تهدیدهای امنیتی سیستم‌های ERP و نحوه جلوگیری از آن‌ها

تهدیدهای امنیتی سیستم  ERP

 

در اواخر ماه جولای گذشته، وزارت امنیت آمریکا (DHS) اخطاری را با این مضمون به شرکت‌ها صادر کرد: «هکرها سیستم‌های ERP شما را هدف قرار داده‌اند.» البته، این مساله تازگی ندارد؛ در عصری است که افزایش حملات سایبری، مسایل مربوط به نرم‌افزارهای مخرب و تهدیدهای امنیتی و همچنین مدیریت نامناسب داده‌ها می‌تواند سازمان شما را تخریب کند، یک امر عادی است.

خوشبختانه، کسب‌وکارها این پیام را دریافت کردند. بررسی‌های اخیر موسسه Gartner نشان داده است که:

این نگرانی‌ها در هیچ نرم‌افزاری بیشتر از نرم‌افزارهای ERP، اهمیت ندارند، زیرا این سیستم‌ها همه نوع اطلاعات، از اطلاعات مالی و حسابداری گرفته تا اطلاعات بسیار مهم مشتریان را در خود ذخیره دارند. به‌ویژه، کسب‌وکارهای کوچک و متوسطی که منابع شرکت‌های بزرگ‌تر را در اختیار ندارند، در خطر بیشتری قرار دارند.

کسب‌وکارهای کوچک و متوسط (SMBها) با توجه به اقدامات احتیاطی زیر، می‌توانند از تهدیدهای امنیتی سیستم‌های ERP اختصاصی رهایی یافته و اعتماد، وفاداری مشتریان و درآمدی را که لازمه یک کسب‌وکار امن و موفق است، حفظ کنند.

آسیب‌پذیری نرم‌افزار: نرم‌افزار خود را بروز نگه دارید

عدم بروزرسانی نرم‌افزار مانند این است که روغن خودرو خود را تعویض نکنید؛ ممکن است در کوتاه‌مدت مشکلی برایتان پیش نیاید، اما در بلندمدت، حتما به دردسر خواهید افتاد.

هکرها همیشه از روش‌های جدید برای شناسایی و حمله به بخش‌های آسیب‌پذیر نرم‌افزار استفاده می‌کنند. این یک تهدید دائما در حال تغییر است و تقریبا در هر آپدیت جدید، دست‌کم یک بخش در معرض آسیب قرار می‌گیرد.

فقط کافی است از FedEx، وزارت کشور روسیه، یا سیستم بهداشت عمومی انگلیس سوال کنید که در سال 2017، با یک حمله جهانی سایبری گسترده مواجه شدند. این حمله امکان سوءاستفاده از نرم‌افزار مدیریت شده توسط شرکت مایروسافت را نشان داد.

راه حل: به محض انتشار بروزرسانی جدید توسط پلتفرم ERP خود، آن را نصب کنید. هر دقیقه‌ای که سیستم ERP سازمان خود را بدون بروزرسانی رها کنید، اطلاعات مهم کسب‌وکار شما در معرض خطر هجوم هکرها قرار خواهند گرفت. نه تنها این موثرترین روش برای جلوگیری از حملات سایبری می‌باشد، بلکه آسان‌ترین راه نیز است.

ریسک داده‌ها: استفاده از برنامه‌های خارجی را محدود کنید

اگر سیستم ERP شما همه قابلیت‌های مورد نیاز برای دسترسی، تجزیه و تحلیل و گزارش‌دهی اطلاعات مهم کسب‌وکار را نداشته باشد، به ناچار باید آن را به برنامه‌های کاربردی خارج از سازمان متصل کنید. البته، استفاده از این قبیل برنامه‌ها، اطلاعات شما را در معرض ریسک قرار خواهد داد.

هرچه اطلاعات خود را بیشتر در بین نرم‌افزارهای غیر ERP توزیع کنید، مدیریت، ردیابی، بک‌آپ‌گیری و حفظ آن‌ها در مقابل تهدیدات مخرب، سخت‌تر خواهد شد.

مثلا، یک SMB که داده‌های خود را به‌طور همزمان در سیستم ERP و مایکروسافت اکسل مدیریت می‌کند، ریسک عدم تطابق بین دو سیستم را به وجود می‌آورد. با ذخیره اطلاعات در دو جای مختلف، مجبورید حفاظت از منابع را دو برابر کنید و همچنین، اطلاعات خود را دو بار در معرض آسیب‌پذیری قرار دهید.

راه حل: بهترین کار نگهداری تمام اطلاعات مرتبط درون یک سیستم ERP اختصاصی و یکپارچه است. چنانچه انجام این کار برایتان مقدور نیست، سیستم ERP خود را به یک نسخه جدیدتر که قابلیت‌های مورد نیاز شما را دارد، بروزرسانی کنید؛ و اگر این امر را نیز مناسب نمی‌دانید، همه اطلاعات خود را در یک سرور داخلی ذخیره کنید و به‌طور مرتب آن را بروزرسانی نمایید. این کار پوششی در برابر شکاف امنیتی نیست، اما دست‌کم در شرایط حمله سایبری، می‌توانید اطلاعات خود را حفظ کنید.

شکاف اجرایی: پیکربندی سیستم خود را دو یا سه بار کنترل کنید

فرایند انتخاب و پیاده‌سازی سیستم ERP سخت و وقت‌گیر است، اما سهل‌انگاری و عدم آمادگی، می‌تواند در بلندمدت اثرات مخربی داشته باشد.

بیش از هر نرم‌افزار دیگری، امنیت سیستم‌های ERP تا اندازه زیادی به پیکربندی پلتفرم شما بستگی دارد. سفارشی‌سازی اتفاقی، گواهی‌های نامناسب، پورت‌های باز و هرگونه شکافی که از پیاده‌سازی نرم‌افزار به جا مانده باشد، می‌تواند کسب‌وکار شما را در معرض خطر قرار دهد.

در حقیقت، تحقیق Digital Shadows و Onapsis که در هشدار بالا به آن اشاره شد، صدها پرونده پیکربندی ERP را شناسایی کرده‌اند که بازگیران بد (هکرها) می‌توانند در برنامه‌ریزی حملات آینده خود به آن‌ها نفوذ کنند.

راه حل: هنگام یکپارچه‌سازی نرم‌افزار ERP خود با عملیات روزانه کسب‌وکار، هرگز نمی‌توانید خیلی دقیق باشید و روش‌های بی‌شماری وجود دارند که منجر به شکست پیاده‌سازی سیستم ERP می‌شوند. به همین دلیل مهم است که کسب‌وکار شما باید وقت بگذارد و از تیم IT بخواهد که با استفاده از تمام قدرت خود، همه پیچ‌های امنیتی در کلیه مراحل یکپارچه‌سازی را محکم کنند؛ مطمئن باشید که اطلاعات سازمان شما بابت این کار سپاسگزار خواهند شد.

خطای انسانی: به همه افرادی که به سیستم دسترسی دارند، آموزش‌های لازم را بدهید

گاهی مقصر یک حمله، خارجی نیست، بلکه از داخل سازمان است.

گزارش سال 2016 شرکت IBM نشان می‌دهد که بیش از 60 درصد حملات سایبری نتیجه اقدامات ناخواسته فردی از درون خود سازمان است.

اگر کارکنان یک سازمان به‌طور کامل آموزش نبینند، صرف‌نظر از اینکه هدف آن‌ها مخرب باشد یا نه، کارکنان سازمان می‌توانند اطلاعات حساس سازمان و مشتریان را به خطر بیندازند. افرادی که به فرایندهای سازمان دسترسی کامل دارند، می‌توانند در قابلیت‌های نرم‌افزار تغییر ایجاد کنند و در نتیجه حفاظت مناسب از سطح دسترسی‌های سیستم ERP از هر چیز دیگری مهم‌تر است.

راه حل: تنها روش موثر برای مقابله با این مساله، اختیار دادن به مورد اعتمادترین فرد سازمان برای اجرای فرایندهای حیاتی سیستم ERP است. همچنین، آموزش همه افرادی که به نرم‌افزار دسترسی دارند، حتی در پایین‌ترین سطوح، امری ضروری است.

همچنین هنگام اعطای دسترسی به افراد، تاریخچه کاملی از تغییرات ایجاد شده و شخص ایجادکننده آن‌ها را ذخیره کنید تا در صورت نیاز به بررسی، تمام اطلاعات لازم را در اختیار داشته باشید.

نقض قانون: از پذیرش استانداردهای قانونی اطمینان حاصل کنید

چه اطلاعات کارت اعتباری یک مشتری و چه اطلاعات محرمانه سلامت یک بیمار را ذخیره می‌کنید، برای حفاظت از اطلاعات محرمانه افراد، برای آن قوانین و مقررات گوناگونی وجود دارد. قوانین حفظ حریم خصوصی به‌ویژه در اروپا رایج است و به‌تازگی نیز GDPR (مقررات حفاظت از اطلاعات عمومی) در آن به اجرا درآمده است، اما در بازار جهانی امروز که بر اینترنت استوار است، این قانون شرکت‌های آمریکایی را نیز تحت تاثیر قرار داده است.

کسانی که به این استانداردها پایند نیستند، بهای گزافی خواهند پرداخت که این خسارت نه تنها روحی، بلکه مالی نیز خواهند بود.

در سال 2016، شرکت مخابرات Vodafone بریتانیا، پس از تخطی در حفظ اطلاعات کاربران خود، با یک جریمه هفت رقمی مواجه شد. در ایالات متحده آمریکا نیز فقط کافی است به جرایم شرکت Facebook نگاه کنیم تا ببینیم نقض حریم خصوصی افراد چطور می‌تواند به شهرت یک شرکت خدشه وارد آورد.

راه حل: در وهله اول، همیشه مراقب باشید که الزامات ویژه صنعت خود را رعایت کنید. شماره کارت اعتباری و داده‌های امن اجتماعی باید همیشه دارای رمز قوی و دیگر الزامات معمول مانند فایروال‌ها، کلمه عبور حفاظت شده و سایر اقدامات احتیاطی، باشند.

اگر سیستم ERP شما این استانداردهای انطباقی را ندارد، آن‌ها را ایجاد کنید؛ ممکن است وقت آن رسیده باشد که سیستم خود را به این نسخه‌ها ارتقا دهید.

 

مترجم: رزیتا مرعشی

{{ message_need_to_login }}
{{language.message_not_empty}}
{{count_of_comments}} 
{{massage_and_class_chat.message}}
{{massage_and_class_tariff.message}}