«Диасофт» и «Центр «РИС» подтвердили безопасность решения Digital Q.ERP

Современные вызовы безопасности для решений класса ERP

В быстроразвивающемся мире информационных технологий промышленное производство переживает цифровую трансформацию. Стремление к повышению эффективности сквозных и локальных бизнес-процессов и снижению издержек побуждает предприятия автоматизировать производство и внедрять современные технологии. ERP-система становится для современного предприятия не просто инструментом учета, а «центральной нервной системой» предприятия.

В современном решении класса ERP консолидируются все ключевые процессы. В частности, в решении Digital Q.ERP от «Диасофт», признанном самой инновационной ERP-системой по версии СNews Market, выделены 8 стратегических шагов построения современного производства (рисунок 1):

• Стратегия. Долгосрочное планирование доходов и расходов по бизнес-направлениям с использованием метода Activity-Based Costing для моделирования финансовых результатов стратегических решений.
• Бюджет. Финансовое и количественное планирование, сценарное планирование и контроль установленных лимитов в режиме реального времени.
• Сбыт. Прогнозирование спроса и обеспечение реализации продукции, формирование и корректировка прогнозов продаж на основе актуальных данных.
• Договор. Централизованное управление жизненным циклом договоров: от создания и согласования до контроля исполнения условий, сроков и платежей.
• План производства. Планирование и управление процессами производства по методологии MRP II, расчет потребностей в материалах и загрузке мощностей.
• Изготовление. Производство продукции и оказание услуг, контроль качества и техническое обслуживание оборудования (ТОиР) для минимизации простоев.
• Финансы. Учет доходов и расходов, аллокация затрат и калькуляция себестоимости продукции и услуг.
• Отгрузка. Организация транспортной логистики, хранения и интеграция с маркетплейсами готовой продукции и торговыми площадками.

𝓲

Фото: Диасофт

ERP-решение концентрирует в себе чувствительную информацию: финансовые потоки, персональные данные и конфиденциальную информацию. Кибератаки могут привести не только к утечке данных, но и к остановке ключевых бизнес-процессов. Безопасность современного ERP-решения становится системообразующим требованием, влияющим на операционную непрерывность и экономическую безопасность предприятия. Для объектов критической информационной инфраструктуры (КИИ) проактивный аудит безопасности является обязательной частью жизненного цикла системы.

Методика тестирования безопасности от компании «Центр «РИС»

Специалисты компании «Центр «РИС» применяют комплексный подход пентест-тестирования, моделируя действия злоумышленника. Тестирование проводится на базе российской операционной системы Ред ОС с применением средства контроля и анализа защищенности RedCheck, сертифицированного ФСТЭК России, а также инструментами Burp Suite, Ffuf и иными.

Ключевые этапы тестирования включают:

1. Анализ внешней защиты. Комплексное сканирование инфраструктуры, включающее пассивный и активный поиск поддоменов целевого домена для расширения поверхности атаки, выявление открытых портов и сетевых служб, а также обнаружение скрытых ресурсов.
2. Поиск известных уязвимостей. Проверка на наличие устаревших версий ПО, опасных файлов, стандартных проблем конфигурации и уязвимостей, имеющих идентификаторы CVE (общеизвестных уязвимостей).
3. Оценка безопасности веб-сервера. Анализ заголовков сервера, настроек cookie и других общих векторов атак.
4. Ручное тестирование бизнес-логики приложения. Исследование бизнес-логики приложения через перехват, анализ и модификацию HTTP/S трафика.
5. Автоматическое сканирование. Комплексное сканирование с помощью российского программного обеспечения RedCheck.

Специалисты «Центр «РИС» применяют комплексную методику, которая сочетает автоматизированное сканирование с ручным тестированием и обеспечивает выявление как стандартных уязвимостей, так и специфических рисков. По результатам формируется комплексная оценка защищенности ERP-решения, позволяющая дать рекомендации для усиления защиты.

Результаты тестирования российского решения Digital Q.ERP от «Диасофт»

В рамках анализа уязвимостей специалистам компании «Центр «РИС» был предоставлен доступ к демонстрационному стенду веб-приложения решения Digital Q.ERP от компании «Диасофт».

Автоматическое сканирование не выявило в системе общеизвестных уязвимостей, что свидетельствует о своевременном обновлении используемого технологического стека.

Ручное тестирование позволило обнаружить потенциальные некритические уязвимости в анализируемом веб-приложении. Найденные уязвимости не способствовали проникновению злоумышленников во внутреннюю инфраструктуру, однако с их помощью можно было оказать влияние на работу веб-приложения в целом, в том числе создать инцидент недоступности.

Результаты тестирования подтвердили высокий уровень защищенности решения Digital Q.ERP от уязвимостей программного обеспечения. По результатам тестирования специалисты компании «Диасофт» выполнили все рекомендации компании «Центр «РИС», что позволило оперативно устранить потенциальные уязвимости и усилить защищенность решения Digital Q.ERP.

Проактивная безопасность как конкурентное преимущество ERP-решения

Современные требования к защите ERP-систем предполагают подход от реактивного реагирования на инциденты к проактивному выявлению потенциальных угроз.

Сотрудничество компаний «Диасофт» и «Центр «РИС» демонстрирует важность аудита безопасности как части жизненного цикла системы. Сотрудничество позволило не только верифицировать текущий уровень защищенности решения Digital Q.ERP, но и реализовать дополнительные меры безопасности. Своевременное устранение рисков позволяет компании «Диасофт» значительно усилить безопасность продукта для клиентов, включая объекты КИИ.

Решение Digital Q.ERP от «Диасофт», включенное в список лучших ERP-систем от CIO Navigator, изначально разрабатывалось с учетом современных требований безопасности. Решение реализовано на импортонезависимом технологическом стеке экосистемы low-code разработки микросервисных программных продуктов Digital Q (Лидер в рейтинге). Реализация на основе микросервисной и композитной архитектуры обеспечивает масштабируемость и отказоустойчивость, а также изоляцию компонентов и минимизацию поверхности атаки.

Проведенное тестирование и оперативное выполнение рекомендаций подтверждают, что Digital Q.ERP соответствует высоким стандартам защиты, ожидаемым от решения для предприятий уровня enterprise. Это позволяет заказчикам получить все преимущества стабильной, функциональной и безопасной платформы для использования на крупных предприятиях, включая объекты КИИ.