«УкрСиббанк получил услугу высокого уровня по контролю безопасности самостоятельно разработанного программного кода для системы SAP for Banking, – делится Андрей Моршнев, начальник службы информационной безопасности УкрСиббанка BNP Paribas Group. – Выявленные проблемы и недостатки позволят нам не только устранить текущие уязвимости, но и создать методологию самостоятельного постоянного процесса контроля».
В качестве методической базы для проведения аудита специалисты «Техносерв Украина» и Digital Security использовали рекомендации компании SAP по безопасной разработке программ на ABAP – “SAP SECURITY RECOMMENDATIONS PROTECTING JAVA- AND ABAP BASED SAP APPLICATIONS AGAINST COMMON ATTACKS”, а также методики Digital Security в области поиска и анализа уязвимостей. В рамках проекта специалистами компаний–партнеров было проведено тестирование исходных кодов приложений на предмет соответствия данным рекомендациям, а также на наличие прочих уязвимостей, не включенных в базовый набор, предоставляемый компанией SAP, но, тем не менее, опасных.
В частности, специалисты провели оценку отсутствия авторизаций на доступ, проверили наличие уязвимостей разных классов, оценили производительность кода и его качество. По результатам аудита, был составлен отчет для руководства УкрСиббанка.
«В ходе анализа безопасности ABAP-кода было выявлены уязвимости различной степени критичности. Стоит отметить, что подобные уязвимости характерны для многих компаний, т.к. при внедрении ERP-систем разработчики в первую очередь думают о функциональной составляющей программ, нежели над их безопасностью или производительностью. Именно поэтому мы рекомендуем выполнять периодический анализ программ, выполняемых в SAP-ландшафте», - прокомментировал Дмитрий Частухин, директор департамента аудита SAP компании Digital Security».
«В ходе проекта специалистами «Техносерв Украина» и Digital Security был произведен не только анализ уязвимостей, но и составлено их ранжирование по приоритету и критичности для SAP-систем УкрСиббанка, а также подготовлены наиболее эффективные рекомендации для специалистов банка по безопасности для их устранения и повышения защищенности систем, – говорит Олег Башинский, коммерческий директор «Техносерв Украина». – В результате проделанной нашими специалистами работы, все критичные уязвимости могут быть устранены в кратчайшие сроки».