító területein is, mint az ERP. A rendszerek egyre szorosabb és sokrétűbb integráltsága, és az ebből eredő, mindent átható komplexitás azonban olyan információbiztonsági problémákat is felvet, amelyek a vállalati szektorban eddig alkalmazottaknál sokkal kifinomultabb megoldásokat követelnek.
A védelem szertartásai
A 90-s évek jellemző ERP-biztonsági rituáléjának számított a felhasználói jogosultságok, a rendszerbeli szerepkörök megfelelő kialakításának vizsgálata és ellenőrzése – ez a feladatkörök megfelelő szétválasztását vizsgáló audit lehetővé teszi az egymással ütköző, jogosulatlanul megszerzett, vagy az implementáció során indokolatlanul kiosztott szerepkörök feltárását, a velük járó jogosultságok visszavonását. A szervezetek így elejét vehették a felhasználók által okozott adatszivárgásoknak, visszaéléseknek, vagy ha azok már bekövetkeztek, utólag megtalálhatták az elkövetőket. A szerepkörök szétválasztásának ellenőrzése természeten ma is fontos biztonsági kontroll egy ERP-implementáció során, és a nagy gyártók komplex eszközökkel támogatják a SoD (separation of duties) audit elvégzését.
Újfajta információbiztonsági kockázatokkal is számolni kell azonban az ERP-rendszerek fejlődésével, az újgenerációs felhőalapú ERP-rendszerek megjelenésével. A jövő CIO-jának szótárában is kibővült az IT-biztonság fogalomköre, amely alatt komplex információvédelmet értünk, ezért is fontos, hogy vállalatirányítási rendszer bevezetésekor már az implementációs fázisban megkezdődjön a kockázatok elhárítása és kezelése.
Az egyik tipikus, implementáció során kiszűrendő kockázat a régi, elavult és nem támogatott, legacy szoftverekkel történő integrációs igényekből fakad. Jellemzően egy széles vállalati folyamatspektrumot lefedő ERP- bevezetés esetén is maradnak olyan régi, ún. szakrendszerek, melyek speciális, többnyire valamilyen célhardverhez kötött funkcióit az ERP nem tudja átvenni. Az ilyen egyedi fejlesztésű, régóta nem frissített, javított, valószínűleg semmilyen adatbiztonsági védelemmel nem rendelkező rendszerek a kapcsolatokon keresztül adatbiztonsági kockázatot jelentenek a vállalat egészére nézve.
Jellemző forgatókönyv, hogy ERP-megoldás bevezetése ellenére további, harmadik féltől származó rendszerekre is szüksége lesz a szervezetnek különböző funkciók – például vállalati vezetői riportolás, bérszámfejtés stb. – elvégzésére. Ha a biztonsági ellenőrzés nem terjed ki teljes mértékben ezen rendszerek bevezetésére, az olyan rést üthet a vállalati hálózat védelmén, amely lopás vagy más jellegű támadás kockázatának teszi ki az adatvagyont.
ERP-bevezetések során jellemzően sok egyedi fejlesztés valósul meg, amelyek biztonsági ellenőrzése gyakran kívánni valót hagy maga után. Az adatbiztonságért felelős vezetőnek nem szabad megfeledkeznie arról, hogy az ERP-bevezetések kényszerleszálláshoz hasonló, kontrollált káoszában a projektmenedzsment számára az üzleti követelményekben megadott funkcionalitás leszállítása az elsődleges prioritás, ezért a határidők és a költségkeretek szorításában a biztonsági megfontolások többnyire háttérbe szorulnak. Ennek következtében a gyenge minőségű kódolásból eredeztetett problémák (bekódolt jelszavak, tesztverziók kibocsátása stb.), és a fejlesztőknek adott jogosultságok meglepően hosszú élete okoz adatbiztonsági kockázatokat.
Kevin Lalor, a Business Intelligence 101 elnöke szerint az ERP-felhasználók 66 százaléka nem a rendszer legfrissebb verziójával dolgozik. Ennek oka, hogy a nagy ERP-szállítók sokkal lassabban és konzervatívabb megközelítéssel hoznak ki biztonsági javításokat, amelyek implementálása a házon belül működő rendszerek esetében nem is olyan egyszerű. Az egyedi fejlesztésekkel teletűzdelt ERP-rendszerek üzemeltetését végző cégek vagy a házon belüli informatikusok annak örülnek, ha a rendszer az üzlet elvárásai szerint jól működik, így nem éreznek késztetést a kisebb javítások kockázatos implementálására.
Válaszolva a mobileszközök elterjedésére az ERP-szállítók lehetővé tették, hogy a rendszer adatait és bizonyos funkcióit a felhasználók okostelefonokról és tabletekről is elérjék. Különböző módokon oldották ezt meg, de közös bennük, hogy a mobil kiterjesztés a komplexitás újabb rétegét hozta létre, így a jövő CIO-ja számára is egy újabb adatbiztonsági problémát jelent.
Hibrid környezet, változatos veszélyek
Az üzemeltetési modelljüket tekintve hibrid ERP-megoldások elterjedésének egyik velejárója, hogy céges adatok csak részben maradnak a klasszikus adatvédelmi várárkokkal övezett szerverszobákban, mivel egy részük a felhőszolgáltatók adatközpontjaiba kerül. Önmagában ez természetesen még nem jelent adatbiztonsági kockázatot, viszont az implementáció során a szervezetnek külön figyelnie kell arra, hogy megtegye a hibrid szolgáltatási modell biztonsági protokollja által megkövetelt intézkedéseket.
A vállalti adatvagyon megőrzéséért felelős CIO-nak tudatában kell lennie, hogy a házon belüli, több területet átölelő, klasszikus ERP-bevezetés után egy olyan helyzet áll elő, amelyben a vállalati menedzsment nagyon könnyen hamis biztonságérzésbe ringathatja magát. Valójában az implementációval egy nagyon komplex rendszer jelenik meg a szervezeten belül, amely a hálózati szinttől kezdve az alkalmazások több rétegén keresztül potenciális sérülékenységeket hordoz magában. Ráadásul ezt a rendszert valószínűleg ritkán fogjuk frissíteni, mert vigyázni akarunk a frissen fejlesztett modulokra és beállításokra.
Nem szabad egy percig sem azt hinnie a CIO-nak, hogy a rosszindulatú programokkal operáló támadók csak a tűzfalakhoz és weboldalakhoz értenek. A nagy, klasszikus ERP-szállítók által gyártott, bonyolult és zárt rendszerek a security through obscurity elvén egy ideig ellenálltak a támadóknak, viszont manapság az információk terjedésével azok egyre-másra tárnak fel és használnak ki ERP-specifikus sérülékenységeket is.
Akinek kétségei lennének efelől, annak javaslom, hogy tekintse meg Alexander Polyakov előadásának felvételét a YouTube-on, amely a 2012-s Hactivity konferencián készült. A klasszikus, házon belüli ERP-rendszerek manapság már ezer szállal kötődnek az internethez, ezért a támadók egyszerre tudják megcélozni a digitális eszközökkel internetre csatlakozó felhasználókat, illetve a feltárt, de nagy valószínűséggel nem javított sérülékenységeket kihasználva, közvetlenül az ERP-rendszert.
Mindebből leszűrhető, hogy az ERP-rendszer védelmét is több szinten kell megszervezni. Ha egyedi fejlesztéseket is rendelt a szervezet, úgy fontos, hogy azokat ellenőrizze az adott ERP-megoldás biztonságos kódolási szabályainak megfelelően. A bevezetést végző projektcsapatba külön biztonsági felelőst kell delegálni, akinek az architekturális, konfigurációs és integrációs megoldások adatbiztonsági felülvizsgálata lesz a feladata. Az implementáció jó alkalmat ad a céges biztonsági szabályzat frissítésére, és az ERP-re jellemző védelmi kontrollok tudatosítására is. Fontos, hogy a bevezetés után a szervezet harmadik fél által megvalósított IT-biztonsági auditot végeztessen, és a házirendben meghatározott szabályokon keresztül is megfelelő kontrollt gyakoroljon az ERP-rendszer teljes életciklusán át.
