Zranitelnosti ERP a CRM systémů odhaleny! Co ohrožuje vaši organizaci?

Co jsou podnikové systémy? 

ERP (Enterprise Resource Planning) systémy, CRM (Customer Relationship Management) systémy nebo i samotný účetní software jsou často nepostradatelnými nástroji, díky kterým firmy efektivně řídí své aktivity, zdroje a data. ERP systémy zejména integrují jednotlivé firemní procesy do jednoho celku, což výrazně zvyšuje produktivitu jednotlivých uživatelů a usnadňuje řízení celé společnosti. CRM systémy jsou zase plné citlivých dat o zákaznicích. Podnikové systémy tak představují lákavý cíl pro útoky hackerů a jiné kybernetické hrozby. K nim ale o pár řádků níže – nejdříve si totiž v rychlosti představíme podnikové systémy, které tvoří základ tohoto článku. 

ERP systémy 

ERP systémy pomáhají integrovat a automatizovat výrobní, obchodní a další procesy ve společnosti neboli podle svého názvu plánovat podnikové zdroje. Jedná se o komplexní nástroj, který zahrnuje různé funkce, jako je finanční účetnictví, řízení zásob, nákup, výrobu a dodavatelský řetězec. Systémy ERP: 

• propojují a synchronizují data a procesy v různých odděleních, 
• nabízejí ucelený přehled o aktivitách společnosti, dostupnosti a využití zdrojů, 
• pomáhají zvyšovat efektivitu a dělat lepší rozhodnutí. 

Zajímavost: Podle PR Newswire (2021) ERP systém používají jako hlavní firemní systém především výrobní společnosti (21 %), bankovní, finanční a pojišťovací organizace (16 %) a telekomunikační firmy (13 %). Přes 53 % společností také provozuje ERP systém v cloudovém prostředí (Panorama Consulting Group, 2021). 

Tip: Který ERP systém se vám vyplatí více – od Oracle nebo od SAP? 

CRM systémy 

CRM systémy se naopak zaměřují na řízení vztahů se zákazníky a zintenzivnění jejich loajality. Řešení CRM pomáhají společnostem sledovat interakce se zákazníky, shromažďovat a analyzovat jejich údaje a řídit prodejní a marketingové aktivity. Hlavním cílem CRM je zvýšit spokojenost zákazníků, aby se v konečném důsledku zvýšil prodej. 

Tip: Objevte funkce, které vám usnadní řízení vztahů a komunikaci se zákazníky. 

Účetní systémy 

V menších firmách se používají i samostatné účetní systémy, které pomáhají zaznamenávat finanční transakce, jako jsou příjmy a výdaje, a současně zpracovávat účetní podklady potřebné pro legislativní výkazy jako je např. výkaz DPH, kontrolní hlášení DPH, nebo finanční rozvaha a výsledovka. Větší firmy mají účetní data zpracovávána přímo ve finančním modulu ERP systému. 

Přehled kybernetických rizik spojených s podnikovými systémy 

Jakýkoliv bezpečnostní incident má pro organizaci vážné následky, někdy i devastující. Jedná se např. o ztrátu citlivých dat, narušení provozu, poškození reputace a v krajních případech i finanční ztrátu. Jaká jsou hlavní bezpečnostní rizika spojená s podnikovými systémy? 

Kybernetické útoky 

Mezi primární cíle kybernetických útoků patří firemní data, včetně finančních informací, osobních údajů zaměstnanců i klientů a strategických obchodních plánů, které máte uložené v ERP nebo CRM systémech. Nejčastější formy kybernetických útoků ale míří na samostatnou IT infrastrukturu, ve kterých podnikové systémy provozujete. Jedná se např. o: 

• Ransomware: Ransomware je typ malwaru, který šifruje data v systému, a poté od vás prostřednictvím útočníků vyžaduje výkupné za jejich odšifrování. V případě infrastruktury pro ERP nebo CRM systémy může být útok ransomwarem obzvláště ničivý, protože může pozastavit veškeré firemní operace – od nákupu, prodeje nebo výroby až po vyplácení mezd zaměstnancům.  
• Phishing: Phishingové útoky jsou kybernetické útoky, prostřednictvím kterých chce útočník získat důvěrná data (skrze přihlašovací údaje do systému), případně je jeho cílem spustit škodlivý kód. Nejčastěji se objevuje v podobě podvodného e-mailu, zprávy na sociálních sítích nebo jako SMS. 

Tip: Nechte se „hacknout“ nanečisto prostřednictvím penetračních testů. 

Zranitelnosti softwaru 

Podnikové systémy, podobně jako jakýkoliv jiný software, mohou obsahovat zranitelnosti, které následně zneužijí útočníci: 

• Neaktuální software: Používání zastaralých verzí softwaru, které nejsou podporované bezpečnostními aktualizacemi nebo kde zákazník průběžně aktualizace neinstaluje, je značně rizikové. Útočníci tak mohou využít známých zranitelností. 
• Nedostatečné zabezpečení API: API (Application Programming Interface) slouží k propojení podnikových systémů s dalšími aplikacemi a systémy. Pokud není API správně zabezpečené, může být zneužité k neoprávněnému přístupu nebo manipulaci s daty. 

Interní hrozby 

Abychom se nezaměřovali jen na externí útoky, podíváme se i na interní hrozby. 

• Neoprávněný přístup: Neoprávněný přístup zaměstnanců k citlivým datům může vést k úniku informací nebo jejich zneužití. Často k tomu dochází kvůli špatnému nastavení přístupových práv nebo nedostatečné kontrole přístupů. 
• Lidské chyby: Lidské chyby, jako je neúmyslné smazání dat, nesprávné konfigurace systémů nebo nerozpoznání phishingového útoku mívají závažné důsledky pro bezpečnost podnikového systému. 
• Chyby při integraci staršího ERP na nový SW: Starší systémy často používají odlišné datové formáty, což ztěžuje integraci dat. ERP systémy se také přizpůsobují na míru (výrobní firma bude požadovat jiné funkce než firma zabývající se finančním poradenstvím), a proto bývá náročné implementovat aktualizace nebo integrovat nová řešení bez narušení provozu. 

Jak zajistit bezpečnost a ochranu dat v podnikových systémech? 

V této části si probereme osvědčené postupy, jak chránit data ve firemních informačních systémech. 

Pravidelné aktualizace a patch management 

V digitálním světě plném kybernetických hrozeb je nezbytné udržovat systémy aktuální a zabezpečené. Pravidelná správa aktualizací, tedy patch management, je jedním ze způsobů, jak zvýšit úroveň kybernetické bezpečnosti a zabezpečení dat.   

Z angličtiny se slovo „patch“ do češtiny překládá jako záplata. V oblasti IT se jím rozumí aktualizace softwaru. Patche vydávají vývojáři s cílem opravit chyby, odstranit zranitelnosti nebo třeba zlepšit výkon. Aktualizace řídících firmware vydávají i výrobci hardwaru, aby dané součástky správně fungovaly, byly aktuální a zabezpečené. Patch management je tak významný ze čtyř hledisek: 

1. Na prvním místě je bezpečnost. Aktualizace totiž často zahrnují opravy zranitelností, které snadno zneužijí hackeři. 
2. Aktualizace pomáhají udržovat systémy stabilní, takže se nebudete trápit přetížením ani spadnutím systému. 
3. Díky pravidelným aktualizacím si zajistíte kompatibilitu s novými zařízeními.  
4. Některé aktualizace také zvyšují výkon softwaru. 

Aktualizace firemních informačních systémů by se měly provádět co nejčastěji, aby se minimalizovala rizika spojená se zastaralým softwarem. Vyhněte se kybernetickým útokům a zvolte do své firmy takové řešení, které bude vždy aktuální a v souladu s nejmodernějšími technologiemi. 

Zálohování a disaster recovery plán 

Zálohováním dat a disaster recovery plánem (jasný a podrobný plán pro obnovu dat po incidentu) minimalizujete dopad kybernetických útoků nebo jiných bezpečnostních rizik. Pravidelně vytvářejte kopie souborů a zajistěte jejich automatické ukládání na více místech. Ztracená data se tak ve skutečnosti neztratí a můžete je hned obnovit. 

Tip: Přečtěte si více o zálohování metodou 3-2-1. 

Zabezpečení přístupu 

Kontrola přístupu a ochrana dat v informačních systémech spolu úzce souvisí. Co dělat pro vyšší zabezpečení? 

• Přístupová práva: Pokud nejsou správně nakonfigurovaná přístupová práva, sloučení externích zdrojů dat a nástrojů třetích stran s podnikovým systémem způsobuje bezpečnostní rizika. Plná přístupová práva zvyšují zranitelnost systému vůči útokům z jakýchkoliv externích nástrojů, které mají přístup k vaší infrastruktuře.  

V podnikových systémech lze nastavit přístupové role a oprávnění, které určí, kdo má kam přístup (k jakým informacím). Využijte této funkce, abyste zabezpečili svá data.  

• Silná hesla a vícefázové ověřování: Zabezpečení dat stojí také na silných heslech a vícefázovém ověřování – vyžaduje se nejen heslo, ale i další ověřovací prvek (kód zaslaný na mobilní telefon, otisk prstu apod.). Přidaná vrstva ověřování pomáhá ověřit identitu každého uživatele, k firemnímu systému tak budou mít přístup jen určití zaměstnanci.    

Tip: Naučte se vytvářet bezpečná hesla. 

Školení zaměstnanců 

Více než 85 % úniků dat je způsobeno lidskou chybou. Není proto divu, že jsou zaměstnanci považovaní za nejslabší článek v oblasti kybernetické bezpečnosti. A to nás přivádí k jejich důkladnému proškolování, které by mělo obsahovat: 

• informace o aktuálních kybernetických hrozbách, 
• správné bezpečnostní postupy 
• a praktické scénáře, jako jsou simulace phishingových útoků. 

Rádi připravíme vzdělávací plán a osnovu přesně podle vašich potřeb. Naučíme vás zásady bezpečného chování na internetu, představíme vám aktuální bezpečnostní hrozby a vysvětlíme, jak jim předcházet. 

Nepodceňujte zabezpečení dat v podnikových systémech 

ERP, CRM a další podnikové systémy dokážeme provozovat on-premise i v cloudu – zálohy dat uložíme mimo vaši IT infrastrukturu a postaráme se o nepřetržitý monitoring všech firemních IT systémů a technologií.  

Jsme certifikovaní dle ISO 270001. Všechny bezpečnostní aktualizace u nás probíhají pravidelně, možné zranitelnosti jsou tak omezené na minimum. Náš ServiceDesk je navíc k dispozici 24/7/365 v českém i anglickém jazyce. Můžete nás tak kdykoliv kontaktovat.