Заказчики: УкрСиббанк BNP Paribas Group Киев; Финансовые услуги, инвестиции и аудит Подрядчики: Техносерв Украина Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2014/04 — 2014/10
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
6 ноября 2014 года компания «Техносерв Украина» и компания Digital Security сообщили о завершении совместного проекта по аудиту ABAP-кода SAP-систем в УкрСиббанке.
Ход проекта
В качестве методической базы для проведения аудита специалисты «Техносерв Украина» и Digital Security использовали рекомендации компании SAP по безопасной разработке программ на ABAP - "SAP security recommendations protecting Java- and ABAP based SAP applications against common attacks", а также методики Digital Security в области поиска и анализа уязвимостей. В рамках проекта специалистами компаний–партнеров было проведено тестирование исходных кодов приложений на предмет соответствия данным рекомендациям, а также на наличие прочих уязвимостей, не включенных в базовый набор, предоставляемый компанией SAP, но, тем не менее, опасных.
Специалисты провели оценку отсутствия авторизации на доступ, наличие уязвимостей разных классов, оценили производительность кода и его качество. По результатам аудита составлен отчет для руководства УкрСиббанка.
Итог проекта
"В ходе анализа безопасности ABAP-кода было выявлены уязвимости различной степени критичности. Стоит отметить, что подобные уязвимости характерны для многих компаний, поскольку при внедрении ERP-систем разработчики в первую очередь думают о функциональной составляющей программ, нежели над их безопасностью или производительностью. Именно поэтому мы рекомендуем выполнять периодический анализ программ, выполняемых в SAP-ландшафте", - отметил Дмитрий Частухин, директор департамента аудита SAP компании Digital Security.
«В ходе проекта специалистами «Техносерв Украина» и Digital Security был произведен не только анализ уязвимостей, но и составлено их ранжирование по приоритету и критичности для SAP-систем УкрСиббанка, а также подготовлены наиболее эффективные рекомендации для специалистов банка по безопасности для их устранения и повышения защищенности систем, - подчеркнул Олег Башинский, коммерческий директор «Техносерв Украина». – В результате проделанной нашими специалистами работы, все критичные уязвимости могут быть устранены в кратчайшие сроки».
«УкрСиббанк получил услугу высокого уровня по контролю безопасности самостоятельно разработанного программного кода для системы SAP for Banking, – поведал Андрей Моршнев, начальник службы информационной безопасности УкрСиббанка BNP Paribas Group. – Выявленные проблемы и недостатки позволят нам не только устранить текущие уязвимости, но и создать методологию самостоятельного постоянного процесса контроля. В конечном итоге, клиенты банка получили, и в дальнейшем могут рассчитывать на высокий уровень безопасности своих средств и предоставляемых банком услуг. Этот уровень на порядок выше, чем был до интеграции УкрСиббанка в крупнейшую международную группу BNP Paribas. Таким образом, в лице компаний «Техносерв» и Digital Security мы приобрели новых надежных партнеров с высоким качеством уровня предоставляемых услуг».