Журнал "Information Security/ Информационная безопасность" #2, 2026

И, честно говоря, долгое время не было инструментов, которые позволяли бы системно этим управлять. Сейчас ситуация меняется, компании вынужде- ны смотреть на ERP как на объект риска, а не просто систему учета. И тут вскрывается накопленный долг: то, что годами считалось нормальной доработ- кой, оказывается потенциальной уязви- мостью. – Как появление SafeERP изме- нило подход к безопасности биз- нес-приложений? – Я бы не сказала, что появился один продукт и все резко изменилось. Скорее рынок просто созрел для системного подхода к защите ERP. Но такие реше- ния, как SafeERP 1 , действительно высту- пили катализатором этих изменений. Главное – компании начали осозна- вать, что безопасность ERP можно и нужно автоматизировать. Раньше это была в основном ручная экспертиза: точечные проверки, внешний аудит раз в год, реакция на последствия. Сейчас формируется именно процессная модель – регулярный контроль, мони- торинг изменений, приоритизация и пла- номерное устранение уязвимостей. Второй важный сдвиг – движение в сто- рону разработки. Безопасность начинает встраиваться в процесс изменений, а не проверяться постфактум. Но и здесь не всегда все проходит без сопротивления: разработчики не рады дополнительным проверкам, необходимости анализировать код и исправлять замечания. Но со вре- менем приходит понимание, что это дешевле и безопаснее, чем разбирать инциденты в продуктиве. Третье – появляется общий язык между ИБ, разработкой и бизнесом. Когда можно не абстрактно говорить про риски, а показывать конкретные сценарии: какая операция, какая роль или какой участок кода может привести к финансовым потерям или сбою про- цессов. И, конечно, отдельный драйвер – тема КИИ. Здесь уже речь не про луч- шие практики, а про обязательные тре- бования, что сильно ускоряет переход от разрозненных действий к системной, управляемой модели безопасности ERP. – SafeERP позиционируется как комплексное решение. В чем его принципиальное отличие от набо- ра инструментов с теми же воз- можностями? – Набор инструментов – это когда у вас есть SAST и отдельно аудит прав, отдельно еще какие-то проверки, и все вместе существует само по себе, без связки и единого контекста. Комплексный подход – когда вы смот- рите на систему целиком: код, настройки, роли, процессы, потому что реальные риски почти всегда возникают на пере- сечении этих уровней. Например, код может быть формально безопасным, но избыточные права делают его уязвимым. Или наоборот – корректные роли не спасают, если есть ошибки в логике. При системном подходе заказчики часто отмечают, что им не нужно дер- жать набор разрозненных решений. Фак- тически речь идет о едином окне для контроля безопасности SAP или 1С, где вся информация сводится и анализиру- ется в контексте бизнес-процессов. Ключевая разница в том, что инстру- менты дают данные, а система должна давать управляемость. Не просто список проблем, а понятный ответ: что делать, какой приоритет, как влияет на бизнес. В контексте КИИ это становится кри- тичным, потому что требования предъ- являются не к наличию отдельных средств защиты, а к выстроенному про- цессу управления безопасностью и спо- собности контролировать состояние системы в целом. – Какую часть задач директора по ИБ продукт берет на себя? – Директор по ИБ всегда работает в двух измерениях: с одной стороны – реальные риски для бизнеса, а с дру- гой – требования регуляторов и необхо- димость все обосновать. SafeERP закры- вает значимую часть задач, связанных с управлением рисками в бизнес-прило- жениях: это регулярный контроль уязви- мостей, прав доступа, изменений в систе- ме. Параллельно формируется доказа- тельная база – можно показать, что контроль не разовый, а выстроен как системный процесс. В контексте КИИ такой подход осо- бенно важен, так как недостаточно про- сто быть защищенным, а нужно уметь подтверждать эту защищенность на уровне процессов, отчетности и регу- лярности проверок. И здесь работает принцип четырех глаз. С одной стороны, есть ИБ-руко- водитель и его команда, они принимают решения и управляют рисками. С дру- гой – система, которая непрерывно ана- лизирует состояние ERP, в том числе в те моменты, когда человек физически не может что-то контролировать, и авто- матически уведомляет о проблемах, формируя отчеты и сигналы. По сути, это постоянный дополнительный уровень контроля, позволяющий не упускать кри- тичные изменения и держать ситуацию под управлением. – Как меняется работа ИБ- команды, после внедрения SafeERP? – Самое заметное – уходит большой объем ручной работы за счет автомати- зации. Специалистам больше не нужно выгружать данные из разных систем, сводить их в электронные таблицы, пытаться вручную сопоставить роли, настройки и результаты проверок. Систе- ма сама собирает, коррелирует и обнов- ляет информацию, позволяя команде сосредоточиться не на сборе, а на осмыс- лении и принятии решений. Появляется фокус на анализе, а не на рутине. Когда данные уже структурированы и приори- тизированы, у ИБ-команды появляется время разбирать реальные риски, оце- нивать их влияние на бизнес и выстраи- вать план устранения, а не тратить ресур- сы на подготовку исходных данных. Второе – появляются системность и непрерывность. Это уже не разовые проверки или аудит для галочки, а посто- янный автоматизированный процесс контроля: изменения в системе отсле- живаются регулярно, а отклонения фик- сируются сразу, а не спустя месяцы. Третье – меняется взаимодействие с разработкой, которое становится более предметным и встроенным в процесс: задачи на исправление формируются автоматически, появляются конкретные рекомендации, снижается количество раз- ночтений между ИБ и разработчиками. И, что важно, снижается уровень шума. За счет механизмов приоритизации и управления ложными срабатываниями команда перестает тонуть в потоке уве- домлений и начинает работать именно с теми рисками, которые действительно могут повлиять на бизнес. – Что в продукте оказалось самым сложным с точки зрения разработки – с учетом специфики SAP и 1С? – Самое сложное, что SAP и 1С – это не просто технологии, а целые экоси- стемы со своей логикой, терминологией, историей. Там нельзя просто взять и применить классические подходы AppSec. Нужно понимать, как работает бизнес внутри системы, соблюдая баланс между глубиной анализа и практической применимостью. Можно найти тысячу проблем, но если с ними невозможно работать, то это не решение. – Если сравнивать SafeERP с классическими AppSec или IAM- решениями – в чем принципиаль- ное отличие подхода? Вторая причина – сложность самих систем. SAP, 1С – огромные платфор- мы с десятилетиями развития, касто- мизациями, интеграциями. Там нет простых ответов и универсальных инструментов, как в классическом AppSec. Третье – отсутствие прозрачности. В отличие от инфраструктуры, где все более или менее стандартизировано, ERP у каждого заказчика уникальна. • 19 БЕЗОПАСНОСТЬ И НАДЕЖНОСТЬ 1С www.itsec.ru 1 safeerp.ru