ERP-системы-консолидируют большое количество важной для бизнеса информации. С внедрением системы управления предприятием в организации появляется единая точка обработки критичных для бизнеса данных, от которой зависят основные бизнес-процессы. Это превращает ERP-систему в одну из наиболее привлекательных целей для злоумышленника, а также приводит к парализации определенных бизнес-процессов при потере доступности или утрате информации, обрабатываемой в системе.

Вопросы обеспечения ИБ при внедрении ERP-системы учитываются редко. Причина кроется в том, что ответственность за внедрение несет ИТ-служба, для которой приоритетны другие вопросы. Это вопросы работоспособности системы, соблюдения сроков проекта по внедрению, «юзабильности». Хорошо, если вопросы обеспечения информационной безопасности вообще затрагиваются.

Практически ни одна ERP-система не работает в конфигурации «из коробки». В процессе внедрения системы производится ее адаптация (или отдельных модулей) под бизнес-процессы организации с использованием встроенного языка программирования. Появление уязвимостей в программном коде, написанном при адаптации, следствие предыдущего фактора: при доработке редко учитываются вопросы безопасности.

Наконец, уязвимости, в том числе и критические, можно обнаружить и в самой платформе ERP. Как показывает практика, прикладное программное обеспечение (ППО) ERP-системы обычно не включается в общий процесс управления уязвимостями, которым заведует служба ИБ. А подразделение ИТ чаще всего игнорирует оповещения об уязвимостях, если они не влияют на работоспособность системы.

< ... >