ФСТЭК России опубликовала рекомендации по повышению защищенности информационной инфраструктуры организаций, использующих системы планирования и учета ресурсов предприятия. К таким системам регулятор отнес платформы SAP NetWeaver ABAP, SAP NetWeaver Java, SAP S/4HANA, SAP Solution Manager (SAP-системы тестовой и производственной инфраструктуры, инфраструктуры разработки, системы управления базами данных SAP HANA, Oracle, Microsoft SQL Server и MaxDB) и их компоненты. Рекомендации были разработаны с участием экспертов ГК «Солар» и Digital Security, дочерней компании «Солара».
Доказательства мер защиты
Согласно актуальным требованиям ФСТЭК России, в случае утечки данных бизнес должен предоставить доказательства, что были предприняты необходимые меры защиты – не «для галочки», а действительно обеспечивающие уровень безопасности. Для разрешения ситуации в правовом поле регулятор выпустил официальные рекомендации, которые определяют минимально необходимый уровень защиты для SAP-инфраструктуры. Новые требования предписывают компаниям, использующим немецкую ERP-систему, системно применять меры защиты не только для сетевого периметра, но и распространить их на уровень логики бизнес-приложений и саму платформу SAP – ее конфигурацию, роли, сервисы, параметры безопасности и точки интеграции.
ФСТЭК России также закрепляет параметры защиты динамически работающих серверов приложений, баз данных и сервисов в контуре SAP: роли и привилегии пользователей, интеграционные подключения, параметры шифрования, журналы событий, системные RFC-доступы. Эти параметры необходимо держать под постоянным и регулярным контролем, поскольку изменения в SAP, вызванные бизнес-процессами, могут затрагивать настройки, влияющие на безопасность, и параметры, считавшиеся безопасными, могут в результате изменений стать уязвимыми.
Угрозы снаружи и внутри
«Многие организации сегодня официально декларируют полный переход на отечественные ERP-платформы, однако реальная картина сложнее. Значительная часть промышленных, энергетических компаний, ритейлеров продолжают использовать SAP в качестве критически важной основы своих производственных и финансовых процессов. В качестве основной тактики обеспечения кибербезопасности компании выбирают защиту сетевого периметра, но поскольку SAP – это глубоко интегрированная бизнес-платформа, то угрозы в ней находятся не только снаружи, но и внутри», – подчеркнул Олег Голиков, руководитель направления защиты корпоративных систем Digital Security.
По результатам аудитов более 50 крупных SAP-ландшафтов, которые были проведены экспертами Digital Security за 2025 год, в 72% компаний, скрыто продолжающих эксплуатацию SAP, выявлены критические пользовательские транзакции, доступ к которым не ограничен по ролям и правам пользователей. В 64% случаев внутри таких SAP-ландшафтов сохраняются устаревшие RFC-интерфейсы с паролями, которые не менялись более трех лет. В 58% компаний были обнаружены модули, которые формально больше не используются, но при этом продолжают обрабатывать персональные и финансовые данные.
В реальных производственных SAP-ландшафтах крупных российских предприятий более 70% попыток атак было зафиксированы внутри бизнес-логики SAP-платформ. В SAP используются собственные протоколы (RFC, DIAG, ICM) и сервисы, которые не контролируются классическими средствами ИБ, поэтому внутренний злоумышленник может получить критичные данные без фиксации сетевого события. Стандартные SIEM-системы фиксируют в ERP-платформе не более 5-7% значимых событий, так как остальные происходят на уровне приложений.
Решение для оценки защищенности
По данным Центра противодействия кибератакам Solar JSOC и Центра исследования киберугроз Solar 4RAYS, в категорию наиболее атакуемых отраслей входит промышленный, финансовый, IT-сектор, ТЭК, ритейл. Компании в этих же отраслях лидируют по доле использования платформы SAP для управления операционной деятельностью. Поэтому ГК «Солар» на базе решений Digital усиливает портфель решений, чтобы обеспечить киберустойчивость SAP-систем с учетом рекомендаций ФСТЭК России.
Технологическая основа решения – продукт ERPСкан – специализированное решение для автоматизированной оценки защищенности SAP-платформ, разработанное с учетом особенностей архитектуры и логики ERP-систем. Его использование снижает нагрузку на ИТ- и ИБ-команды, исключает человеческий фактор и позволяет выстроить прозрачный процесс контроля безопасности SAP-систем.
Источник: текст и фото Группа компаний «Солар»
