ERP признали объектами КИИ — кто ответит за безопасность SAP и «1С»

Формально распоряжение № 360-р, утвердившее единый перечень из 397 типовых отраслевых объектов КИИ, лишь закрепило практику, существовавшую с 2024 года в виде рекомендаций. На практике оно перевёло разговор о безопасности из плоскости технических дискуссий в плоскость комплаенса и юридической ответственности.

Согласно документу, ERP-системы прямо названы объектами КИИ для ключевых отраслей промышленности. Это обязывает компании провести категорирование систем, внедрить сертифицированные средства защиты и обеспечить непрерывный мониторинг. За неисполнение — штрафы, а в случае серьёзных инцидентов — уголовная ответственность.

Рынок оказался в ситуации двойного давления. С одной стороны, огромный пласт предприятий продолжает эксплуатацию SAP-систем. Внедрения, на которые ушли десятилетия, содержат тысячи кастомных разработок и уникальные бизнес-процессы. Остановить их или быстро заменить невозможно. С другой — требования импортозамещения и политика технологического суверенитета подталкивают к миграции на конфигурацию «1С:ERP» и другие отечественные решения. 

Если с SAP ситуация осложняется отсутствием вендорской поддержки, то в случае с «1С» перед компаниями стоит другая задача — правильно настроить безопасность отечественной платформы в соответствии с требованиями ФСТЭК для объектов КИИ. И здесь спектр контролируемых параметров значительно шире, чем может показаться на первый взгляд.

Приказы ФСТЭК №17, №21 и №239 устанавливают чёткие требования к защите информации. Для платформы «1С» это означает необходимость контроля целого ряда параметров, которые ранее часто оставались без внимания. В частности, речь идёт о:

• профилях безопасности кластера серверов 1С;
• настройках ролей и полномочий;
• правах доступа к конфигурациям и внешним обработкам;
• параметрах журналирования событий.

Как поясняют специалисты, платформа «1С:Предприятие» сама по себе предоставляет базовые механизмы защиты от опасных действий. Например, при попытке выполнения потенциально опасных операций — загрузки внешней обработки, выполнения команды операционной системы, управления пользователями — система запрашивает подтверждение у пользователя. Однако в масштабах крупного предприятия с тысячами пользователей и сотнями внешних отчётов полагаться только на «ручной» контроль невозможно.

Основная причина, по которой код «1С» нуждается в автоматизированной проверке, — высокая вероятность появления уязвимостей при кастомизации и доработке типовых конфигураций. Разработчики, работающие в условиях жёстких сроков, могут непреднамеренно внести ошибки, связанные с недостаточной валидацией пользовательского ввода, некорректной работой с внешними ресурсами или избыточными привилегиями. Особую опасность представляют доработки прикладного решения — расширения, внешние обработки и отчёты, которые загружаются в систему и могут содержать вредоносный код, маскирующийся под легитимные функции. Без автоматического анализа кода такие угрозы остаются незамеченными до момента инцидента

«Значительная часть рисков в ERP-системах связана с некорректными настройками платформы и избыточными правами пользователей. Для их выявления в SafeERP реализован механизм анализа конфигурации 1С, который проверяет роли, параметры журналирования и ключевые настройки, с возможностью расширения собственными корпоративными проверками с учётом правил безопасности, принятых в компании», — комментирует Римма Кулешова.

Эксперты выделяют несколько ключевых направлений контроля настроек «1С», которые становятся критически важными после признания ERP объектом КИИ.

Управление доступом и ролевая модель. Согласно требованиям ФСТЭК, доступ к данным нужно разграничивать по ролям и давать сотрудникам ровно те права, которые необходимы для работы, — ни больше ни меньше. На практике это означает, что права пользователя определяются совокупностью ролей, входящих в профили групп доступа. При этом одна роль может давать как общесистемные права (запуск тонкого клиента), так и функциональные (чтение, добавление, изменение конкретных объектов конфигурации). Контроль пересечения полномочий и выявление избыточных привилегий — задача, которая без автоматизации становится крайне трудоёмкой.

Регистрация событий безопасности. Требования по регистрации событий безопасности обязывают заранее определить, какие действия в системе нужно отслеживать, собирать и хранить все данные об этом, а потом еще и контролировать, что получилось.  В «1С» эти функции реализуются через журнал регистрации, который фиксирует факты доступа пользователей к данным и отказы в доступе. Однако для выполнения требований КИИ необходимо не просто вести журнал, но и обеспечить его защиту от модификации, а также настроить оповещения о критических событиях.

Контроль целостности. Систему нужно обеспечить защитой, направленной на сохранение ее целостности. 

Для платформы «1С» существует штатная утилита контроля целостности (ci), предназначенная для отслеживания состояния объектов файловой системы и базы данных. Однако в распределённых кластерных средах этого недостаточно — необходим централизованный контроль изменений конфигураций и программных объектов.

Опасные действия внешнего кода. Отдельная зона риска — выполнение стороннего программного кода, который может попасть в систему с внешними отчётами, обработками и расширениями. Платформа «1С» предупреждает о потенциально опасных действиях: попытках выполнить команду ОС, управлять пользователями, загрузить другие обработки или подключить внешние компоненты. Но полагаться только на разовые предупреждения пользователей рискованно — необходимо системное логирование и анализ таких событий.

В таких условиях рынок начинает смещаться от разовых аудитов к внедрению постоянных автоматизированных систем контроля. Компании ищут инструменты анализа защищённости,  способные встроиться в конвейер разработки (DevSecOps), обеспечить контроль настроек и давать верифицируемые результаты для регуляторов.

Одним из таких решений выступает SafeERP от компании «Газинформсервис». Продукт интересен тем, что позволяет контролировать безопасность унаследованных SAP-систем. Технически SafeERP Security Suite реализован как модуль комплексной защиты SAP NetWeaver, что упрощает его интеграцию в существующий ландшафт без болезненных изменений архитектуры. В модуле для SAP реализованы инструменты усиленного контроля ролевой модели, включая сравнение ролей по агентам и мандантам для мгновенного обнаружения различий в правах доступа. Это особенно актуально при реорганизациях и аудитах, когда требуется быстро оценить, не появились ли у сотрудников избыточные привилегии.   

Модуль SafeERP Extension Module анализирует безопасность платформы «1С:Предприятие» по всем направлениям: анализирует настройки, роли и права пользователей конфигураций, а также проводит аудит профилей безопасности платформы. В последних версиях продукта появилась новая функциональность: возможность создания собственных проверок для анализа настроек на основе шаблонов, представленных в веб-интерфейсе ПК и дашборды контроля настроек, визуализирующие количество и критичность уязвимостей, их динамику во времени.

Контролировать взаимосвязи между компонентами — одна из самых трудоемких задач в обеспечении безопасности. В случае с SAP это RFC-соединения, связывающие разные модули и внешние системы. Некорректно настроенное соединение может стать точкой входа для атаки на всю сетевую инфраструктуру.

В последних версиях SafeERP Security Suite добавили наглядное отображение данных ландшафта RFC-соединений в виде графа, что позволяет легко отслеживать пути передачи данных и потенциальные точки входа. Любой факт создания нового соединения или изменения его атрибутов фиксируется и проверяется. 

«Из-за некорректных или плохо контролируемых соединений атака на одну из подключённых систем может распространиться дальше по цепочке, — поясняет Римма Кулешова. — Автоматизация контроля RFC-соединений — это не просто удобство, а необходимость для поддержания целостности всей инфраструктуры».

Анализ исходного кода и конфигураций ERP-систем позволяет выявлять уязвимости на ранних этапах — ещё до того, как они приведут к инцидентам или нарушениям требований безопасности. Однако такие проверки, особенно в крупных корпоративных системах с многолетней историей развития и большим количеством доработок, могут генерировать значительное число предупреждений. Часть из них связана с особенностями архитектуры конкретной системы или легитимными отклонениями от типовых правил, поэтому не всегда представляет реальную угрозу.

В современных инструментах защиты ERP такие задачи решаются за счёт специализированных механизмов анализа прикладного кода. Модуль SafeERP SecSuite проверяет код ABAP по 500 сценариям, находит уязвимости еще до того, как код попадет на ревью и позволяет оперативно поставить задачи разработчикам на доработку. Для платформы «1С» аналогичные задачи решает SafeERP Extension Module: в нём реализовано более семидесяти проверок безопасности прикладного кода и предусмотрена возможность создавать собственные проверки по шаблонам непосредственно из веб-интерфейса ПК без необходимости написания кода. Кроме этого, SafeERP EM способен автоматически выгружать исходный код непосредственно из базы данных «1С». Это позволяет обеспечивать контроль кода, который фактически применяется на продуктивных системах, исключая промежуточные инструменты хранения кода. 

Участники рынка сходятся во мнении, что вслед за признанием ERP-систем объектами КИИ последует волна проверок со стороны регуляторов. Это создаст устойчивый спрос на сертифицированные средства защиты, интегрируемые как с SAP, так и с отечественными платформами. При этом ключевым требованием станет не просто наличие «железа» или сканера, а возможность выстроить сквозной процесс безопасной разработки и эксплуатации, полностью соответствующий требованиям ФСТЭК и приказам Минцифры.

В таких условиях на первый план выходит не набор точечных решений, а комплексный подход, способный закрыть потребности компании на всех этапах жизненного цикла ERP-системы — от разработки до продуктивной эксплуатации.

Для руководителей ИБ это означает, что эпоха «ручного управления» безопасностью ERP заканчивается. Противостоять вручную целой армии хакерских агентов и автоматизированным атакам уже невозможно — на смену приходит обязательная автоматизация процессов контроля целостности, управления доступом и анализа кода. При этом результаты этой работы должны быть понятны не только техническим специалистам, но и регуляторам. И те компании, которые уже сейчас начинают выстраивать эти процессы, получат не только защиту от штрафов, киберустойчивость и реальное снижение операционных рисков в условиях технологической изоляции.