Журнал "Information Security/ Информационная безопасность" #2, 2026

– AppSec традиционно фокусируется на коде: ищет уязвимости, небезопасные конструкции, ошибки логики. IAM, в свою очередь, отвечает за доступ: кто, куда и с какими правами может зайти. Но в ERP этого разделения недостаточно. ERP-безопасность – про связку этих уровней с бизнес-процессами. Сама по себе уязвимость в коде может ничего не значить до тех пор, пока не станет понятно, где она находится и кто может ею воспользоваться. И наоборот, как я уже отмечала, даже корректный код при избыточных правах доступа может создавать критичный риск. В ERP всегда важно смотреть в кон- тексте операций: кто инициирует про- цесс, кто его согласует, какие данные используются и к каким финансовым или производственным результатам это приводит. Именно на этом уровне про- являются реальные угрозы – не как тех- нические дефекты, а как сценарии, влияющие на бизнес. Поэтому ключевой вопрос заключает- ся не просто в том, есть ли уязвимость, а в том, к чему она может привести (к финансовым потерям, искажению отчетности, остановке процессов, нару- шению требований регулятора). Это уже другой уровень контекста – уровень биз- нес-рисков, где безопасность перестает быть исключительно технической зада- чей и становится частью управления компанией. – SafeERP появился раньше, чем регуляторные требования. Насколь- ко продукт оказался готов к ним? – Здесь важно понимать логику: не мы придумали этот рынок – его создал регулятор. Когда ERP-системы были при- знаны частью КИИ, это фактически закрепило новый класс обязательных решений. Компании больше не могут говорить "у нас все под контролем" без возможности это подтвердить. Им нужен инструмент, дающий системный контроль над безопасностью ERP и позволяющий продемонстрировать этот контроль на уровне процессов и отчетности. Мы SafeERP развиваем с 2012 г., и он ока- зался в правильном месте в правильное время. Мы не адаптировали классиче- ский AppSec под КИИ, а изначально строили решение под специфику ERP- систем – с пониманием бизнес-логики SAP и 1С, с анализом ролей, кода и настроек в едином контексте. Соответ- ствие требованиям – это минимальная планка, чекбоксы. А реальное управле- ние рисками другое: когда компания понимает, что именно происходит внутри ERP, какие изменения в бизнес-процес- сах несут реальные риски, и что с этим нужно работать на постоянной основе, а не раз в год по итогам аудита. Разница примерно такая же, как между справкой о прохождении медосмотра и реальным контролем здоровья. Требо- вания КИИ подталкивают рынок именно ко второму – SafeERP как раз для этого и создавался. – Какую роль SafeERP играет в зрелости российского рынка кибербезопасности? – Он помогает перейти от реактивной модели к управляемой. Если смотреть на эволюцию, то безопасность ERP как отдельное направление начала форми- роваться задолго до появления текущей повестки КИИ. Например, мы работали в связке с SAP СНГ, проходили про- цедуры сертификации и в целом нахо- дились в той парадигме, где вендор задает стандарты безопасности и под- держивает экосистему. Тогда это была более зрелая, во многом уже выстроен- ная модель с регулярными обновления- ми, рекомендациями и понятной логикой работы с рисками. После ухода вендора ситуация изменилась, но сама потреб- ность никуда не делась. Более того, сейчас она стала острее: компании про- должают использовать SAP и нуждают- ся в актуальной информации об уязви- мостях и способах их устранения. Поэто- му мы продолжаем развивать это направление, в том числе работаем с механизмами доставки и применения SAP Security Note, чтобы заказчики могли поддерживать защищенность систем даже в текущих условиях. Параллельно последние три года мы активно развиваем направление 1С. Этот рынок находится на более ранней стадии зрелости: если анализ кода как практика уже стал понятен и востребо- ван, то тема контроля настроек, ролей, архитектурных особенностей ERP только начинает системно оформляться. При этом именно она часто определяет реальные бизнес-риски. Мы видим, что специализированных решений, которые учитывают глубину и специфику ERP (будь то SAP или 1С), на рынке все еще немного. Поэтому не просто развиваем продукт, но и в целом участвуем в формировании подхода. В том числе ведем диалог с вендором 1С в части возможной сертификации решений по безопасности – это важный шаг для дальнейшего развития экоси- стемы. В итоге рынок постепенно переходит от разрозненных инструментов и реак- тивных мер к системной модели. И ключевая ценность здесь в том, что безопасность ERP становится не разовой активностью, а управляемым, прозрач- ным процессом, встроенным в ИТ-ланд- шафт и бизнес-практики компании. – Есть ли примеры, когда внед- рение SafeERP выявляло риски, о которых компания даже не подозревала? – Да, и это происходит гораздо чаще, чем кажется – просто до момента выявления последствий об этом никто не задумывается. Истории на самом деле не новые, но каждый раз они по-настоящему удив- ляют заказчиков. Например, классиче- ская ситуация, когда одна роль в ERP- системе может выполнять полный цикл финансовой операции: создать контр- агента, инициировать платеж, согласо- вать его и провести. Формально все работает, процессы не ломаются, но с точки зрения рисков это прямая воз- можность для злоупотреблений. Или другая распространенная исто- рия – забытые прямо в коде пароли, ключи доступа или технические учетные данные. Может быть, они там были оставлены разработчиком на время, но в итоге живут в системе годами. Сама по себе такая практика известна давно, но когда это находят в продуктивной ERP-системе, которая управляет финан- сами или производством, то всегда вызывает сильную реакцию. Часто выявляются и более тонкие вещи: избыточные права у сервисных пользователей, не отключенные отла- дочные механизмы, неконтролируемые изменения в бизнес-логике, которые никто уже не может полностью отследить из-за объема доработок. Ключевой момент в том, что эти риски редко лежат на поверхности. Они возникают на стыке, где есть и код, и доступы, и конкретный бизнес-процесс. И пока нет инструмента, который смотрит на систему целиком, такие сценарии могут годами оставаться незамеченными. Поэтому, когда компа- ния впервые получает системную кар- тину по своей ERP, это почти всегда эффект неожиданного открытия – не потому, что система плохая, а потому что ее сложность со временем начинает работать против прозрачности. – Что чаще всего удивляет заказ- чиков после получения первых результатов работы системы? – Заказчиков, как правило, удивляет не столько самфакт наличия уязвимостей, сколько их масштаб и возраст. Очень часто оказывается, что критичные риски существовали в системе годами и при этом не проявлялись явно, потому что никто не смотрел на них в комплексе. Отдельное удивление вызывает тема уязвимостей в 1С. У многих заказчиков есть ощущение, что это внутренняя система, где все под контролем, но на практике в доработках, расширениях и настройках накапливаются ошибки, которые могут приводить к реальным рискам – от искажения данных до несанкционированных действий. В SAP часто открытием становится сам масштаб ландшафта и уровень его связности. Например, контроль RFC- соединений позволяет фактически выстроить карту взаимодействия систем: какие узлы связаны между собой, какие сервисы обмениваются данными. Для заказчиков это ценно не только с точки зрения безопасности, но 20 • СПЕЦПРОЕКТ