Федеральная служба по техническому и экспортному контролю (ФСТЭК) обнародовала методические указания, посвящённые мерам противодействия угрозам информационной безопасности при эксплуатации SAP-систем в ситуации прекращения их технического сопровождения и поставки обновлений в России. Тимур Цыбденов, ведущий инженер «Газинформсервис» и специалист платформы SafeERP, обозначил 10 основных аспектов обеспечения защиты, которые помогают трансформировать формальные предписания регулятора в работающие автоматизированные процедуры.
С уходом SAP с отечественного рынка компаниям пришлось самостоятельно обеспечивать безопасность своих ключевых ERP-решений. «Отсутствие возможности получать официальные обновления и консультации от вендора ведёт к постоянному накоплению не устранённых уязвимостей и росту неконтролируемых рисков. Ручная работа по учёту тысяч объектов, поиску заплаток и проверке настроек превращается в гигантскую, практически неподъёмную задачу для внутренних команд информационной безопасности, — подчеркнул эксперт. — Выходом является автоматизация процессов киберзащиты с применением отечественных технологических решений».
В качестве технологической основы эксперт рассматривает программный комплекс SafeERP — российскую разработку, внесённую в Единый реестр российского ПО. Это многофункциональный модульный комплекс для обеспечения безопасности сложных ERP-систем, функционирующих на платформах SAP и 1С.
Архитектура продукта модульная, что даёт возможность гибко настраивать систему защиты. Для выполнения задач в соответствии с требованиями ФСТЭК ключевым является модуль SafeERP Security Suite. Он напрямую интегрируется в инфраструктуру SAP заказчика и обеспечивает детальный анализ платформы и программного кода.
Тимур Цыбденов выделил 10 направлений для автоматизации защиты в контексте требований ФСТЭК:
1. Управление обновлениями
Автоматический поиск отсутствующих исправлений на основе собственной базы данных, которая содержит информацию о более чем 4000 Security Notes для SAP. Это крайне важно для поддержания защищённости системы при отсутствии доступа к порталу поддержки SAP.
2. Учётные записи и пароли по умолчанию
Система контролирует сложность паролей, блокирует неиспользуемые учётные записи и отслеживает активность технических аккаунтов (таких как SAP* и DDIC).
3. Неиспользуемый функционал и сервисы
Излишне открытые сервисы SAP NetWeaver, SAP S/4HANA и других компонентов представляют собой одну из основных точек потенциального проникновения для злоумышленников. SafeERP Security Suite автоматизирует наиболее ресурсоёмкий процесс — инвентаризацию и управление сотнями веб-сервисов SAP.
4. Открытые интерфейсы и администрирование
Данная рекомендация реализуется за счёт автоматизированной проверки и управления списками контроля доступа (ACL). Решение выполняет сквозной аудит настроек ACL для критически важных административных интерфейсов, включая SAPControl, Message Server, Gateway и SAPRouter.
5. Настройки профилей и параметры защиты
SafeERP Security Suite анализирует системные профильные параметры по более чем 1300 проверочным сценариям. Автоматическое сравнение с эталонными показателями позволяет выявить и исправить настройки, которые могут позволять обход процедур аутентификации или упрощенный подбор паролей.
6. Криптографическая защита и безопасность коммуникаций
SafeERP Security Suite целенаправленно отслеживает наиболее важные конфигурационные параметры. Решение автоматически проверяет и оценивает ключевые настройки SSL/TLS, включая icm/HTTPS/cipher_suite и ssl/client_ciphersuites, что обеспечивает применение исключительно современных и разрешенных шифровальных алгоритмов, а также правильное включение протоколов для HTTP(S), RFC и прочих соединений. Благодаря концентрации на аудите именно этих системных параметров, SafeERP предлагает проверяемый механизм для выполнения требований регуляторов по защите всех каналов обмена данными в SAP.
7. Управление доступом и разграничение привилегий
SafeERP Security Suite обеспечивает постоянный и целенаправленный мониторинг критически важных административных полномочий. Решение осуществляет детальный контроль над ключевыми точками предоставления привилегий во всей SAP-экосистеме, охватывая роли администраторов в SAP BusinessObjects (CMC), прямые права в базе данных HANA (например, SELECT и ADMIN), разрешения в административных группах сервера приложений Java (J2EE), а также отслеживание назначения и применения сверхпривилегированных профилей SAP_ALL и SAP_NEW.
8. Аудит и ведение журналов событий
SafeERP Security Suite представляет собой не просто средство сбора логов, а целостную платформу для управления информационной безопасностью. Система гарантирует полную фиксацию действий пользователей и всех административных изменений.
9. Защита информации в SAP-системах
SafeERP Security Suite автоматически контролирует правила авторизации. Решение не ограничивается проверкой, а активно обеспечивает соблюдение политик безопасности, централизованно управляя правами доступа к транзакциям и информационным ресурсам.
10. Безопасность процессов разработки в SAP-средах
SafeERP Security Suite комплексно контролирует полный жизненный цикл вносимых изменений. Решение жестко ограничивает использование опасного режима отладки DEBUG в промышленной среде, блокируя возможность подмены переменных, что является одним из ключевых векторов атак. Одновременно продукт интегрируется в транспортную систему SAP (STMS), гарантируя, что любые изменения в продуктивные системы попадают исключительно через утвержденный и контролируемый процесс (DevOps/DevSecOps), а не путем прямого доступа.
«В ситуации, когда официальные обновления недоступны, указания ФСТЭК превращаются в практическое руководство для поддержания работоспособности важнейших систем», — отмечает Тимур Цыбденов. Специалист подчеркивает, что современная безопасность основывается на четырёх ключевых принципах: строгой сегментации, ограничению прав доступа, постоянному контролю и детальному анализу. Автоматизация процессов — это необходимый шаг для создания резерва времени и гарантии бесперебойной деятельности компаний.
