Cyberbezpieczeństwo w systemach ERP

System ERP przechowuje wiele danych, więc może stanowić cel ataku dla cyberprzestępców. Naturalnie więc należy zadbać o to, aby nie udało się im w żaden sposób wykraść ani uszkodzić zgromadzonych informacji. Takie zagrożenie może wprowadzić zamęt w organizacji, poważnie jej zagrozić, a także uszczuplić firmowy budżet o sporą kwotę. Na jakie kwestie związane z cyberbezpieczeństwem warto zwrócić uwagę, gdy wybierasz rozwiązanie ERP? Aby to wiedzieć, musisz mieć przede wszystkim świadomość, że najsłabszy punkt stanowią… ludzie. Dlatego sposób identyfikacji i autoryzacji użytkowników to jedna z ważniejszych cech, którą powinno stanowić oprogramowanie. Poza tym technologia, w której jest wykonywane, powinna być certyfikowana i mieć możliwość szyfrowania danych przy pomocy np. SSL. Jak zabezpieczyć system ERP? Na jakie ataki jest narażony? Wyjaśniam te kwestie w poniższym artykule.

Pomijając moralny aspekt cyberprzestępstw, trzeba przyznać, że są one pomysłowe, a ich uczestnicy odznaczają się wyjątkową kreatywnością w tworzeniu nowych sposobów ataku. Bezpieczeństwo systemów ERP powinno mieć dla Ciebie bardzo wysoki priorytet – tym bardziej że nawet wielkie koncerny, takie jak Acer, producent komputerów na skalę globalną, nie zawsze są w stanie się uchronić. W maju 2021 roku firma została zaatakowana poprzez wykorzystanie luki w serwerze Microsoft Exchange. Grupa przestępcza, która za tym stała, zagroziła, że ujawni poufne dokumenty finansowe giganta rynku komputerowego, jeżeli ten nie zapłaci okupu w wysokości 50 milionów dolarów. Potencjalny cyberprzestępca zażąda od Ciebie kwoty adekwatnej do wymiarów Twojego biznesu. Jak może wyglądać atak na Twoje oprogramowanie?

Do jednego z najpopularniejszych ataków z zewnątrz można zaliczyć oprogramowanie ransomware. To rodzaj programu, który ogranicza i blokuje dostęp do systemu komputerowego. Aby go usunąć, musisz zapłacić okup. Brzmi jak dobry film akcji, prawda? Niestety, takie sytuacje są bardzo częste i wcale nie tak nierealne. Ransomware zwykle można znaleźć w załączniku do wiadomości e-mail, która ma imitować korespondencję od danej instytucji lub osoby, np. banku lub urzędu. Taki rodzaj oszustwa nazywa się phishingiem. Jeśli zdecydujesz się otworzyć załącznik, lub kliknąć zamieszczony link, pobierzesz złośliwe oprogramowanie, jednocześnie dając przestępcy dostęp do Twojego komputera. Dlatego warto dobrze zabezpieczyć system ERP przed cyberatakiem i wybrać dostawcę, który zapewnia bezpieczeństwo swoich rozwiązań.

Inwestycja w bezpieczeństwo systemów ERP zawsze się opłaca. Kradzież danych może nastąpić w momencie ataku hakera na źle zabezpieczone oprogramowanie poprzez wykorzystanie istniejących w nim luk. Jednak informacje może ukraść nie tylko doświadczony cyberprzestępca, ale potencjalnie każdy pracownik. Słabe i łatwe do złamania, lub ogólnodostępne hasło, dostęp do plików na dysku sieciowym z możliwością pobrania ich, a nawet uprawnienia do podłączenia dowolnego zewnętrznego nośnika danych i przekopiowanie na niego danych – stanowią one potencjalne zagrożenie, a nieuczciwa osoba może je wykorzystać do własnych celów. Oczywiście nie powinieneś zakładać, że każdy zatrudniony w firmie zamierza Cię oszukać, ale warto przygotować się na taką ewentualność. Poza tym wiele wycieków danych z winy pracownika okazuje się być przypadkiem – najczęściej winą jest brak szkoleń z zakresu ochrony danych.

Bezpieczeństwo systemów ERP opiera się na dwóch ważnych częściach: zabezpieczeniach technologicznych i na zapobieganiu ze strony ludzi. Cyberprzestępczość to biznes, który rozwija się niesamowicie szybko. Codziennie powstają nowe programy i sposoby oszustw. Wiele z nich działa jednak w podobny sposób, dlatego najważniejsze, aby pracownicy mieli aktualną wiedzę na temat najczęstszych rodzajów ataków – takich jak phishing. Dzięki temu w łatwy sposób zidentyfikują próbę wyłudzenia danych i uniemożliwią przestępcom działanie na niekorzyść Twojej organizacji. Szkolenia powinny być bogate w przykłady i wizualizacje, aby również osobom, które trochę mniej sprawnie poruszają się w internecie, łatwo było zrozumieć mechanizmy, które za nimi stoją. Ponadto zapewnij pracownikom szkolenie z podstawowych działań, które mają zapobiegać wyciekowi danych – takich jak nieudostępnianie hasła osobom trzecim, nieklikanie w podejrzane linki, blokowanie urządzenia przed odejściem od niego i inne. 

Silne hasła. Każdy z nas przynajmniej raz spotkał się z tym pojęciem. Wszyscy wiedzą, że hasło powinno być trudne do odgadnięcia, nieoczywiste, zawierające litery, cyfry i znaki specjalne. Jednak przyznaj szczerze: czy stosujesz je na co dzień? Niestety, wielu ludzi zniechęca fakt, że taki skomplikowany ciąg należy zapamiętać – a przecież za trzy miesiące i tak trzeba będzie go zmienić. Oczywiście, że jest to niekomfortowe, ale to bardzo ważny element dotyczący tego, jak zabezpieczyć system ERP przed kradzieżą informacji. 

Drugi, równie ważny filar cyberbezpieczeństwa to technologia. Przydzielanie uprawnień do zasobów, regularne wykonywanie kopii zapasowych i zmiany haseł, audyty bezpieczeństwa, ochrona serwerów, a także programy antywirusowe na każdym urządzeniu firmowym. To niezbędne elementy, zapewniające bezpieczeństwo systemów ERP. Żadna organizacja nie powinna bez nich funkcjonować.

Stosowanie wszystkich powyższych zabezpieczeń nie gwarantuje stuprocentowej ochrony przed atakiem hakerskim, jednak znacząco zmniejsza prawdopodobieństwo jego wystąpienia. Jeśli Twoja firma doświadczy go, w niektórych przypadkach wystarczy odłączenie sprzętu od sieci i prądu. Ponadto niezwłocznie zgłoś fakt o ataku osobie przełożonej, informatykowi, lub instytucji odpowiedzialnej za cyberbezpieczeństwo.