Поделиться
Как обеспечить информационную безопасность SAP-систем
В корпоративных информационных системах хранится много конфиденциальной информации, которая может быть похищена или утеряна. Избежать проблем можно, используя встроенные механизмы защиты, шифрование каналов связи, ЭЦП и интеллектуальные средства защиты.Корпоративные информационные системы обеспечивают высокую концентрацию хранимых и обрабатываемых данных, в том числе конфиденциальных. В этом контексте такие преимущества ERP-систем, как формализованное представление данных, их централизованное хранение и доступность в рамках предприятия, возможность оперативного поиска и аналитической обработки, являются факторами риска утечки, искажения или утраты критичных данных, потери их доступности либо преднамеренного нарушения алгоритмов обработки. Централизация хранения и обработки корпоративных данных существенно повышает цену инцидентов информационной безопасности.
В то же время постоянно растет число средств реализации атак и уровень их сложности. В частности, согласно совместному отчету Атлантического совета и Zurich insurance Group, за 2013 г. было похищено порядка 740 млн файлов с конфиденциальной информацией у 2,5 млрд человек (прошлый год, согласно отчету, стал худшим по этому показателю). Одновременно, по данным ERPScan/Digital Security, 69% проблем, закрываемых в SAP Business Suite, помечены как критические, а список топ-5 проблем 2013 г. более критичен, чем топ-5 2012 г. Прогнозируется развитие специализированных «червей» и «троянских коней», предназначенных для атак именно на бизнес-приложения. По данным Panda Security, 79,9% инцидентов с использованием вредоносного программного обеспечения уже приходится на «троянских коней».
Теория и практика
Для обеспечения базового уровня информационной безопасности корпоративной системы достаточно классифицировать обрабатываемую информацию, регламентировать процессы ее обработки, активировать и настроить встроенные механизмы защиты информации, а также вовремя применять обновления безопасности. Однако на практике с этим возникает ряд проблем.
Регламенты обработки конфиденциальной информации, разработанные специалистами из области ИБ, могут быть плохо совместимы с архитектурой ERP-системы. При этом ИТ-специалисты обычно относятся к таким регламентам отрицательно, так как они ограничивают полномочия пользователей и администраторов, вводят зачастую громоздкие процедуры согласования и разрешения, могут требовать доработки ERP-системы.
В части использования встроенных средств защиты информации тоже не все гладко. Администрированием ERP-систем занимаются специалисты, разбирающиеся в специфике системы конкретного вендора, но зачастую далекие от вопросов ИБ, а специалисты в области ИБ, как правило, не погружены в особенности реализации конкретной ERP-системы. Поэтому чаще всего используются лишь самые понятные и простые в настройке и обслуживании встроенные средства обеспечения безопасности – парольная защита и ролевые модели разделения доступа. Средства криптографической и технической защиты информации, в силу относительной сложности первых и отрицательного влияния на удобство пользования вторых, используются довольно редко. Например, по данным ERPScan/Digital Security, даже стандартный SSL/TLS отключен почти в одной трети эксплуатируемых web-приложений SAP.
С обновлениями безопасности, если общий процесс в компании поставлен и отлажен, ситуация лучше. Но если соответствующие патчи затрагивают ядро системы и прикладной функционал, их применение, скорее всего, будет заблокировано ИТ-службой и вынесено в отдельный проект или процедуру.
В таких ситуациях обычно рекомендуется реализовать системный подход к ИТ-проектам, в котором будут учитываться вопросы информационной безопасности еще с момента принятия решения об автоматизации бизнес-процесса или доработке существующего функционала, а также проведение ИТ-аудитов, мониторинга информационной безопасности. Эти рекомендации, несомненно, верны, а перечисленные меры вполне эффективны, но не следует забывать о соответствующих «нюансах». Во-первых, быстрого результата перечисленные меры дать не могут, поскольку требуют перестройки всех процессов компании. Необходимо гармонично встроить процессы управления информационной безопасностью во все сферы деятельности компании.
Во-вторых, для поддержки указанного подхода практически всегда внедряют одну или более систему аудита, анализа или мониторинга защищенности информационных систем, что сопряжено с существенными затратами на лицензирование и сопровождение, а также на дополнительный квалифицированный персонал. В-третьих, меры, связанные с аудитом и мониторингом защищенности информационных систем, будут эффективны только при наличии защищенного периметра, говорить о котором в условиях применения парольной аутентификации и открытых каналов связи не приходится.
В то же время, у владельца информационной системы всегда есть возможность использовать стандартные механизмы беспарольной аутентификации и шифрования каналов связи, шифрования файлов, а также средств технической защиты информации. Применение этих средств позволит не только обеспечить упомянутую защиту периметра информационной системы, но и сразу свести на нет риски, связанные с использованием паролей и открытых каналов связи. Технические средства защиты дополнительно защищают от использования программных уязвимостей, обеспечивая «последний рубеж защиты» даже после преодоления всех защитных механизмов ERP-системы.
Защита каналов связи
В SAP Business Suite беспарольная аутентификация и шифрование каналов связи реализуются с использованием механизма SNC (Secure Network Communications) при обмене данными по протоколу DIAG и протокола SSL/TLS при обмене данными по HTTP/FTP. Вендор предоставляет средства поддержки SNC для межсерверного взаимодействия (SAPCRYPTOLIB / CommonCryptolib), а также, на условиях дополнительного лицензирования, средства ограниченной поддержки SNC для клиентских ПК (SAP NetWeaver Single-Sign-On). При этом пользователям рекомендуется использовать полнофункциональные партнерские решения.
Так как правовое положение иностранной криптографии в России неоднозначно, а поставка таких средств может быть ограничена возможными санкциями, целесообразно использовать реализации SNC с «гостированной» криптографией. Кроме того, такие продукты дешевле зарубежных аналогов, и их техническая поддержка существенно ближе к заказчику. А если у заказчика уже внедрен юридически значимый электронный документооборот, можно использовать уже имеющиеся у пользователей сертификаты ЭЦП.
Использование строгой аутентификации автоматически позволит сделать неактуальными риски перехвата, перебора паролей, их угадывания, а также исключить возможность использования стандартных или «прошитых» паролей. Оно также выявит «мертвые души» и исключит вход в систему всем отделом по одному паролю. Шифрование каналов связи позволит также исключить риски перехвата данных и пользовательских сессий.
Шифрование и юридически значимый документооборот
В SAP Business Suite предусмотрен механизм SSF (Secure Store & Forward), обеспечивающий шифрование файлов и почтовых сообщений, проверку электронной подписи, а также формирование защищенных (зашифрованных и подписанных) URI для доступа к закрытым разделам портальных решений. Шифрование обеспечивает пассивную защиту критичной информации даже в случае получения несанкционированного доступа к системе, а использование защищенных URI дополнительно защищает доступ к секретным разделам сайтов. Средства формирования и проверки электронной подписи, кроме использования по прямому назначению в корпоративном документообороте, могут также применяться для формирования в системе любых юридически значимых записей.
Аналогично SNC компания SAP AG предоставляет средства поддержки SSF для серверных компонентов (SAPCRYPTOLIB / CommonCryptolib), а также, на условиях дополнительного лицензирования, средства поддержки SSF для клиентских ПК (SAP NetWeaver Single-Sign-On). Поскольку юридически значимая электронная подпись формируется с использованием отечественной криптографии, в России имеет смысл применять только партнерские решения с поддержкой ГОСТ Р 34.10-2012.
В отличие от SNC механизм SSF встраивается в функционал ERP-системы, предоставляя приложениям программный интерфейс SSF-API. Примером такого встраивания может служить доступное на российском рынке решение по гарантированной защите персональных данных в SAP HCM.
Техническая защита
Стандартное клиентское программное обеспечение SAP технических средств защиты практически не содержит (за исключением SAP GUI Security с весьма ограниченным функционалом), поэтому необходимо использовать независимые разработки. Однако зачастую типовые средства не способны обеспечить избирательную защиту информации. Они никак не связаны с бизнес-логикой ERP-системы, поэтому их использование проблематично.
Оптимальным будет использованием средств интеллектуальной защиты информации, запрещающих выгрузку, копирование, передачу, или распечатку только критичной информации, одновременно разрешая пользователю полноценно работать со всей остальной информацией. Подобное решение существует на российском рынке, идут по этому пути и зарубежные разработчики.
Таким образом, на рынке уже сейчас доступны средства для обеспечения «быстрой победы», позволяющие обеспечить приемлемый уровень информационной безопасности SAP-систем без внедрения дорогостоящих средств анализа и мониторинга ИБ и сформировать базу для дальнейшего качественного роста корпоративной системы защиты информации. И никаких «революций» для этого совершать не требуется – «все уже придумано до нас».
Сергей Середа, к.э.н.
Короткая ссылка
