سیستم‌های ERP با یکپارچه‌سازی فرایند‌ها و تسهیل جریان بلادرنگ اطلاعات، بین واحد‌های اصلی کسب‌وکار، می‌توانند برای سازمان‌ها، موجب صرفه‌جویی در زمان و هزینه شوند. ERP در حال تجربه کردن تغییراتی است که آن‌را یکپارچه‌تر، هوشمند‌تر، مشارکتی‌تر، مبتنی بر وب و یا حتی بی‌سیم ساخته است. اما، استفاده روزافزون از فناوری‌های وب و پورتال و ارتباط در حال افزایش آن‌ها با زیرساخت حیاتی سیستم، اهدافی با ریسک بالا را هم برای هکر‌های خارجی و هم برای تهدیدات داخلی فراهم کرده است.

سیستم ERP‌ در حال تبدیل شدن به سیستمی با آسیب‌پذیری و میزان محرمانگی بالاست که در آن، امنیت، نقش بسیار حیاتی را ایفا می‌کند. فارغ از این‌که سیستم ERP مورد استفاده سازمان on-premise‌ باشد و یا ‌cloud-based، همواره مسایل امنیتی وجود دارد که متخصصین فناوری اطلاعات و امنیت اطلاعات را مجبور می کند که در راستای مرتفع ساختن آن‌ها درگیر باشند. در ادامه به معرفی مهم‌ترین مسایل و ریسک‌های امنیتی در استفاده از سیستم‌های ERP پرداخته و راه‌کار‌های موجود برای حل آن‌ها را بررسی می‌کنیم.

 

 

ریسک‌های امنیتی سیستم‌های ERP و راهکارهای مقابله با آن‌ها

۱. به‌روزرسانی:

عرضه‌کنندگان ERP، نقاط ضعف و آسیب‌پذیر بودن محصولشان را در فواصل زمانی مشخص و گاهی با فواصل زمانی زیاد بر طرف می کنند، این در حالی است که هکر‌ها، این نقاط ضعف را پیوسته زیر نظر دارند. این آسیب‌پذیری در بستر اینترنت و محیط ابری دوچندان می‌شود. از طرف دیگر، معمولا به‌روزرسانی‌ها در راستای رفع یک مشکل ارایه می‌شوند تا ارایه یک قابلیت جدید. حال اگر سازمان‌ها در به روزرسانی سیستم ERP تاخیر داشته باشند، بیشتر در معرض خطر حملات سایبری قرار می‌گیرند. عدم ارایه نسخه‌های جدید، پچ‌های نرم‌افزاری و امنیتی و ارایه خدمات پشتیبانی از سوی شرکتی که سیستم ERP‌ از آن خریداری شده، می‌تواند تبعات سنگینی همچون غیر قابل استفاده شدن سیستم، از دست رفتن داده‌ها، کرش سیستم، ناسازگاری و نفوذ بد‌افزا‌رها را همراه داشته باشد.

راهکار: پیشنهاد می‌شود اولا سازمان‌ها سیستم‌های ERP‌ انتخاب کنند که مرتب نسخه‌های اصلاحی ارایه داده و امکان به‌روزرسانی را در فواصل زمانی کوتاه فراهم می‌کنند. ثانیا مطمین شوند که همیشه به آخرین نسخه در دسترس، آپدیت هستند. همچنین نرم‌افزار ERP دارای ویژگی آپدیت خودکار، می‌تواند سیستم را به‌صورت خودکار به آخرین نسخه در دسترس به‌روزرسانی کند. 

۲. دسترسی:

سیستم‌های ERP جهت حصول اطمینان از حق دسترسی‌های مختلف به کاربران، تراکنش هایی را پردازش و رویه‌هایی‌ را پیاده‌سازی می‌کنند. مجوزهای بسیاری وجود دارد که به منظور انجام عملیات مختلف به کاربران اعطا می‌شود. حال با افزایش تعداد کاربران، این تنظیمات پیچیده‌تر شده و احتمال خطا بالا می‌رود. مثلا اعطای دسترسی‌های کامل به کاربری که نیاز نیست آن دسترسی‌ها را داشته باشد، می‌تواند به عنوان یک تهدید داخلی بالقوه به شمار آید.

راهکار: در یک سیستم ERP‌ نیاز است که بخشی به عنوان تاریخچه تغییرات در قسمت تنظیمات دسترسی‌ها وجود داشته باشد. همچنین چک لیستی از دسترسی‌های مجاز برای پست‌ها، کاربران و یا گرو‌ه‌های کاربری در نظر گرفته شود و اعطای دسترسی هنگام هرگونه تغییر نظیر استخدام نیروی جدید و یا ترفیعات، مطابق با آن انجام شود. همچنین انجام فرایند‌های حساس نیز به تعداد محدودی از کاربران قابل اعتماد سپرده شود. از طرف دیگر، دسترسی مستقیم توسعه‌دهنگان نرم‌افزار به سیستم جهت تغییرات در برنامه و یا آپدیت داده‌های کسب‌وکار باید با دقت بسیار بالاتری نظارت و کنترل شود.

۳. آموزش و آگاهی:

بسیاری از ریسک‌های امنیتی در سازمان‌هایی که از ERP استفاده می‌کنند، از نداشتن آگاهی کافی کاربران از انتظارات امنیتی سازمان از آن‌هاست. این قضیه برای کارمندانی که تازه استخدام می‌شوند و دانش عمیقی از فرایند‌های داخلی سازمان ندارند اهمیتی بیشتری پیدا می‌کند؛ چراکه که یک اشتباه سهوی می‌تواند کل کسب‌وکار را به مخاطره بیندازد.

راهکار: آموزش سیستم باید به عنوان یک استاندارد از سوی عرضه‌کننده ERP در نظر گرفته شود. آموزش کارمندان جدید باید همیشه در دستور کار باشد و این اطمینان حاصل شود که پروتکل‌های کسب‌وکار به آسانی و به‌صورت گسترده در اختیار همه کارکنان قرار گیرد.

۴. تطابق با استاندارد‌های امنیتی:

اگر از یک سیستم ERP جهت ذخیره اطلاعات محرمانه در حوزه فروش همچون مشخصات شخصی و جزییات پرداخت استفاده می‌شود، بسیار حیاتی است که سیستم، نیازمندی‌های استاندارد‌های امنیتی را برآورد سازد. به عنوان مثال می‌توان به نیازمندی‌های استاندارد PCI DSS در به‌کارگیری کارت اعتباری در پرداخت آنلاین اشاره کرد. تمامی اطلاعات باید به‌صورت رمزنگاری شده ذخیره شود. رمز‌های عبور امن، دسترسی به داده‌ها محدود و قابل ردیابی و در نهایت، اطمینان از تطابق با قوانین و سیاست‌های حوزه کسب‌وکار سازمان از دیگر نیازمندی‌های امنیتی است که نبود آن‌ها، سازمان را با چالش جدی روبه‌رو می‌کند.

راهکار: هنگام انتخاب یک سیستم ERP، باید این نکته مورد توجه قرار گیرد که سیستم مورد نظر مطابق با قوانین و اصول امنیتی طراحی شده باشد. همچنین بسیار مهم است که رمز‌های عبور به شیوه‌ی صحیح مدیریت شوند (مثلا الزام کاربر به تغییر رمز عبوری که سیستم برای آن در نظر گرفته و یا تغییر دوره‌ای رمزعبور) و همیشه پیروی از اقدامات امنیتی مناسب در دستور کار قرار گیرد.

۵. سیستم‌های تصدیق نشده:

مهم‌ترین جنبه استفاده از یک سیستم ERP، یکپارچگی آن است که مشکل نیاز به استفاده از نرم‌افزار‌های مختلف برای نیازهای مختلف را مرتفع می‌سازد. بعضی از سازمان‌ها برای نیاز‌های خاص خود مثلا گزارش گیری در کنار ERP  از نرم‌افزار‌های دیگری نیز اسفاده می‌کنند که سبب پیچیده شدن نگهداری، به‌روزرسانی و امنیت اطلاعات می‌شود.

راهکار: در درجه اول باید هنگام انتخاب ERP‌ این اطمینان حاصل شود که سیستم مورد نظر تمامی نیاز‌های سازمان را در بخش‌های مختلف مرتفع می‌سازد. همچنین تا جایی که ممکن است باید از اکسپورت کردن داده‌ها خودداری شود.

۶. اعتماد به سیستم‌های ابری:

امروزه، استفاده از سیستم‌های ERP‌ ابری در حال افزایش است. در صورت استفاده از یکی از این سیستم‌ها، داده‌های سازمان توسط شرکت ثالثی که میزبان سرویس ابری است نگهداری می‌شود. در کنار مزایای متعددی که سیستم‌های ابری به ارمغان می‌آورند، از نقطه نظر امنیتی اعتماد کامل به یک شرکت ثالث می‌تواند نگرانی‌هایی را نیز ایجاد کند. این نگرانی‌ها شامل مواردی همچون نگهداری داده‌ها و اطلاعات، احراز هویت، اعتبارسنجی و عملیات مدیریت کاربران (ایجاد، تغییر، غیر فعال کردن و حذف حساب کاربری و اعطای دسترسی‌های مناسب)، نظارت بر دسترسی و فعالیت کاربران، مدیریت آسیب‌پذیری‌های امنیتی، برنامه‌ریزی بازیابی از وقایع، اندازه‌گیری و اعتبارسنجی میزان تطابق ارایه‌دهنده ERP ابری با استاندارد‌های مختلف و در نهایت برنامه‌ریزی پاسخ به وقایع و اتفاقات می‌شود.

راهکار: انتخاب یک فراهم‌کننده سیستم ERP‌ ابری باید با دقت بسیار بالا انجام شود و به فرایند‌های امنیتی و قوانین و محدودیت‌های داده‌ها توجه ویژه‌ای شود. مشتریان باید آگاه باشند که سیستم ERP ابری مورد نظرشان، موارد کلیدی همچون ذخیره‌سازی داده‌های حساس، بهر‌ه‌گیری از مکانیزم‌های امنیتی API‌، اعتبارسنجی ورودی/خروجی، حسابرسی امنیتی و ثبت تاریخچه، هندل کردن خطا‌ها و استثنائات، تقویت امنیت سرور و تفکیک مشتریان و زیرساخت را مورد توجه قرار داده است. بعد از انتخاب یک سیستم‌ ERP‌ ابری نیز می‌بایست به صورت پیوسته با شرکت ارایه دهنده خدمات ابری در تماس بوده و مسایل را بازنگری کنند.

۷. احراز هویت:

اگر سیستم ERP‌ تنها به احراز هویت یگانه یا تک مرحله‌ای مثل رمز عبور اکتفا کند، حتما در معرض خطر کرک شدن رمز عبور که یکی از روش‌های رایج هک است، قرار می‌گیرد. برای یکی سیستم ERP‌ که اطلاعات مهم، حساس و محرمانه یک کسب‌وکار را در اختیار دارد، استفاده از رمز عبور به تنهایی که قابل سرقت و یا حدس زدن است بی معنی است.

راهکار: استفاده از روش احراز هویت دوگانه یا دو مرحله‌ای می‌تواند به عنوان یک راهکار موجود تلقی شود. فاکتور‌هایی که در احراز هویت دومرحله‌ای می‌توانند لحاظ شوند عبارتند از درخواست اطلاعات مخصوص کاربر، مالکیت مثل استفاده از توکن جهت ایجاد کد عبور چرخی که کاربر باید به‌صورت فیزیکی همراه خود داشته باشد، استفاده از خصیصه‌های منحصر به فرد کاربر مثل اثر انگشت، تشخیص مکان مثلا بر اساس آدرس IP و در نهایت تشخیص زمان مثلا امکان ورود در یک بازه زمانی مشخص.

۸. کمبود ابزار‌های بررسی امنیتی:

یک سیستم ERP‌ شامل تعداد بسیار زیادی پارامتر و حالات مختلفی از تنظیمات است که متناسب با نیاز هر مشتری شخصی‌سازی می‌شود و می‌تواند تراکنش ها، جداول و پارامتر‌های امنیتی را نیز شامل شود. به دلیل این‌که ابزار‌های موجود روش‌های اختصاصی را برای ارزیابی امنیتی سیستم‌های ERP ارایه نمی‌دهند، معمولا امنیت این سیستم‌ها به‌صورت دستی بررسی و حسابرسی می‌شود که پروسه آن پیچیده و زمان‌بر است و سبب افزایش احتمال اشتباه می‌شود.

 راهکار: در سال‌های اخیر نوع جدیدی از ابزار‌های امنیتی با عنوان راه‌کار‌های خودکارسازی و تنظیمات امنیتی (SOAR) مطرح شده است. این راه‌کار‌ها، فن‌آوری‌هایی هستند که امکان جمع‌آوری اطلاعات تهدیدات امنیتی و هشدار‌های لازم را از منابع مختلف فراهم کرده و می‌توانند با تحلیل و ارزیابی واقعه، ترکیبی از نیروی انسانی و ماشینی را برای کمک به تعریف، اولویت‌بندی، انجام فعالیت‌های استاندارد شده در پاسخ به حادثه متناسب با یک جریان‌کار استاندارد به‌کار گیرند. SOAR در واقع دیگر راه‌حل‌های فن‌آوری اطلاعات و امنیت سایبری را یکپارچه کرده به شکلی که بتوانند با همکاری یکدیگر، یک دید یکپارچه‌ای را از محیط فراهم آوردند و همچنین می‌تواند به‌صورت خودکار یک تسک (شامل تعریف کاربران جدید، حذف کاربران فعلی، نظارت و کنترل آدرس‌های IP و غیره) را بدون نیاز به دخالت نیروی انسانی هندل کند.

 

نرم‌افزار ERP گنجینه‌ای از داده‌های ارزشمند هر سازمانی است که هکر‌ها همواره برای حمله سایبری به آن برنامه‌ریزی می‌کنند. در این شرایط، فاکتور‌های امنیتی متعددی وجود دارند که هنگام انتخاب و پیاده‌سازی یک سیستم ERP باید مورد توجه قرار گیرند. در این مقاله، به معرفی نقاط ضعف و تهدیدات بالقوه یک سیستم ERP پرداخته و راه‌حل‌های عملی پوشش و کنترل آن‌ها را شرح دادیم.

 

 

نویسنده: سینا گل‌محمدی – تحلیل‌گر سیستم ERP تیم‌یار

 

منابع:

www.esecurityplanet.com

www.ptsecurity.com

www.comparethecloud.net

State of ERP Security in the Cloud, Cloud Security Alliance, 2018

Vulnerability Management for an ERP System, Ravi Kiran, International Journal of Computer Applications, 2012