ФСТЭК выпустила рекомендации по защите SAP-систем после прекращения поддержки в России
На фоне ухода вендоров и роста кибератак на промышленность ФСТЭК выпустил руководство по защите SAP-систем. Рекомендации охватывают настройку ролей, паролей и сервисов для SAP S/4HANA и других платформ. Это попытка снизить риски для бизнеса, который пока не может полностью отказаться от иностранного ПО.
Федеральная служба по техническому и экспортному контролю России (ФСТЭК) опубликовала рекомендации по настройке безопасности SAP-систем, используемых для планирования и учета ресурсов предприятий. К таковым в ведомстве отнесли разработанные в Германии SAP NetWeaver ABAP, SAP NetWeaver Java, SAP S/4HANA и SAP Solution Manager. Рекомендации опубликованы на сайте регулятора.
Рекомендации подготовлены регулятором «по результатам анализа сведений об угрозах безопасности информации… в условиях сложившейся обстановки». В сообщении отмечается, что техническая поддержка вышеупомянутых SAP-систем в России прекращена, а обновления ПО не поступают.
Отмечается, что рекомендации были разработаны при участии ИБ-компании «Солар Секьюрити». Они касаются настройки параметров, ролей, сервисов и учетных записей. С их помощью можно привести SAP-системы к безопасным значениям.
Во ФСТЭК рекомендуют проверить обновления — убедиться, что установлен актуальный уровень SAP Security Notes, обновить версию ядра до последней доступной версии, применить последние FixPack в BI-платформе. Также советуют проверить функционал и сервисы, отключив и остановив неиспользуемые ICF-сервисы и J2EE-сервисы.
Существенная доля рекомендаций касается управления ролями и обновления паролей. Во ФСТЭК рекомендуют проверить наличие и состояние учетных записей SAP, DDIC, SAPCPIC, EARLYWATCH, обновить пароли администратора, отключить доступ через Guest. Минимальная длина паролей должна составлять 15 символов, включая буквы, цифры и спецсимволы. Срок действия паролей при этом не должен превышать 90 дней.
Как писал CNews со ссылкой на исследование «Т1», российский рынок ERP-систем (Enterprise Resource Planning, планирование ресурсов предприятия), в который входит SAP, в 2024 году составлял 90 млрд руб. и к 2030 году обещает вырасти до 120 млрд руб. ERP используют крупный бизнес — легкая промышленность, химия, металлургия, фармацевтика, а также сельское хозяйство и ритейл.
В ERP-сегменте активно наращивают свою долю российские разработчики — их часть рынка по итогам 2025 года составляет 60%. При этом преобладающая часть российского рынка занята «1С», остальная доля принадлежит «Галактике», «Турбо» и GlobalERP. В исследовании отмечалось, что на рынке ощущается неуверенность в возможности функционального замещения продуктов SAP и Oracle.
SecPost писал, что с начала 2025 года на промышленность и инженерию пришлось 12% кибератак в России. Это второе место после госсектора, на который приходилось 13% атак. При этом промышленность опередила по числу атак финансовый сектор и логистику.
Читайте также
