Udany atak na systemy SAP może zatrzymać każdy biznes 

Z Jaromirem Wróblewskim, Group IT Infrastructure & Cybersecurity Managerem w Stock Spirits Group i Jackiem Bugajskim, CEO firmy SNOK rozmawiamy o: charakterystyce bezpieczeństwa i zagrożeniach wymierzonych w środowiska SAP, niezbędnej analizie kodu ABAP, możliwościach oraz doświadczeniach w wykorzystaniu technologii platformy SecurityBridge, hardeningu rozwiązań SAP, automatyzacji testów podatności, kompetencjach zespołu SNOK. 

W jakim stopniu wyzwania z obszaru cyberbezpieczeństwa dotyczą systemów SAP?

Jaromir Wróblewski (J.W.): System SAP w wersji R/2 powstał ponad 50 lat temu i w naturalny sposób posiada pewien bagaż doświadczeń. W czasach, kiedy powstawały fundamenty środowiska SAP nikt nie przywiązywał szczególnej wagi do kwestii cyberbezpieczeństwa. Początkowo były to przede wszystkim środowiska zamknięte, działające na platformie mainframe, a więc dostępne i zrozumiałe tylko dla uprzywilejowanych osób. Potrzeba położenia większego nacisku na kwestie bezpieczeństwa pojawiła się dopiero po 2000 roku. Pewnym krokiem milowym dla kwestii cybersecurity w środowiskach SAP była zmiana architektury środowiska towarzysząca migracji środowiska z wersji SAP ECC (R/3) na platformę SAP S/4 HANA. Wówczas do środowiska aplikacji SAP wprowadzono cały framework bezpieczeństwa. Nie we wszystkich scenariuszach jest on jednak w pełni skuteczny. Dlatego w firmie STOCK korzystamy z rozwiązania SecurityBridge, które wypełnia nam lukę bezpieczeństwa SAP.

Jacek Bugajski (J.B.): Moim zdaniem największym błędem jest postrzeganie cyberbezpieczeństwa środowisk SAP wyłącznie przez pryzmat ról i uprawnień. Oczywiście są to kwestie bardzo ważne, ale w żadnym razie nie wyczerpują tematu. W dzisiejszych czasach zapewnienie skutecznej ochrony środowisk SAP wymaga zabezpieczenia wszystkich warstw tej architektury – od właściwej architektury sieci i dostępów, parametryzacji systemu operacyjnego, przez zabezpieczenia bazy danych i serwera aplikacyjnego, na warstwie użytkownika kończąc.

Jednocześnie chodzi tu nie tylko o hardening. Jest to bowiem proces polegający na zabezpieczaniu systemów informatycznych poprzez eliminację zbędnych funkcji, usług i potencjalnych luk w celu ograniczenia powierzchni ataku i zwiększenia odporności na zagrożenia – samego systemu SAP, ale też jego otoczenia. Dodatkowo, należy zadbać nie tylko o bieżący monitoring i nadzór nad działaniem wszystkich rozwiązań budujących ekosystem SAP, ale także o zapewnienie skutecznych polityk oraz rozwiązań mających na celu zapewnienie wysokiej dostępności całego środowiska SAP, w tym też – sprawnego odtwarzania na wypadek nieprzewidzianych zdarzeń. Wspieramy także naszych Klientów w budowaniu planów ciągłości działania (ang. Business Continuity Planning) całego środowiska SAP, w celu  zapobiegania przestojom krytycznych systemów. Wizja bezpieczeństwa według SNOK obejmuje kompleksowe podejście do każdego elementu infrastruktury.

Platforma SecurityBridge kompleksowo wspiera monitoring, wykrywanie i korelowanie naruszeń bezpieczeństwa w środowiskach SAP, a jednocześnie wspomaga zespoły SAP BASIS w codziennej administracji. Potencjał tego rozwiązania jest ogromny, ponieważ pozwala łatwo wychwycić potencjalne podatności i ataki.

Jacek Bugajski, CEO firmy SNOK

Jakie zagrożenia wymierzone w systemy SAP są najbardziej niedoceniane?

J.B.: Z pewnością jednym z najbardziej niedocenianych zagrożeń jest ransomware. Widzieliśmy już szereg tego typu ataków wymierzonych w naszych Klientów. Trzeba pamiętać, że ransomware nie musi być koniecznie wymierzony w urządzenia końcowe. W chwili obecnej – wykorzystany może być każdy z elementów infrastruktury, jeżeli nie jest on odpowiednio zabezpieczony. Należy pamiętać, że łańcuch jest tak silny jak jego najsłabsze ogniwo i w tym wypadku pominięcie któregokolwiek obszaru architektury bezpieczeństwa może skutkować atakiem. Spotkaliśmy się już z atakami ransomware, które szyfrowały farmy maszyn wirtualnych na poziomie hypervisora, jednocześnie powodując awarię samego SAP-a, a przy tym maszyny fizyczne pozostały bezpieczne. W tym wypadku uruchomienie bazy danych na fizycznym serwerze doprowadziło do zdecydowanie szybszego przywrócenia procesów biznesowych organizacji.

Przykład ten pokazuje, że ataki ransomware, znane przecież do niedawna głównie ze świata „konsumenckiego”, dotykają dziś także tych najbardziej zaawansowanych rozwiązań wchodzących w skład środowisk korporacyjnych. Wobec braku dedykowanych zabezpieczeń nierzadko wystarczy, że użytkownik końcowy wprowadzi własne – zainfekowane ransomware – dane do firmowego środowiska. Co więcej, SAP staje się coraz bardziej popularny wśród hakerów – i to na tyle, że zdarza się, iż podatności wykrywane w środowiskach SAP są wykorzystywane, zanim jeszcze zostaną ujawnione przez firmę SAP. Problemem jest też fakt, że wiele organizacji nawet nie dysponuje wiedzą na temat tego, że korzystają z niezałatanych rozwiązań SAP.

Dodatkowo coraz popularniejszym trendem jest budowa środowisk hybrydowych. Przykładem może być tutaj scenariusz, gdzie np. systemy transakcyjne umiejscowione są jako rozwiązania on-premise, a systemy analityczne są w chmurze. W przypadku braku dbałości o bezpieczeństwo spotykaliśmy się z sytuacjami, że systemy SAP były wystawione do publicznego internetu. Zazwyczaj wynika to z braku wiedzy, kompetencji i czasu.

J.W.: Trzeba też pamiętać o tym, że dla potencjalnego hakera dostanie się do środowiska SAP jest niczym włamanie do skarbca. Nie dość, że może wykraść wartościowe informacje o Klientach, produktach, recepturach czy finansach i sprzedać je na czarnym rynku, przekazać konkurencji lub wykorzystać do szantażu, to jest też w stanie unieruchomić cały system, a więc i operacje biznesowe niemałych przecież organizacji, bo takie korzystają z rozwiązań SAP. Innymi słowy, warto przykładać jak największą wagę do zabezpieczenia systemów SAP, bo udany atak na te systemy może położyć każdy biznes.

J.B.: Dodatkowo, niektóre organizacje korzystają z własnych, wbudowanych w środowiska SAP, autorskich rozwiązań napisanych w języku ABAP, czy też coraz częściej w technologiach Fiori. Nierzadko są to rozwiązania oparte na cennym know-how, wręcz nadające się do komercjalizacji. Chroniąc systemy SAP, zabezpieczamy zatem nie tylko wrażliwe dane biznesowe, ale także wartości intelektualne.

Jednak znajomość języka ABAP to raczej wiedza tajemna…

J.W.: Podobnie jak wiedza, że deweloperzy ABAP mają do dyspozycji pewne narzędzia, wytrychy, umożliwiające na przykład zmianę dowolnych wpisów w tabelach, bez pozostawiania śladu w logach. Takie rozwiązania w swoich założeniach miały ułatwiać pracę programistom, ale pozostawione bez nadzoru mogą stanowić poważną lukę.

J.B.: Tryb debugowania da się wyłączyć, ale faktycznie – trzeba mieć świadomość, że coś takiego istnieje, że mogą być luki w istniejącej konfiguracji oraz zabezpieczeniach środowiska SAP. Tu właśnie przychodzimy na rynek z pomysłem na testy penetracyjne i audyty bezpieczeństwa SAP. Wyróżnia nas fakt, że realizując takie testy, wychodzimy z roli firmy zewnętrznej, dostawcy, która posiada podstawowy dostęp do środowiska SAP – i sprawdzamy, jak dalece możemy te uprawnienia wyeskalować. Symulujemy zatem realne ataki na systemy SAP od momentu, w którym cyberprzestępca przełamał zewnętrzne zabezpieczenia sieci i udało mu się zdobyć najniższe uprawnienia użytkownika SAP.

Nie konkurujemy zatem z licznymi firmami zajmującymi się testami penetracyjnymi na ogólnym poziomie. Zamiast tego w SNOK wychodzimy z zaawansowaną wiedzą ekspercką na temat funkcjonowania środowisk SAP. Na potrzeby naszych analiz korzystamy też z platformy SecurityBridge, stworzonej zresztą przez byłych pracowników SAP, którzy zbudowali własne rozwiązanie do analizy podatności systemów tego producenta. Klientom zalecamy wdrożenie tego narzędzia do bieżącej analizy bezpieczeństwa ich systemów – i takie projekty realizujemy.

Jakie są zatem możliwości rozwiązania SecurityBridge?

J.B.: Jedną z najciekawszych funkcji SecurityBridge jest możliwość zautomatyzowania skanowania kodu ABAP właśnie pod kątem wykrywania wszelkich podatności i nieprawidłowości. Analiza tych podatności obecnie wspomagana jest od niedawna przez AI. SecurityBridge poza tym jest rozwiązaniem wspierającym pracę dwóch, często odległych zespołów – bezpieczeństwa oraz SAP BASIS. Platforma SecurityBridge kompleksowo wspiera monitoring, wykrywanie i korelowanie naruszeń bezpieczeństwa w środowiskach SAP, a jednocześnie wspomaga zespoły SAP BASIS w codziennej administracji. Potencjał tego rozwiązania jest ogromny, ponieważ pozwala łatwo wychwycić potencjalne podatności i ataki. Stanowi też bazę dobrych praktyk w obszarze bezpieczeństwa całego środowiska SAP, także w kontekście tworzenia dobrego kodu ABAP.

U niektórych Klientów spotkaliśmy się już z „tylną furtką” dostępu zapisaną bezpośrednio w kodzie systemu SAP. Paradoksalnie jest to dość powszechna praktyka. Trywialnie mówiąc, programista lub konsultant, zapewne jako ułatwienie, pozostawił instrukcję warunkową przyznającą konkretnemu użytkownikowi pełne uprawnienia w systemie (np. SAP_ALL), z pominięciem weryfikacji uprawnień, a więc w sposób niemożliwy do wychwycenia bez analizy kodu ABAP. Tego typu program mógłby doprowadzić do katastrofalnych skutków, jeżeli potencjalny atakujący odkryłby jego istnienie w systemie produkcyjnym.

J.W.: Potwierdzam. Zdarza się, że w trakcie realizacji projektów mogą pojawić się wyzwania związane z bezpieczeństwem kodu ABAP. Platforma SecurityBridge skutecznie identyfikuje tego typu potencjalne luki i klasyfikuje je pod względem krytyczności, umożliwiając szybkie podjęcie odpowiednich działań, co wykorzystaliśmy podczas realizacji jednego wewnętrznego projektu – zanim kod trafił do systemu produkcyjnego.

J.B.: SecurityBridge może też wykrywać anomalie w działaniu użytkowników i wycieki informacji – jeśli jeden z użytkowników niespodziewanie pobiera duże ilości danych, warto się mu przyjrzeć. Należy też zwrócić uwagę, że platforma SecurityBridge we współpracy z rozwiązaniami klasy SIEM jest w stanie efektywnie wykrywać oznaki wielu potencjalnych incydentów bezpieczeństwa. Może bowiem filtrować i korelować informacje dotyczące zachowania systemu oraz użytkowników. Taki model nie wymaga przesyłania do systemu SIEM pełnych logów SAP, a jedynie informacji świadczących o potencjalnych incydentach, co pozytywnie wpływa na efektywność działań i pozwala zmniejszyć koszty usług SIEM, które często są uzależnione właśnie od zakresu analizowanych logów. Różnice w ilości logów SAP przekazywanych do analizy SIEM sięgają nawet 70%.

Rozwiązanie SecurityBridge z powodzeniem wdrożyliśmy w wielu organizacjach komercyjnych, instytucjach publicznych, a także spółkach skarbu państwa. Każdy projekt, który realizujemy, poprzedza trwające ok. miesiąca wdrożenie pilotażowe. Tym samym zapewniamy klientom możliwość zapoznania się z efektami działania SecurityBridge w ramach ich własnego środowiska SAP. Jesteśmy też w stanie przejąć odpowiedzialność za obsługę samego rozwiązania i szerzej – za kwestie bezpieczeństwa SAP czy administrację SAP BASIS. Co ważne, współpracujemy także z firmą Trend Micro, oferującą wyspecjalizowane, certyfikowane rozwiązanie TrendMicro Deep Security for SAP, które doskonale uzupełnia możliwości SecurityBridge.

Co było decydującym czynnikiem, który przekonał kierownictwo Stock Spirits Group do rozwiązania SecurityBridge?

J.W.: Myślę, że decydujące było moje niemal 20-letnie doświadczenie w zarządzaniu obszarem SAP BASIS. Zdawałem sobie sprawę w jakich obszarach środowisko SAP niedomaga, jeśli chodzi o bezpieczeństwo. Już pierwszy kontakt z rozwiązaniem SecurityBridge przekonał mnie, że to rozwiązanie niezbędne dla wszystkich organizacji, które chcą w świadomy sposób podchodzić do zabezpieczenia systemów SAP. Prezentacja, którą przeprowadził dla mnie Jacek, tylko utwierdziła mnie w tym przekonaniu.

Jednocześnie, zbiegło się to w czasie ze zmianami właścicielskimi, które zaszły w naszej grupie kapitałowej. Obecnie właścicielem STOCK jest fundusz CVC, który bardzo duży nacisk kładzie właśnie na kwestie związane z cyberbezpieczeństwem i nowymi technologiami. Możliwości rozwiązania SecurityBridge dobrze wpisały się w nasze plany rozwoju organizacji. Nie miałem też problemu z uzasadnieniem potrzeby wdrożenia takiego narzędzia. Projekt pilotażowy pokazał ogrom cennych informacji, które generuje platforma SecurityBridge. Pojawiły się wręcz obawy, czy będziemy w stanie przetworzyć tak duże ilości danych potencjalnie sygnalizujących podatności, zagrożenia czy trwające ataki.

Muszę jednak przyznać, że rozwiązanie SecurityBridge jest na tyle przyjazne, że pozwala na łatwe zdefiniowanie wielowarstwowych alertów informujących o kwestiach uznanych za najistotniejsze, w zależności od akceptowalnego poziomu ryzyka. Cenna jest także funkcja pozwalająca na analizę ról i uprawnień pod kątem wystąpienia ewentualnych konfliktów lub przekroczeń dostępu. Taki zautomatyzowany, proaktywny monitoring bezpieczeństwa oznacza, że nie muszę zatrudniać specjalisty, który będzie zajmował się analizą logów dotyczących bezpieczeństwa SAP. To wymierna korzyść biznesowa.

Dużą wartością jest też pewność, że system kluczowy dla naszej działalności jest dobrze i wielowymiarowo zabezpieczony. W STOCK mamy dodatkowo taki luksus, że operacyjnie w obszarze SAP BASIS wspiera nasz zespół SNOK – i to on w większości przypadków odpowiada za reagowanie na alerty SecurityBridge. Jednocześnie, z perspektywy biznesowej jest to rozwiązanie całkowicie transparentne. Nikt nie kwestionuje jego przydatności. SecurityBridge bardzo dobrze adresuje działkę SAP Security w naszej organizacji i pozwala nam na bieżąco reagować na wszystkie potencjalne zagrożenia. Moim zdaniem w podejściu do bezpieczeństwa rozwiązań tak istotnych jak system SAP chodzi właśnie o to, żeby być mądrym przed szkodą, wiedzieć co może się wydarzyć, zapobiegać i być przygotowanym.

Ile trwało wdrożenie rozwiązania SecurityBridge w Stock Spirits Group?

J.W.: Środowisko SecurityBridge uruchomiliśmy produkcyjnie w ciągu trzech tygodni. Rozwiązanie to okazało się na tyle wartościowe, że całą politykę bezpieczeństwa SAP oparliśmy właśnie na rekomendacjach i funkcjonalnościach pochodzących z platformy SecurityBridge.

Jak już wspomniałem, zbiegło się to w czasie z reaktywacją projektu migracji naszego środowiska SAP do platformy S/4 HANA. Pierwotny projekt został zatrzymany w momencie zmian właścicielskich, a następnie uruchomiony ponownie – już z nowym zespołem i partnerem wdrożeniowym. Wcześniejsze wdrożenie SecurityBridge pozwoliło istotnie ograniczyć obciążenia konsultantów zajmujących się bezpieczeństwem SAP i uczestniczących w projekcie z ramienia wybranej przez nas firmy konsultingowej. Innymi słowy, konsultanci mieli w tym obszarze znacząco mniej pracy, co wprost przełożyło się na zmniejszenie kosztów migracji.

Co ciekawe, dzięki zaangażowaniu SNOK mogliśmy – korzystając z jednej licencji – wykorzystać platformę SecurityBridge dla systemu SAP S/4 HANA, a równolegle przez jakiś czas korzystać z monitoringu bezpieczeństwa także dla starego środowiska produkcyjnego opartego na SAP ECC. Taka możliwość okazała się bardzo cenna, m.in. w kontekście planowania strategii bezpieczeństwa dla nowej odsłony naszego środowiska SAP.

J.B.: SecurityBridge, w odróżnieniu od rozwiązań konkurencyjnych, nie wymaga dodatkowej infrastruktury. Nie trzeba zatem ponosić kosztów zakupu lub wynajmu dodatkowych maszyn. Zamiast tego, centralna instancja SecurityBridge bazuje na tej samej infrastrukturze, na której działa system SAP. Sam monitoring jest realizowany przez agentów dołączanych do monitorowanych elementów środowiska SAP.

Naturalnie, platforma SecurityBridge jest dziś rozwijana przede wszystkim pod kątem SAP S/4 HANA i dla tego środowiska pokazuje pełnię swoich możliwości. Istnieje jednak szansa wykorzystania tego rozwiązania do monitorowania środowiska SAP ECC na podstawie innych baz danych.

Co nie mniej cenne, SecurityBridge łączy się z dedykowaną i na bieżąco aktualizowaną bazą podatności SAP, dzięki temu administrator otrzymuje alert w razie wykrycia podatności dotyczących zainstalowanych wersji komponentów środowiska SAP. Takiej wiedzy dzisiaj brakuje wielu organizacjom korzystającym z wielu, często rozproszonych i w różnych wydaniach rozwiązań SAP. W realiach, w których kluczowe znaczenie ma szybkość reakcji, wielu administratorów SAP nie jest w stanie w odpowiednim czasie zadbać o wdrażanie aktualizacji i poprawek bezpieczeństwa, nie ma też pełnej wiedzy na temat skali ryzyka.

J.W.: Myślę, że takie podejście jest pochodną innych, bieżących wyzwań w zarządzaniu całym ekosystemem SAP.  W wielu przypadkach względnie regularnie aktualizowany jest jedynie moduł techniczny, pokroju jądra systemu czy bibliotek bazy danych. Aktualizacje modułów funkcjonalnych są bardziej złożone, generują ryzyko błędów dotyczących obecnej konfiguracji lub własnych modułów, wymagają też przede wszystkim zaangażowania biznesu w testy. Efekt jest taki, że część starych modułów nie jest aktualizowana latami.

Nie można tego zautomatyzować?

J.B.: Można! Tu również przychodzimy z pomocą. Zespół SNOK z powodzeniem realizuje projekty dotyczące automatyzacji testów w środowiskach SAP.  Korzystamy w tym zakresie z naprawdę topowych rozwiązań UiPath. To nowoczesne, wszechstronne rozwiązanie umożliwia nie tylko automatyzację szerokiego spektrum rutynowych czynności, lecz także oferuje szereg innowacyjnych funkcji wykraczających poza standardowe zastosowania. Swoistym przykładem może być scenariusz, w którym system pozwala na rejestrację sesji użytkownika podczas wykonywania określonych operacji, co z kolei umożliwia automatyczne generowanie szczegółowej dokumentacji oraz tworzenie dedykowanych botów, które są w stanie samodzielnie realizować wskazane zadania na podstawie zarejestrowanych działań.

J.W.: Moim zdaniem UiPath doskonale uzupełnia funkcje automatyzacji istniejące w systemie SAP. Jest przy tym dużo łatwiejszy w obsłudze, więc doskonale sprawdza się m.in. w testach wydajnościowych.

J.B.: To prawda. Wykorzystując możliwości platformy UiPath, możemy w sposób efektywny i realistyczny ocenić wydajność naszej infrastruktury w kontekście rzeczywistych procesów biznesowych. Istnieje możliwość uruchomienia chmury botów, które masowo symulują działania użytkowników wykonujących określone transakcje – nawet w skali setek czy tysięcy jednoczesnych operacji. Takie podejście pozwala nie tylko zweryfikować, czy infrastruktura obsługująca środowisko SAP została odpowiednio wyskalowana, ale także umożliwia obserwację, jak na tego typu obciążenie reagują pozostałe systemy i urządzenia współpracujące w ekosystemie IT organizacji.

Wróćmy do pierwszego pytania. Czy system SAP jest bezpieczny?

J.B.: To zależy. To trochę tak, jak gdybyś zapytał mnie czy samochody marki Volvo są bezpieczne. Faktem jest, że auta tej marki są od lat uznawane za jedne z najbezpieczniejszych na świecie. Wszystko zależy jednak od kierowcy, jego umiejętności i stylu jazdy. Z systemem SAP jest podobnie. Jest to rozwiązanie mądrze zbudowane, a pod kątem logiki skonstruowane w sposób pozwalający na korzystanie z funkcjonalności biznesowych, zapewniając przy tym wysoki poziom bezpieczeństwa danych.

Jednocześnie należy mieć świadomość, że domyślna, standardowa konfiguracja systemu SAP tuż po wdrożeniu jest przede wszystkim ukierunkowana na otwartość oraz maksymalnie szybkie uruchomienie środowiska. Kluczowe staje się zatem umiejętne wykorzystanie potencjału SAP w taki sposób, aby na jego bazie zbudować rozwiązanie biznesowe, które nie tylko będzie w pełni funkcjonalne, wydajne i wysoce dostępne, lecz także zapewni najwyższy poziom bezpieczeństwa, odpowiadając na wymagania współczesnych organizacji.

Od czego zacząć działania zmierzające do wzmocnienia bezpieczeństwa środowisk SAP?

J.B.: Pierwszym punktem jest zawsze zabezpieczenie środowiska deweloperskiego, wprowadzenie ograniczeń i wyłączenie uproszczeń tak, żeby konsultanci nie mieli możliwości popsucia konfiguracji nawet działając w dobrej wierze. Później przychodzi czas na zabezpieczenie kolejnych środowisk, w tym testowego i produkcyjnego.

J.W.: Firmę, która nie jest świadoma konieczności utwardzenia instalacji SAP, wyeliminowania pewnych uproszczeń i ułatwień możliwych do wykorzystania przez cyberprzestępców – i nie posiada niezbędnych do tego narzędzi, może na pewnym etapie spotkać rozczarowanie. Z drugiej strony, organizacje, które korzystają z systemu SAP, ale nie mają pewności czy żadne kwestie wpływające na jego bezpieczeństwo i dostępność nie zostały pominięte podczas wdrożenia, powinny jak najszybciej zaangażować firmę, taką jak SNOK, do przeprowadzenia audytu zabezpieczeń tego środowiska. Taka analiza pokaże ewentualne luki w zabezpieczeniach i potencjalne ryzyka biznesowe, co pozwoli podjąć właściwe kroki zaradcze. Jest to wręcz niezbędne, jeśli w organizacji brakuje kompetencji z dziedziny bezpieczeństwa SAP oraz narzędzi pozwalających na kompleksową analizę istniejących rozwiązań.

J.B.: Częstym błędem jest też opóźnianie hardeningu SAP. Znam organizacje, które z różnych względów odkładają na później działania zmierzające do poprawy bezpieczeństwa środowiska SAP. Powody, czy też preteksty, są rozmaite – od przedłużającego się wdrożenia, przez brak czasu i środków, po plany kolejnych migracji. Tymczasem nie ma na co czekać. Wszelkie projekty transformacji istniejących rozwiązań SAP są zresztą najlepszym momentem na uruchomienie dodatkowych inicjatyw z zakresu cybersec.

W jaki sposób transformacja w kierunku modelu chmurowego zmienia kwestie związane z bezpieczeństwem środowisk SAP?

J.W.: Jako organizacja mamy dziś środowisko hybrydowe. Z systemu SAP korzystamy w sposób lokalny, ale używamy też wielu rozwiązań chmurowych. Nie jestem przeciwnikiem chmury, ale uważam, że do tego modelu warto podchodzić w sposób świadomy. Istotne jest pewne wypośrodkowanie pomiędzy zaletami modelu on-premise oraz wartościami chmury obliczeniowej. Być może jestem tu trochę staromodny, ale w przypadku rozwiązań wpływających na bezpieczeństwo biznesowe, do chmury podchodzę sceptycznie. Warto zwracać uwagę na ograniczenia techniczne, zapisy umowne i kwestie odpowiedzialności. W kontekście cyberbezpieczeństwa model hybrydowy wymaga przede wszystkim zapewnienia efektywnej ochrony styku obu tych światów.

J.B.: Potwierdzam. Krytyczną kwestią jest zapewnienie ochrony punktu styku lokalnego środowiska SAP z chmurą obliczeniową, a więc najczęściej także otwartą siecią internetową. Jako SNOK realizujemy takie projekty, w których zabezpieczamy też rozwiązania chmurowe oferowane przez SAP w ramach modeli RISE oraz GROW. Przykładowo, rozwiązanie SecurityBridge możemy uruchomić na platformie chmurowej SAP na podobnych zasadach, jak ma to miejsce w modelu on-premise. Różnice dotyczą głównie sposobu technicznej integracji z rozwiązaniem SAP. W niektórych środowiskach SAP w modelu chmurowym (np. SAP BTP, SAP SuccessFac tors i inne) nie możemy modyfikować systemu, więc opieramy się na analizie logów zdarzeń. Poza tym, choć rozwiązanie SecurityBridge bazuje na technologii ABAP, to jest w stanie nadzorować także elementy środowiska SAP wykorzystujące inne technologie. Mam tu na myśli np. szyny integracyjne. Jako ciekawostkę dodam, że SecurityBridge od niedawna ściśle integruje się m.in. z platformą Microsoft Sentinel.

Jaką funkcję pełni rozwiązanie SNOK SneakEye?

J.B.: SNOK SneakEye to nasze autorskie rozwiązanie, które pełni rolę centralnej konsoli monitoringu wszystkich parametrów technicznych systemu SAP. Generalnie, zapewnia możliwość śledzenia kluczowych wskaźników informujących o obciążeniu systemu, jego działaniu i wydajności. Zapewnia zatem łatwy dostęp do wiedzy technologicznej, niezbędnej do identyfikacji wąskich gardeł i innych kwestii negatywnie wpływających na szybkość działania całego rozwiązania. Jednocześnie, SNOK SneakEye dobrze uzupełnia nasze możliwości prowadzenia zautomatyzowanych testów wydajnościowych i obciążeniowych dla środowisk SAP.

Podsumujmy zatem ofertę firmy SNOK…

J.B.: Pozycjonujemy się jako zaufany doradca w zakresie kwestii związanych z bezpieczeństwem i utrzymaniem środowisk SAP od poziomu technicznego, aż do strategicznego. Działamy w ścisłej współpracy z Klientami. Dzielimy się wiedzą. Naszym DNA są kwestie związane z bezpieczeństwem środowisk SAP. Nasza oferta usług w zakresie cyberbezpieczeństwa SAP opiera się na pięciu filarach.

Pierwszym jej elementem są usługi związane z wykorzystaniem i wdrożeniem SecurityBridge. Kolejnym – wspomniana wcześniej usługa audytu oraz testów penetracyjnych. Oferujemy też pełną obsługę SAP BASIS oraz SOC w trybie 24/7. Trzecim filarem oferty SNOK w tym obszarze jest pełny monitoring techniczny działania całego środowiska SAP, który realizujemy przy użyciu rozwiązania SNOK SneakEye.

Czwartym elementem naszej oferty są szkolenia i działania edukacyjne skierowane do użytkowników SAP. Należymy też do Programu Współpracy w Cyberbezpieczeństwie (PWCyber), w ramach którego staramy się szerzyć wiedzę o dobrych praktykach dotyczących bezpieczeństwa SAP w instytucjach publicznych.

Piąty, nie mniej ważny, element naszej oferty stanowią usługi związane z obsługą i automatyzacją testów, ale także działań technicznych i administracyjnych w obszarze SAP BASIS przy użyciu rozwiązań UiPath. Prowadzimy również wewnętrzne prace R&D (Research & Development) w zakresie automatyzacji.

Eksperymentujemy i rozwijamy własne modele sztucznej inteligencji oraz GenAI. Opracowaliśmy projekt wykorzystania polskiego modelu językowego PLLuM na potrzeby analizy różnego rodzaju dokumentacji technicznej i projektowej związanej z technologiami SAP. Nawiązaliśmy też współpracę z firmami NVIDIA oraz Lenovo, dzięki temu dostarczamy klientom wydajne serwery zoptymalizowane pod kątem zastosowań związanych ze sztuczną inteligencją. Oferujemy też bardziej klasyczne serwery i macierze dedykowane dla środowisk SAP oraz uniwersalnego zastosowania. Poza tym tworzymy dla klientów nieoczywiste rozwiązania na platformie SAP BTP.

Dzięki kompleksowej ofercie SNOK klienci nie tylko zyskują poczucie bezpieczeństwa, ale przede wszystkim realne korzyści biznesowe – od redukcji ryzyka incydentów cybernetycznych i zapewnienia pełnej zgodności z regulacjami, po optymalizację kosztów operacyjnych dzięki automatyzacji i zastosowaniu AI. Nasze działania przekładają się bezpośrednio na stabilność i efektywność środowisk SAP, umożliwiając firmom skupienie się na strategicznych obszarach działalności. SNOK jako zaufany partner pomaga klientom osiągać przewagę konkurencyjną, budując solidne fundamenty do dalszego wzrostu i innowacji.