Добавить в корзинуПозвонить
Найти в Дзене

SafeERP – новая архитектура защиты бизнес-приложений

Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ. Автор: Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис” – Главная иллюзия в том, что компании считают, если защищена инфраструктура, значит, защищено все. Это исторически сложившийся подход: есть периметр, есть сети, есть SIEM – значит, мы в безопасности. Но бизнес уже давно живет не в инфраструктуре, а в приложениях. И особенно это касается ERP-систем, где сосредоточены деньги, логистика, закупки, доступ к критическим данным. Я часто вижу, что безопасность воспринимается как что-то внешнее по отношению к бизнес-приложению, а не как его встроенная часть. То есть проверили доступы, настроили сеть и на этом успокоились. Но внутри самой ERP може
Оглавление

Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.

Автор: Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”

– В чем заключается главная иллюзия, когда речь идет о защите бизнес-приложений?

– Главная иллюзия в том, что компании считают, если защищена инфраструктура, значит, защищено все. Это исторически сложившийся подход: есть периметр, есть сети, есть SIEM – значит, мы в безопасности. Но бизнес уже давно живет не в инфраструктуре, а в приложениях. И особенно это касается ERP-систем, где сосредоточены деньги, логистика, закупки, доступ к критическим данным.

Я часто вижу, что безопасность воспринимается как что-то внешнее по отношению к бизнес-приложению, а не как его встроенная часть. То есть проверили доступы, настроили сеть и на этом успокоились. Но внутри самой ERP может быть все что угодно: избыточные права, уязвимости в доработках, неконтролируемые изменения бизнес-логики.

Иллюзия усиливается еще и тем, что ERP-системы работают, а значит, с ними все хорошо. Но "работает" не равно "безопасно". Просто инциденты не всегда проявляются сразу. Сейчас, с учетом признания ERP частью КИИ, эта иллюзия начинает разрушаться. Потому что регулятор прямо говорит: это критический актив, и его нужно защищать. Становится очевидно, что прежнего уровня контроля уже недостаточно. По сути, рынок проходит точку взросления: безопасность – это не только про инфраструктуру, но и про бизнес-логику.

– Почему компании вкладываются в кибербезопасность, но при этом именно ERP-системы часто остаются уязвимыми?

– Потому что ERP – это серая зона между ИТ, бизнесом и безопасностью. Никто до конца не чувствует себя владельцем этой области. ИБ-команда часто не лезет глубоко в бизнес-логику, потому что она сложна и требует специфической экспертизы. Разработчики думают в терминах функциональности, а не рисков.

Вторая причина – сложность самих систем. SAP, 1С – огромные платформы с десятилетиями развития, кастомизациями, интеграциями. Там нет простых ответов и универсальных инструментов, как в классическом AppSec.

Третье – отсутствие прозрачности. В отличие от инфраструктуры, где все более или менее стандартизировано, ERP у каждого заказчика уникальна.

И, честно говоря, долгое время не было инструментов, которые позволяли бы системно этим управлять. Сейчас ситуация меняется, компании вынуждены смотреть на ERP как на объект риска, а не просто систему учета. И тут вскрывается накопленный долг: то, что годами считалось нормальной доработкой, оказывается потенциальной уязвимостью.

– Как появление SafeERP изменило подход к безопасности бизнес-приложений?

– Я бы не сказала, что появился один продукт и все резко изменилось. Скорее рынок просто созрел для системного подхода к защите ERP. Но такие решения, как SafeERP1, действительно выступили катализатором этих изменений.

Главное – компании начали осознавать, что безопасность ERP можно и нужно автоматизировать. Раньше это была в основном ручная экспертиза: точечные проверки, внешний аудит раз в год, реакция на последствия. Сейчас формируется именно процессная модель – регулярный контроль, мониторинг изменений, приоритизация и планомерное устранение уязвимостей.

Второй важный сдвиг – движение в сторону разработки. Безопасность начинает встраиваться в процесс изменений, а не проверяться постфактум. Но и здесь не всегда все проходит без сопротивления: разработчики не рады дополнительным проверкам, необходимости анализировать код и исправлять замечания. Но со временем приходит понимание, что это дешевле и безопаснее, чем разбирать инциденты в продуктиве.

Третье – появляется общий язык между ИБ, разработкой и бизнесом. Когда можно не абстрактно говорить про риски, а показывать конкретные сценарии: какая операция, какая роль или какой участок кода может привести к финансовым потерям или сбою процессов.

И, конечно, отдельный драйвер – тема КИИ. Здесь уже речь не про лучшие практики, а про обязательные требования, что сильно ускоряет переход от разрозненных действий к системной, управляемой модели безопасности ERP.

– SafeERP позиционируется как комплексное решение. В чем его принципиальное отличие от набора инструментов с теми же возможностями?

– Набор инструментов – это когда у вас есть SAST и отдельно аудит прав, отдельно еще какие-то проверки, и все вместе существует само по себе, без связки и единого контекста.

Комплексный подход – когда вы смотрите на систему целиком: код, настройки, роли, процессы, потому что реальные риски почти всегда возникают на пересечении этих уровней. Например, код может быть формально безопасным, но избыточные права делают его уязвимым. Или наоборот – корректные роли не спасают, если есть ошибки в логике.

При системном подходе заказчики часто отмечают, что им не нужно держать набор разрозненных решений. Фактически речь идет о едином окне для контроля безопасности SAP или 1С, где вся информация сводится и анализируется в контексте бизнес-процессов. Ключевая разница в том, что инструменты дают данные, а система должна давать управляемость. Не просто список проблем, а понятный ответ: что делать, какой приоритет, как влияет на бизнес.

В контексте КИИ это становится критичным, потому что требования предъявляются не к наличию отдельных средств защиты, а к выстроенному процессу управления безопасностью и способности контролировать состояние системы в целом.

– Какую часть задач директора по ИБ продукт берет на себя?

– Директор по ИБ всегда работает в двух измерениях: с одной стороны – реальные риски для бизнеса, а с другой – требования регуляторов и необходимость все обосновать. SafeERP закрывает значимую часть задач, связанных с управлением рисками в бизнес-приложениях: это регулярный контроль уязвимостей, прав доступа, изменений в системе. Параллельно формируется доказательная база – можно показать, что контроль не разовый, а выстроен как системный процесс.

В контексте КИИ такой подход особенно важен, так как недостаточно просто быть защищенным, а нужно уметь подтверждать эту защищенность на уровне процессов, отчетности и регулярности проверок.

И здесь работает принцип четырех глаз. С одной стороны, есть ИБ-руководитель и его команда, они принимают решения и управляют рисками. С другой – система, которая непрерывно анализирует состояние ERP, в том числе в те моменты, когда человек физически не может что-то контролировать, и автоматически уведомляет о проблемах, формируя отчеты и сигналы. По сути, это постоянный дополнительный уровень контроля, позволяющий не упускать критичные изменения и держать ситуацию под управлением.

– Как меняется работа ИБ-команды, после внедрения SafeERP?

– Самое заметное – уходит большой объем ручной работы за счет автоматизации. Специалистам больше не нужно выгружать данные из разных систем, сводить их в электронные таблицы, пытаться вручную сопоставить роли, настройки и результаты проверок. Система сама собирает, коррелирует и обновляет информацию, позволяя команде сосредоточиться не на сборе, а на осмыслении и принятии решений. Появляется фокус на анализе, а не на рутине. Когда данные уже структурированы и приоритизированы, у ИБ-команды появляется время разбирать реальные риски, оценивать их влияние на бизнес и выстраивать план устранения, а не тратить ресурсы на подготовку исходных данных.

Второе – появляются системность и непрерывность. Это уже не разовые проверки или аудит для галочки, а постоянный автоматизированный процесс контроля: изменения в системе отслеживаются регулярно, а отклонения фиксируются сразу, а не спустя месяцы.

Третье – меняется взаимодействие с разработкой, которое становится более предметным и встроенным в процесс: задачи на исправление формируются автоматически, появляются конкретные рекомендации, снижается количество разночтений между ИБ и разработчиками.

И, что важно, снижается уровень шума. За счет механизмов приоритизации и управления ложными срабатываниями команда перестает тонуть в потоке уведомлений и начинает работать именно с теми рисками, которые действительно могут повлиять на бизнес.

– Что в продукте оказалось самым сложным с точки зрения разработки – с учетом специфики SAP и 1С?

– Самое сложное, что SAP и 1С – это не просто технологии, а целые экосистемы со своей логикой, терминологией, историей. Там нельзя просто взять и применить классические подходы AppSec. Нужно понимать, как работает бизнес внутри системы, соблюдая баланс между глубиной анализа и практической применимостью. Можно найти тысячу проблем, но если с ними невозможно работать, то это не решение.

– Если сравнивать SafeERP с классическими AppSec или IAM-решениями – в чем принципиальное отличие подхода?

– AppSec традиционно фокусируется на коде: ищет уязвимости, небезопасные конструкции, ошибки логики. IAM, в свою очередь, отвечает за доступ: кто, куда и с какими правами может зайти. Но в ERP этого разделения недостаточно. ERP-безопасность – про связку этих уровней с бизнес-процессами. Сама по себе уязвимость в коде может ничего не значить до тех пор, пока не станет понятно, где она находится и кто может ею воспользоваться. И наоборот, как я уже отмечала, даже корректный код при избыточных правах доступа может создавать критичный риск.

В ERP всегда важно смотреть в контексте операций: кто инициирует процесс, кто его согласует, какие данные используются и к каким финансовым или производственным результатам это приводит. Именно на этом уровне проявляются реальные угрозы – не как технические дефекты, а как сценарии, влияющие на бизнес.

Поэтому ключевой вопрос заключается не просто в том, есть ли уязвимость, а в том, к чему она может привести (к финансовым потерям, искажению отчетности, остановке процессов, нарушению требований регулятора). Это уже другой уровень контекста – уровень бизнес-рисков, где безопасность перестает быть исключительно технической задачей и становится частью управления компанией.

– SafeERP появился раньше, чем регуляторные требования. Насколько продукт оказался готов к ним?

– Здесь важно понимать логику: не мы придумали этот рынок – его создал регулятор. Когда ERP-системы были признаны частью КИИ, это фактически закрепило новый класс обязательных решений. Компании больше не могут говорить "у нас все под контролем" без возможности это подтвердить. Им нужен инструмент, дающий системный контроль над безопасностью ERP и позволяющий продемонстрировать этот контроль на уровне процессов и отчетности. Мы SafeERP развиваем с 2012 г., и он оказался в правильном месте в правильное время. Мы не адаптировали классический AppSec под КИИ, а изначально строили решение под специфику ERP-систем – с пониманием бизнес-логики SAP и 1С, с анализом ролей, кода и настроек в едином контексте. Соответствие требованиям – это минимальная планка, чекбоксы. А реальное управление рисками другое: когда компания понимает, что именно происходит внутри ERP, какие изменения в бизнес-процессах несут реальные риски, и что с этим нужно работать на постоянной основе, а не раз в год по итогам аудита.

Разница примерно такая же, как между справкой о прохождении медосмотра и реальным контролем здоровья. Требования КИИ подталкивают рынок именно ко второму – SafeERP как раз для этого и создавался.

– Какую роль SafeERP играет в зрелости российского рынка кибербезопасности?

– Он помогает перейти от реактивной модели к управляемой. Если смотреть на эволюцию, то безопасность ERP как отдельное направление начала формироваться задолго до появления текущей повестки КИИ. Например, мы работали в связке с SAP СНГ, проходили процедуры сертификации и в целом находились в той парадигме, где вендор задает стандарты безопасности и поддерживает экосистему. Тогда это была более зрелая, во многом уже выстроенная модель с регулярными обновлениями, рекомендациями и понятной логикой работы с рисками. После ухода вендора ситуация изменилась, но сама потребность никуда не делась. Более того, сейчас она стала острее: компании продолжают использовать SAP и нуждаются в актуальной информации об уязвимостях и способах их устранения. Поэтому мы продолжаем развивать это направление, в том числе работаем с механизмами доставки и применения SAP Security Note, чтобы заказчики могли поддерживать защищенность систем даже в текущих условиях.

Параллельно последние три года мы активно развиваем направление 1С. Этот рынок находится на более ранней стадии зрелости: если анализ кода как практика уже стал понятен и востребован, то тема контроля настроек, ролей, архитектурных особенностей ERP только начинает системно оформляться. При этом именно она часто определяет реальные бизнес-риски.

Мы видим, что специализированных решений, которые учитывают глубину и специфику ERP (будь то SAP или 1С), на рынке все еще немного. Поэтому не просто развиваем продукт, но и в целом участвуем в формировании подхода. В том числе ведем диалог с вендором 1С в части возможной сертификации решений по безопасности – это важный шаг для дальнейшего развития экосистемы.

В итоге рынок постепенно переходит от разрозненных инструментов и реактивных мер к системной модели. И ключевая ценность здесь в том, что безопасность ERP становится не разовой активностью, а управляемым, прозрачным процессом, встроенным в ИТ-ландшафт и бизнес-практики компании.

– Есть ли примеры, когда внедрение SafeERP выявляло риски, о которых компания даже не подозревала?

– Да, и это происходит гораздо чаще, чем кажется – просто до момента выявления последствий об этом никто не задумывается.

Истории на самом деле не новые, но каждый раз они по-настоящему удивляют заказчиков. Например, классическая ситуация, когда одна роль в ERP-системе может выполнять полный цикл финансовой операции: создать контрагента, инициировать платеж, согласовать его и провести. Формально все работает, процессы не ломаются, но с точки зрения рисков это прямая возможность для злоупотреблений.

Или другая распространенная история – забытые прямо в коде пароли, ключи доступа или технические учетные данные. Может быть, они там были оставлены разработчиком на время, но в итоге живут в системе годами. Сама по себе такая практика известна давно, но когда это находят в продуктивной ERP-системе, которая управляет финансами или производством, то всегда вызывает сильную реакцию.

Часто выявляются и более тонкие вещи: избыточные права у сервисных пользователей, не отключенные отладочные механизмы, неконтролируемые изменения в бизнес-логике, которые никто уже не может полностью отследить из-за объема доработок. Ключевой момент в том, что эти риски редко лежат на поверхности. Они возникают на стыке, где есть и код, и доступы, и конкретный бизнес-процесс. И пока нет инструмента, который смотрит на систему целиком, такие сценарии могут годами оставаться незамеченными. Поэтому, когда компания впервые получает системную картину по своей ERP, это почти всегда эффект неожиданного открытия – не потому, что система плохая, а потому что ее сложность со временем начинает работать против прозрачности.

-2

– Что чаще всего удивляет заказчиков после получения первых результатов работы системы?

– Заказчиков, как правило, удивляет не столько сам факт наличия уязвимостей, сколько их масштаб и возраст. Очень часто оказывается, что критичные риски существовали в системе годами и при этом не проявлялись явно, потому что никто не смотрел на них в комплексе.

Отдельное удивление вызывает тема уязвимостей в 1С. У многих заказчиков есть ощущение, что это внутренняя система, где все под контролем, но на практике в доработках, расширениях и настройках накапливаются ошибки, которые могут приводить к реальным рискам – от искажения данных до несанкционированных действий.

В SAP часто открытием становится сам масштаб ландшафта и уровень его связности. Например, контроль RFC-соединений позволяет фактически выстроить карту взаимодействия систем: какие узлы связаны между собой, какие сервисы обмениваются данными. Для заказчиков это ценно не только с точки зрения безопасности, но и как инструмент прозрачности, потому что в крупных инсталляциях вручную отследить такие связи практически невозможно.

И в целом главный эффект заключается в понимании реальной картины. ERP – сложная, живущая годами экосистема, где без системного контроля неизбежно накапливаются зоны риска.

– Насколько реалистичен переход от обнаружения к предиктивной безопасности в ERP-системах?

– Переход к предиктивной безопасности в ERP – это уже не теория, а постепенная эволюция, которая частично реализуется прямо сейчас. Но важно понимать, что это не скачок, а последовательное развитие текущих практик.

Сегодня большинство решений находятся на уровне обнаружения и реагирования: мы находим уязвимости, анализируем права, фиксируем отклонения. Следующий шаг – это накопление контекста и истории: система начинает понимать, какие изменения происходят регулярно, какие из них нормальны, а какие выбиваются из общей картины. Именно на этом уровне появляется зачаток предиктивности. Например, можно заранее увидеть, что новая роль потенциально нарушает принцип разделения обязанностей, или что изменение в коде приведет к риску еще до выхода в продуктив. То есть мы начинаем не просто фиксировать проблему, а предупреждать ее появление.

Но полноценная предиктивная безопасность требует более зрелых данных и процессов: накопленной статистики, интеграции с процессами разработки, понимания бизнес-контекста. В ERP это особенно сложно, потому что каждая система уникальна, сильно кастомизирована и живет десятилетиями.

При этом есть еще один важный фактор – требования КИИ. Они подталкивают рынок к тому, чтобы переходить от реактивной модели к управляемой и предсказуемой, потому что речь идет уже не только о рисках, но и об ответственности.

В пределах ближайших пяти лет мы, скорее всего, увидим гибридную модель, где базовые вещи уже автоматизированы и частично предсказываются, а сложные сценарии все еще требуют участия экспертов. И это нормально. В ERP слишком много бизнес-контекста, чтобы полностью все автоматизировать. Но двигаться в сторону предиктивности – абсолютно реалистично, и рынок уже туда идет.

– Как будет выглядеть идеальная модель защиты бизнес-приложений через три-пять лет?

– Безопасность окончательно перестанет быть отдельной функцией и станет встроенной частью всех процессов работы с бизнес-приложениями.

Речь не только про ERP. Это будет единый контур контроля для всех критичных систем: ERP, CRM, внутренние порталы, отраслевые приложения, которые перестанут рассматриваться как просто софт для бизнеса и начнут управляться с точки зрения рисков – так же системно, как сегодня управляются инфраструктура или сеть.

Первое, что изменится, – безопасность будет глубоко интегрирована в жизненный цикл изменений. Любое изменение в коде, настройках или ролях будет автоматически проверяться еще до попадания в продуктив. DevSecOps, который на Западе уже стал стандартом, у нас тоже окончательно закрепится как базовая практика.

Второе – появится единый слой наблюдаемости и контроля. Не набор инструментов, а именно единое окно, где видно состояние безопасности приложений в контексте бизнеса: какие процессы под риском, какие изменения влияют на критичные операции, где есть отклонения.

Третье – усилится автоматизация и элементы предиктивности. Системы будут не только находить проблемы, но и предупреждать о них заранее: на этапе проектирования ролей, разработки функционала, изменения архитектуры. При этом человек не исчезнет из процесса, но его роль сместится в сторону принятия решений, а не ручного контроля.

Четвертое – требования регуляторов (в том числе в части КИИ) окончательно закрепят эту модель. Компании будут обязаны не просто иметь средства защиты, а демонстрировать управляемый, непрерывный процесс обеспечения безопасности бизнес-приложений.

В этой модели решения вроде SafeERP занимают роль базового слоя – платформы, которая дает целостное понимание безопасности бизнес-приложений и связывает технические проверки с бизнес-контекстом. Со временем такие решения перестанут восприниматься как что-то дополнительное, а станут стандартом для компаний, которые управляют рисками осознанно, а не реактивно. l

Запросите демо SafeERP и узнайте, что реально происходит внутри вашей системы.
https://www.gaz-is.ru/produkty/zashchita-sap/safe-erp

Реклама: ООО «Газинформсервис». ИНН 7838017968. Erid: 2SDnjeUyHnA