Celosvětovému trhu ERP systémů se daří. Podle analytiků Market Research Future poroste v příštích čtyřech letech v průměru o 7 % ročně. Kromě růstu ekonomiky je důležitým stimulátorem růstu i technologický vývoj a nové trendy, které hýbou současným světem informačních technologií a promítají se rovněž do oblasti podnikových informačních systémů. Se zvyšujícím se významem těchto systémů roste ovšem také důraz na jejich bezpečnost.
foto: PixabayZ ERP Security Report společnosti ERPScan pro rok 2017 plyne, že 89 % uživatelů ERP systémů očekávají nárůst útoků proti tomuto softwaru. Pokud je útok úspěšný, průměrné náklady s ním spojené se pohybují okolo pěti milionů amerických dolarů, přičemž třetina dotazovaných zástupců firem očekává spíše částky nad 10 milionů amerických dolarů.
Firmy se podle průzkumu při útoku na ERP systém nejvíce obávají o data zákazníků (72 % dotazovaných), data zaměstnanců (66 %) a e-maily (54 %). 47 % dotazovaných má obavy z krádeže intelektuálního vlastnictví, 46 % o finanční data, 35 % o data o kontraktech, 33 % o zdravotní informace a cca pětina tázaných vyjádřila obavu o marketingová data nebo o vývojářská data.
Když měli tázaní určit nejkritičtější byznys aplikace z hlediska bezpečnosti, označili je v tomto pořadí: ERP (61 %), finanční systémy (57 %), CRM (55 %) a HR (39 %).
Dodejme, že průzkumu se podle jeho autorů zúčastnily téměř dvě tisícovky profesionálů z oblasti IT bezpečnosti z firem nejrůznějších velikostí a z nejrůznějších oborů podnikání.
Když se tazatelé zaměřili na uživatele SAP - a konkrétně se ptali manažerů na úrovni CXO, největší obavu vyjádřili z podvodů, ke kterým by se útočníci díky napadení systému mohli uchýlit. Obavy mají rovněž ze špionáže a za potenciálně problematický označili také fakt, že je ERP systém propojen s dalšími systémy napojenými na výrobu, které by se při úspěšném útoku rovněž mohly stát zranitelnými. Problémem může být rovněž sabotáž vedoucí k výpadku systému.
Podle zprávy z uvedeného průzkumu je velkým problémem také nedostatečné povědomí o rizicích. Pouze 31 % respondentů podle ní vědělo o nejznámějším incidentu (varování US-CERT před možnými čínskými útoky na systémy SAP s více než 30 oběťmi ze strany firem), a to přesto, že dotazováni byli lidé, kteří se o bezpečnost SAP zajímají. A pouze 4 % tázaných věděla o historii společnosti USIS, která byla dodavatelem vládního sektoru, stala se však cílem útoku (dle zmiňované zprávy začal zneužitím slabiny v systému SAP) a následně zkrachovala.
Jakkoli se průzkum zaměřil právě na ERP od SAP, podobných rizik se lze obávat i u dalších ERP systému (a dalšího softwaru pracujícího s citlivými daty obecně).
Důležitá je otázka, kdo nese odpovědnost za zabezpečení systému. I v tomto případě se tazatelé ptali provozovatelů ERP SAP a zjistili, že v mnoha firmách v tomto ohledu panuje zmatek. Šéfové informatiky (CIO) se mnohdy domnívají, že zodpovědnost leží na šéfech informatické bezpečnosti, zatímco ti předpokládají, že tíha leží na CIO, kteří jsou obecně zodpovědní za ERP systém, protože ostatně SAP tým má typicky své oddělení bezpečnosti. A tak se prý mnohdy zabezpečení ERP nevěnuje nikdo.
Situace se podle zprávy ale poměrně rychle mění, přičemž zlomovým prý byl rok 2016, kdy bylo vydáno několik analýz věnujících se právě této oblasti. I tak ale podle zmiňované zprávy Stále jen 30 % respondentů kontinuálně monitoruje a analyzuje bezpečnostní problémy kolem svého systému SAP, aby mohli okamžitě zasáhnout. A analytici k tomu poznamenávají, že právě jen zajištění takové úrovně monitoringu a analýzy může zajistit dostatečnou bezpečnost.
Za pozitivní zprávu lze považovat, že 44 respondentů analyzuje bezpečnost svého (jakéhokoli) ERP systému alespoň jednou měsíčně, čtvrtina pak kontinuálně. Alarmující je ale zjištění, že 14 % jich nikdy neprovedlo analýzu bezpečnosti svého ERP systému.
Máme-li hodnoti podle statistik, celosvětový trh podnikových informačních systémů vzkvétá. Podle analytiků Market Research Future poroste v příštích čtyřech letech...
