Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала «Рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории Российской Федерации». Ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил 10 ключевых направлений защиты, которые позволяют перевести теоретические требования регулятора в плоскость автоматизированных технологических процессов.
После ухода SAP с российского рынка организации столкнулись с необходимостью поддерживать защищённость критически важных ERP-систем собственными силами. «Техническая невозможность получать официальные обновления и консультации вендора создаёт растущее множество неисправленных уязвимостей и неконтролируемых рисков. Ручная инвентаризация тысяч объектов, поиск патчей и аудит конфигураций становятся колоссальной, почти невыполнимой задачей для внутренних ИБ-команд, — отметил эксперт, — Решение — это автоматизация процессов кибербезопасности с помощью отечественных технологий».
В качестве технологической базы эксперт рассматривает программный комплекс SafeERP — российскую разработку, зарегистрированную в Едином реестре российских программ, — многофункциональный модульный комплекс для контроля безопасности сложных ERP-систем, работающих на платформах SAP и 1С.
Продукт имеет модульную архитектуру, что позволяет гибко выстраивать защиту. Ключевым для задач ФСТЭК является модуль SafeERP Security Suite, который напрямую встраивается в инфраструктуру SAP заказчика и обеспечивает глубокий анализ платформы и кода.
Тимур Цыбденов выделил 10 направлений автоматизации защиты в рамках требований ФСТЭК:
1. Управление обновлениями
Автоматический поиск отсутствующих исправлений на основе собственной базы данных, включающей более 4000 SAP Security Notes. Это критически важно для поддержания защищённости системы в отсутствие доступа к порталу поддержки SAP.
2. Учётные записи и пароли по умолчанию
Система контролирует сложность паролей, блокирует неактивные записи и отслеживает использование технических аккаунтов (SAP*, DDIC).
3. Неиспользуемый функционал и сервисы
Избыточно открытые сервисы SAP NetWeaver, SAP S/4HANA и других компонентов — одна из главных точек входа для злоумышленников. SafeERP Security Suite автоматизирует самый трудоёмкий процесс — инвентаризацию сотен веб-сервисов SAP и управление ими.
4. Открытые интерфейсы и администрирование
Эта рекомендация выполняется за счёт автоматизированной проверки и управления списками контроля доступа (ACL). Решение проводит сквозной аудит конфигураций ACL для критических административных интерфейсов, включая SAPControl, Message Server, Gateway и SAPRouter.
5. Параметры профиля и конфигурации безопасности
SafeERP Security Suite проверяет параметры профиля системы по 1300+ сценариям. Автоматическая сверка с эталонными значениями позволяет устранить настройки, допускающие обход аутентификации или подбор паролей.
6. Шифрование и защита каналов связи
SafeERP Security Suite целенаправленно контролирует критические параметры конфигурации. Продукт автоматически проверяет и анализирует ключевые настройки SSL/TLS, такие как icm/HTTPS/cipher_suite и ssl/client_ciphersuites, что позволяет гарантировать использование только современных и разрешённых алгоритмов шифрования и корректную активацию протоколов для HTTP(S), RFC и других соединений. Таким образом, фокусируясь на проверке и контроле именно этих системных параметров, SafeERP предоставляет верифицируемый механизм для выполнения рекомендаций регулятора по защите всех каналов передачи данных в SAP.
7. Контроль доступа и разделение полномочий
SafeERP Security Suite проводит непрерывный и целевой мониторинг критичных административных полномочий. Продукт осуществляет глубокий контроль над ключевыми точками привилегий во всей экосистеме SAP, включая роли администраторов в SAP BusinessObjects (CMC), прямые привилегии в базе данных HANA (такие как SELECT и ADMIN), права в административных группах сервера приложений Java (J2EE), а также отслеживание присвоения и использования сверхпривилегированных профилей SAP_ALL и SAP_NEW.
8. Логирование и аудит
SafeERP Security Suite предоставляет не просто инструмент сбора логов, а комплексную платформу управления информационной безопасностью. Система обеспечивает полную регистрацию действий пользователей и административных изменений.
9. Безопасность данных в SAP-системах
SafeERP Security Suite автоматизировано контролирует авторизации. Решение не просто проверяет, а активно обеспечивает соблюдение политики безопасности, централизованно управляя правами доступа к транзакциям и данным.
10. Безопасность процесса безопасной разработки в SAP-системах
SafeERP Security Suite комплексно контролирует весь жизненный цикл изменений. Решение принудительно ограничивает использование опасного режима отладки DEBUG в продуктивной среде, блокируя возможность подмены переменных, что является ключевым вектором атак. Параллельно продукт интегрируется в транспортную систему SAP (STMS), обеспечивая, что все изменения в промышленные системы попадают исключительно через утверждённый и контролируемый конвейер (DevOps/DevSecOps), а не путём прямого доступа.
«В условиях отсутствия легальных обновлений рекомендации ФСТЭК стали прагматичной дорожной картой для выживания критической инфраструктуры», — заключает Тимур Цыбденов. По мнению эксперта, суть защиты сегодня сводится к четырем столпам: жёсткой изоляции, минимизации привилегий, непрерывному мониторингу и глубокому аудиту. Внедрение автоматизированных решений — единственный способ выиграть время и обеспечить стабильность бизнеса.
