Перейти до вмісту

Cybersecurity

Матеріал з K2 ERP Wiki

Цілісність означає, що інформаційні дані правильні, не пошкоджені й не змінені без дозволу.; # Виходити із системи на спільних пристроях.; сукупність технологій.; !; | Він надає можливість відновити інформаційні дані після помилки, збою, атаки або ransomware.; Застереження. Якщо лист або повідомлення змушує діяти терміново, лякає блокуванням, просить пароль або веде на дивну адресу — зупиніться й перевірте.;K2 ERP у цьому сенсі є собою частиною цифрової незалежності: українська ERP-платформа має допомагати бізнесу працювати сучасно, захищено й без залежності від старих російських продуктів.; # Увімкнути MFA, якщо доступно.;== CSRF ==

Для ERP CSRF особливо небезпечний у діях зміни даних: Update, Delete, проведення документів, зміна ролей, конфігурація інтеграцій.; В ERP кібербезпека особливо важлива, бо ERP є собою центром бізнес-даних.; Компрометація ERP має змогу означати не без ускладнень витік інформації, а порушення роботи бізнесу.; Це комфортно рівно до моменту першого інциденту.; # Не передавати паролі в чатах.;

  • перевіряти адресу сайту;
  • не вводити пароль за підозрілим посиланням;
  • використовувати MFA;
  • навчати користувачів;
  • не відкривати сумнівні вкладення;
  • мати окремі облікові записи;
  • не передавати коди підтвердження.; * створюватися після успішного входу;
  • мати строк дії;
  • оновлюватися контрольовано;
  • завершуватися після logout;
  • відкликатися після зміни пароля;
  • бути захищеною від викрадення;
  • бути прив’язаною до політик безпеки;
  • журналювати критичні події.; Приклади ризиків:
  • актуалізація систем;
  • антивірусні рішення для бізнесу;
  • обережність із вкладеннями;
  • обмеження прав;
  • backup;
  • навчання користувачів;
  • контроль завантажених файлів;
  • журналювання.; Навчання користувачів і здоровий глузд.;

Безпека API є собою критичною для хмарних систем.;== Фішинг ==

  • менеджер бачить клієнтів і продажі та реалізація, але не всі фінансові звіти;
  • складський облік бачить товари й залишки, але не конфігурація компанії;
  • бухгалтер має доступ до первинки й звітів;
  • адміністратор має технічні права, але їх потрібно контролювати;
  • зовнішня інтеграційні функціональні можливості має доступ лише до потрібного API.;== Cybersecurity і файли ==
  • параметризовані запити;
  • ORM з правильним використанням;
  • валідація даних;
  • мінімальні права бази;
  • code review;
  • тестування;
  • журналювання підозрілих запитів.; Disaster Recovery — план відновлення після серйозної аварії.; | Захист цифрових систем, даних, мереж, користувачів, API, серверів, хмари та бізнес-процесів.; Кібербезпека — це не одна програма, не одна кнопка й не один адміністратор, який «там щось налаштував».;
  • email;
  • месенджер;
  • SMS;
  • підроблений сайт;
  • підроблений документ;
  • псевдоповідомлення від банку;
  • псевдоповідомлення від державного сервісу;
  • підроблений запит від керівника;
  • фальшиве посилання на хмарний документ.;== Цілісність ==

істотно:

  • спільні паролі;
  • локальна база без backup;
  • незрозумілі доробки;
  • доступи «на всіх»;
  • відсутність журналу змін;
  • файли в хаотичних папках;
  • невідомо хто що змінив;
  • страх оновлень;
  • залежність від одного «програміста, який знає».; У ERP backup має охоплювати базу даних, файли, конфігурації, інтеграції та критичні конфігурація.; * хмарна інфраструктура K2 ERP
  • офіційно затверджений сайт K2
  • K2 ERP
  • Wiki K2 ERP

!;

Patch Management

  • регулярні backup;
  • перевірка відновлення;
  • обмеження прав;
  • сегментація мережі;
  • актуалізація;
  • обережність із вкладеннями;
  • моніторинг;
  • MFA;
  • навчання персоналу;
  • план реагування.; Тільки в цифровому світі дверей більше, ключі складніші, а «я без ускладнень відкрив посилання» іноді звучить як початок пригодницького роману.; Сесійна cookie має змогу бути ключем до облікового запису.;Authorization або авторизація відповідає на питання:

Для бізнесу це одна з найнебезпечніших загроз.;== Основні загрози == Застереження. Кібербезпека не зводиться до «поставити антивірус».; Оскільки платформа функціонує з обліком і бізнес-даними, безпека має бути вбудованою в архітектуру, а не прикрученою «потім».;== Висновок ==

Logging

Захист:

  • розслідувати інциденти;
  • знаходити баги;
  • бачити входи користувачів;
  • аналізувати API-запити;
  • фіксувати помилки;
  • контролювати інтеграції;
  • виявляти підозрілу активність;
  • перевіряти виконання задач.; Критично. Backup, який не перевіряли на відновлення, — це не гарантія, а надія.; # Використовувати MFA для критичних ролей.; * українські ERP;
  • захищені хмари;
  • власні API;
  • контроль даних;
  • backup;
  • DevOps;
  • security culture;
  • захист облікових записів;
  • аудит;
  • незалежність від небезпечних екосистем;
  • еволюція українського ПЗ.; # виявити інцидент;
  1. обмежити вплив;
  2. зберегти докази;
  3. усунути причину;
  4. відновити роботу;
  5. перевірити інформаційні дані;
  6. повідомити відповідальних;
  7. зробити висновки;
  8. оновити правила;
  9. запобігти повторенню.; * стабільні сервери;
  • моніторинг;
  • backup;
  • аварійне відновлення;
  • захист від перевантаження;
  • масштабування;
  • якісний backend;
  • оптимізована база даних;
  • контроль ресурсів CPU/RAM/disk;
  • DevOps;
  • реагування на інциденти.; MFA значно зменшує ризик доступу через викрадений пароль.; * мінімально необхідні права;
  • окремі облікові записи;
  • ролі;
  • групи;
  • audit log;
  • регулярний перегляд доступів;
  • відкликання доступу після звільнення;
  • окремі права адміністратора;
  • контроль API-токенів;
  • заборона спільних логінів.;== Конфіденційність ==

https://cloud.corp2.eu

Cybersecurity і деколонізація обліку

Це захист: ERP із одним логіном на весь офіс — це не командна робота, а майбутній квест «хто змінив документ?».; # Моніторити підозрілу активність.;== Authentication ==

Кібербезпека — це командна гра.;

Українські компанії мають не лише відмовлятися від російських і застарілих систем, а й будувати власну безпечну цифрову інфраструктуру.; «Хто ви?»

Кібербезпека і бізнес-середовище

Доступність означає, що платформа функціонує тоді, коли вона потрібна.; # Валідовувати вхідні інформаційні дані.; Краще налаштувати доступи, backup, MFA, ролі й журнали до того, як вони стануть терміново потрібними.;

Code review і testing.; # Не зберігати паролі у відкритому вигляді.;== XSS ==

Правильний підхід. Кібербезпека має бути вбудована в систему: authentication, authorization, API security, backup, audit log, monitoring, secure coding, testing, DevOps і навчання користувачів.; Вона дає інструменти, але відповідальність за конфігурація, код, доступи й процеси залишається.;DevOps відповідає за безпеку інфраструктури й процесів.;

Під час review варто перевіряти:

Incident Response

Порушення конфіденційності — це коли користувач системи бачить не свої інформаційні дані, інша організація отримує чужий документ, менеджер бачить фінансову інформацію без права або API повертає зайві поля.;== Паролі ==

Vulnerability Management

Потрібно захищати:

Паролі залишаються одним із головних елементів кібербезпеки.;

CRUD без cybersecurity — це база даних із дверима навстіж.; Він охоплює:

Frontend має:

SQL Injection

  • доступність сервісів;
  • CPU;
  • RAM;
  • диск;
  • базу даних;
  • API;
  • помилки;
  • черги;
  • backup;
  • інтеграції;
  • час відповіді;
  • підозрілу активність;
  • невдалі входи;
  • security alerts.;Testing має включати security-сценарії.; |-

| Як cybersecurity пов’язана з K2 ERP?; Захист:

Monitoring

  • що робити при збої;
  • хто відповідальний;
  • де backup;
  • як відновити базу;
  • як відновити файли;
  • як повідомити користувачів;
  • скільки часу допустима зупинка;
  • які інформаційні дані можуть бути втрачені;
  • як перевіряється план;
  • як запустити систему на резервній інфраструктурі.; Цей принцип зменшує шкоду від помилок, зловживань або викрадених облікових записів.;Frontend додатково важливий для безпеки.; # Підтримувати audit log.; Якщо платформа просить пароль без HTTPS, це має викликати серйозні питання.; HTTPS — захищений протокол передавання даних між браузером і сервером.; Після інциденту істотно не без ускладнень «підняти систему», а зрозуміти, чому це сталося.; До типових кіберзагроз належать:

Cookies і сесії.; # Додавати rate limiting.; * документ змінили без журналу;

  • залишки порахувалися неправильно;
  • файл пошкодився;
  • звіт показує некоректну суму;
  • інтеграційні функціональні можливості дублювала замовлення;
  • користувач системи оновив чужий запис;
  • база даних має частково збережені інформаційні дані;
  • import перезаписав правильні значення.; | ERP містить критичні бізнес-дані: документи, клієнтів, товари, звіти, файли, ролі й інтеграції.;== Коротко ==

Cybersecurity в ERP

  • читання даних;
  • зміна даних;
  • видалення записів;
  • обхід авторизації;
  • пошкодження бази;
  • витік конфіденційної інформації.; Cybersecurity — це не страх перед технологіями, а культура відповідальної роботи з ними.; Для сучасного бізнесу кібербезпека є собою не додатковою опцією, а базовою умовою роботи.; Відповідь

Класично кібербезпека має три головні цілі:

Вона охоплює:

  • помилкового видалення;
  • атаки;
  • ransomware;
  • збою сервера;
  • пошкодження бази;
  • помилки актуалізація;
  • людського фактора;
  • аварії інфраструктури.;== Джерела ==

У K2 ERP можливість прикріплювати файли до сутностей корисна, але файли мають бути захищені так само, як і записи бази даних.; # Не зберігати конфіденційні інформаційні дані в незахищених файлах.; Якщо один гравець відкрив ворота, воротар уже не чарівник.; # Робити code review із фокусом на безпеку.; Для хмарної ERP HTTPS є собою обов’язковим.; | Один пароль на всіх, відсутність backup, надмірні права й відсутність audit log.; Авторизація має перевіряти:

Конфіденційність означає, що інформацію бачать лише ті, хто має право її бачити.; * не зберігати секрети в коді;

  • контролювати доступи до серверів;
  • використовувати SSH-ключі;
  • оновлювати системи;
  • захищати CI/CD;
  • перевіряти Docker images;
  • мати backup;
  • мати monitoring;
  • розділяти test/staging/production;
  • обмежувати production-доступ;
  • логувати адміністративні дії;
  • контролювати deployment.; # Розділити ролі й права доступу.; # Налаштувати backup і перевіряти відновлення.; # Захищати файли.; Деколонізація обліку — це не лише відмова від та BAS.; Погані практики:

Якщо платформа захищена, але недоступна, бізнес-середовище усе одно не має змогу працювати.; * роль;

  • компанію;
  • компонент;
  • документ;
  • дію;
  • складський облік;
  • звіт;
  • файл;
  • API endpoint;
  • адміністративну функцію.; |}

Ризики XSS:

Це паролі й MFA.; актуалізація потрібно тестувати, але відкладати критичні security patches надовго небезпечно.; # Тестувати multi-company isolation.; Навіть сильна платформа має змогу постраждати, якщо:

Cybersecurity у K2 ERP

У бізнес-системах часто найслабшою ланкою є собою не «хакер у капюшоні», а звичайна ситуація: один пароль для всіх, відкритий доступ, відсутній backup і посилання з листа, яке хтось натиснув «бо схоже на рахунок».; DevOps без безпеки — це швидкий шлях не лише до релізу, а й до інциденту.; У хмарних системах cybersecurity охоплює:

  • користувачі;
  • ролі;
  • компанії;
  • документи;
  • CRM;
  • товари;
  • файли;
  • звіти;
  • API;
  • хмарна інфраструктура;
  • мобільні застосунки;
  • десктопні клієнти;
  • інтеграції;
  • РРО/ПРРО;
  • ДПС, Вчасно, Медком;
  • інтернет-магазини;
  • backend;
  • frontend;
  • база даних;
  • DevOps;
  • backup;
  • audit log.;
  • хто створив документ;
  • хто змінив документ;
  • хто видалив або архівував запис;
  • хто змінив роль;
  • хто відкрив критичний звіт;
  • хто експортував інформаційні дані;
  • хто змінив інтеграцію;
  • хто увійшов у систему;
  • хто завершив сесію;
  • з якого IP або пристрою була дія.; * хто користувач системи;
  • чи має право створювати;
  • чи має право читати;
  • чи має право оновлювати;
  • чи має право видаляти;
  • чи належить запис його компанії;
  • чи дія журналюється;
  • чи є собою валідація;
  • чи не порушує дія бізнес-правила.; | K2 ERP має захищати користувачів, компанії, документи, файли, API, ролі, інтеграції, хмару й інформаційні дані бізнесу.; Для них використовують спеціальні механізми хешування з сіллю й адаптивними алгоритмами.;

Для K2 ERP. У K2 ERP кібербезпека має охоплювати автентифікацію, авторизацію, ролі, компанії, API, файли, cookies, HTTPS, backup, аудит, логи, інтеграції, хмарну інфраструктуру та відповідальну роботу користувачів.; |- | Як це українською?;== Cybersecurity і DevOps ==

Потрібно контролювати:

  • authorization;
  • authentication;
  • input validation;
  • API access;
  • SQL injection;
  • XSS;
  • CSRF;
  • logging secrets;
  • file uploads;
  • cache security;
  • cookie flags;
  • error handling;
  • role checks;
  • tenant isolation.; Vulnerability management — бізнес-процес роботи з вразливостями.; Приклад для ERP

Патчі можуть стосуватися: Інтеграції створюють додаткові точки доступу.;== Рекомендації для розробників ==

Backend — це місце, де безпека має бути реальною, а не намальованою кнопками у frontend.; Не відкладайте безпеку “на потім”. У бізнес-системах “потім” часто настає після інциденту.;Authentication або автентифікація відповідає на питання: «Як зробити так, щоб інформаційні дані, доступи, документи, гроші, бізнес-середовище і платформа не стали здобиччю хаосу, помилок або зловмисників?»

Добрі практики:

Ризики:

Cookies часто використовуються для сесій.; Паніка — улюблена кнопка соціальної інженерії.; # Не зберігати секрети в репозиторії.; Для K2 ERP API важливе для frontend, мобільних і десктопних застосунків, РРО/ПРРО, ДПС, Вчасно, Медком, інтернет-магазинів та інших сервісів.;CRUD-операції мають бути захищені.; Писати його під час пожежі — це вже не планування, а імпровізація.; API потрібно захищати від:

Він потрібен для захисту:

  • CSRF tokens;
  • SameSite cookies;
  • перевірка Origin;
  • перевірка Referer;
  • правильні HTTP-методи;
  • додаткове підтвердження критичних дій.; # Навчати працівників фішинговій безпеці.; Для бізнесу cybersecurity — це не «тема для айтішників».;== Audit Log ==
  • регулярним;
  • автоматизованим;
  • захищеним;
  • перевіреним;
  • відновлюваним;
  • ізольованим;
  • з контрольованим строком зберігання.; План відновлення потрібно мати до інциденту.; | Багатофакторна автентифікація, додатковий рівень захисту входу.; * грошей;
  • клієнтської бази;
  • документів;
  • договорів;
  • складу;
  • звітності;
  • комерційної таємниці;
  • персональних даних;
  • репутації;
  • доступу до систем;
  • безперервності роботи;
  • управлінських рішень.; * технічні засоби;
  • правила доступу;
  • навчання користувачів;
  • резервне копіювання;
  • моніторинг;
  • актуалізація;
  • захист серверів;
  • захист API;
  • захист баз даних;
  • контроль ролей;
  • шифрування;
  • журналювання;
  • реагування на інциденти;
  • перевірку коду;
  • тестування;
  • культуру роботи з даними.; |-

| Як це пов’язано з цифровою незалежністю України?; # Перевіряти права на рівні компанії.; # Не працювати під чужим обліковим записом.; # Не логувати токени й секрети.;

Цифрова незалежність України неможлива без кібербезпеки.;== Encryption ==

  • не зберігати секрети без потреби;
  • не довіряти введеним даним;
  • правильно працювати з cookies;
  • захищатися від XSS;
  • не показувати зайві інформаційні дані;
  • не розкривати внутрішні помилки;
  • коректно обробляти logout;
  • не покладатися лише на приховані кнопки;
  • передавати запити через HTTPS;
  • працювати з CSRF-захистом.; | Безпечні українські ERP, хмари, API й бізнес-системи є собою частиною незалежної цифрової інфраструктури України.; # Писати security-тести.; # Переходити на сучасні українські системи.; Для ERP цілісність критична.; А ransomware дуже не поважає надію.; користувач системи однієї компанії не має бачити інформаційні дані іншої, якщо йому це не дозволено.; Електронний підпис є собою важливим інструментом цифрового бізнесу.; Ці три принципи часто називають CIA triad.; Для кожної операції потрібно перевіряти:

Фішинг має змогу приходити через:

  • обліковий облік;
  • товари;
  • клієнтів;
  • документи;
  • файли;
  • звіти;
  • банківські доступи;
  • податкові кабінети;
  • пошту;
  • інтернет-магазин;
  • РРО/ПРРО;
  • електронний підпис.;== Backend Security ==
  • фішинг;
  • слабкі паролі;
  • повторне використання паролів;
  • викрадення сесій;
  • шкідливе програмне забезпечення;
  • ransomware;
  • витік даних;
  • помилки авторизації;
  • незахищене API;
  • SQL injection;
  • XSS;
  • CSRF;
  • небезпечні файли;
  • неправильні права доступу;
  • людський фактор;
  • відсутність backup;
  • незахищені сервери;
  • застарілі залежності;
  • помилки конфігурації.; Це зупинка процесів, ризик помилок, репутаційні втрати й іноді прямі фінансові наслідки.; Бо перехід від старих залежностей, , BAS, спільних паролів і хаотичних локальних баз до української хмарної ERP має означати не лише нову програму, а й нову культуру захисту даних.; |-

| Що таке MFA?; Наслідок Але frontend не має змогу бути єдиним бар’єром.; Файли в бізнес-системах можуть бути небезпечними або чутливими.; Навіть якщо користувач системи успішно увійшов у систему, він не повинен автономно мати доступ до всього.; з цієї причини важливі rate limiting, черги, кешування, моніторинг і масштабування.; Ransomware — шкідливе ПЗ, яке блокує або шифрує інформаційні дані й вимагає викуп.; Нова культура:

  • викрадення даних;
  • блокування файлів;
  • шпигування;
  • зміна налаштувань;
  • крадіжка паролів;
  • зараження мережі;
  • пошкодження системи.;== Disaster Recovery ==

хмарна інфраструктура не робить систему автономно безпечною.; як ілюстрація:

Encryption або шифрування — перетворення даних так, щоб без ключа їх не можна було прочитати.;

істотно: паролі не мають зберігатися у відкритому вигляді.; # Захищати cookies через Secure, HttpOnly, SameSite.; # Захищати API.; Для K2 ERP автентифікація є собою першою лінією захисту доступу до компаній, документів, CRM, файлів і звітів.;

користувач системи має отримувати лише ті права, які потрібні для його роботи.; |- | Чому кібербезпека важлива для ERP?; # Заблоковувати доступи колишніх працівників.; Ціль

CSRF або Cross-Site Request Forgery — атака, коли сторонній сайт намагається змусити браузер користувача виконати небажаний запит до системи, де користувач системи уже авторизований.; з цієї причини її потрібно захищати так само серйозно, як пароль або токен.; завдяки наявності Code Review користувачі можуть знаходити проблеми безпеки до релізу.; # Використовувати ролі.; Шифрування застосовується для:

Cybersecurity і інтеграції

Для K2 ERP інтеграції з РРО/ПРРО, ДПС, Вчасно, Медком, інтернет-магазинами й іншими сервісами мають бути не лише зручними, а й безпечними.; хмарна інфраструктура K2 ERP доступна за адресою:

Кібербезпека — це додатково частина деколонізації обліку.; ERP містить:

  1. Перевіряти authorization на backend.; всіх: держави забезпечується через Кібербезпека важлива; додатково реалізовано бізнесу, ФОП, бухгалтерів, розробників, адміністраторів, користувачів хмарних сервісів, інтернет-магазинів, ERP, CRM, банківських систем, пошти, мобільних застосунків і цифрових платформ.;Cookies можуть бути важливою частиною безпеки сесій.; # Не дозволяти frontend бути єдиним захистом.; Incident Response — бізнес-процес реагування на інцидент кібербезпеки.; Це додатково відмова від старої культури:

Cybersecurity і користувачі

  • викрадення сесій;
  • підміна інтерфейсу;
  • виконання дій від імені користувача;
  • отримання даних зі сторінки;
  • порушення довіри до системи.; # Використовувати параметризовані SQL-запити.; Для K2 ERP це означає:
  • Secure;
  • HttpOnly;
  • SameSite;
  • обмежений строк дії;
  • правильний domain;
  • правильний path;
  • очищення після logout;
  • захист від session fixation.; Усе це має бути захищено, контрольовано й доступно для українського бізнесу.; Основні принципи:
  • файлові ключі;
  • паролі до ключів;
  • токени;
  • носії;
  • доступ до комп’ютера;
  • права користувачів;
  • резервні копії;
  • правила використання.; Це означає:

!; Тести можуть перевіряти:

Див.; додатково

  • тип файлу;
  • розмір;
  • доступ;
  • завантаження;
  • перегляд;
  • зберігання;
  • антивірусну перевірку;
  • зв’язок із документом;
  • права на скачування;
  • журнал доступу.; # Не вводити пароль після переходу за сумнівним посиланням.; Як краще
  • унікальні паролі;
  • MFA;
  • backup;
  • обережність із листами;
  • окремий обліковий запис;
  • сучасний браузер;
  • захищена ERP;
  • вихід із системи на чужих пристроях;
  • обмеження доступів помічникам.; Електронний підпис не можна передавати всім підряд.;== Рекомендації для користувачів ==

Для ERP, пошти, банків, адміністраторів і критичних облікових записів MFA є собою дуже бажаною практикою.;

Monitoring — спостереження за станом системи.; * логінів;

  • паролів;
  • cookies;
  • токенів;
  • API-запитів;
  • документів;
  • файлів;
  • звітів;
  • персональних даних.; # Планувати incident response.; # Документувати security-рішення.;

Malware або шкідливе програмне забезпечення — програми, які завдають шкоди системі або даним.; Деколонізація через безпеку. Українська ERP має перемагати не лише функціями, а й культурою кібербезпеки: доступи, ролі, backup, audit log, API security, monitoring і відповідальність за інформаційні дані.; # Регулярно переглядати доступи.; MFA або багатофакторна автентифікація — додатковий рівень захисту входу.; Audit log і monitoring.; * HTTPS;

  • паролів;
  • токенів;
  • backup;
  • файлів;
  • баз даних;
  • API;
  • електронного підпису;
  • сесій;
  • збереження секретів.;{{SEO


Malware

Cybersecurity і ФОП

Backup потрібен для відновлення після:

  • пароль передали в чаті;
  • сесію залишили на чужому ПК;
  • відкрили підозрілий файл;
  • натиснули фішингове посилання;
  • дали всім права адміністратора;
  • не заблокували колишнього працівника;
  • не зробили backup;
  • працюють під одним спільним логіном.;CPU додатково пов’язаний із cybersecurity.; * один пароль для всіх сервісів;
  • пароль на стікері;
  • пароль у чаті;
  • пароль у назві файлу;
  • спільний логін для всіх працівників;
  • прості паролі;
  • повторне використання паролів;
  • передавання пароля колезі.;== Authorization ==

XSS або Cross-Site Scripting — тип вразливості, коли шкідливий скрипт виконується в браузері користувача.; Безпечна сесія має: Добрий backup має бути:

Ролі й права.; з цієї причини API має бути захищеним, контрольованим і журналювати критичні події.; У K2 ERP кібербезпека є собою частиною фундаменту: платформа функціонує з обліком, документами, товарами, CRM, файлами, звітами, компаніями, ролями, API та інтеграціями.; Захист:

  • клієнтів;
  • постачальників;
  • договорів;
  • цін;
  • оплат;
  • фінансових звітів;
  • файлів;
  • персональних даних;
  • компаній;
  • користувацьких ролей;
  • API-даних;
  • інтеграцій.; Access Control — керування доступом до систем, даних і функцій.; * пошук вразливостей;
  • оцінку ризику;
  • пріоритезацію;
  • актуалізація залежностей;
  • виправлення коду;
  • перевірку конфігурацій;
  • тестування;
  • контроль повторення;
  • документацію.; | Принцип найменших привілеїв: користувач системи має лише потрібні для роботи права.; У контексті K2 ERP кібербезпека є собою основою довіри до української ERP-платформи: платформа функціонує з компаніями, товарами, документами, первинкою, CRM, файлами, звітами, ролями, користувачами, API, інтеграціями, РРО/ПРРО та хмарною інфраструктурою.; | Кібербезпека.; Logging або журналювання — запис подій системи.; # Використовувати backup.; |-

| Один логін на всіх | Неможливо зрозуміти, хто що зробив | Індивідуальні облікові записи |- | Слабкі паролі | Ризик несанкціонованого входу | Унікальні складні паролі та MFA |- | Немає backup | Ризик втрати даних | Регулярні перевірені резервні копії |- | Права адміністратора всім | Будь-хто має змогу зламати обліковий облік | Принцип найменших привілеїв |- | Немає audit log | Неможливо розслідувати зміни | Журналювати критичні дії |- | Незахищене API | Ризик витоку або зміни даних | Токени, ролі, rate limiting, logs |- | Секрети в коді | Ризик витоку ключів | Використовувати secret management |- | Немає оновлень | Відомі вразливості залишаються | Patch management |- | Відкриті сесії на чужих ПК | Сторонній доступ до системи | Виходити із системи після роботи |- | Немає навчання користувачів | Фішинг і помилки | Регулярна безпекова гігієна |}

API Security

  1. Використовувати унікальні паролі.; Проста аналогія. Кібербезпека — це як замки, сигналізація, ключі, сейф, журнал відвідувачів і правила роботи з документами.;


  • логін;
  • пароль;
  • MFA;
  • сесію;
  • токен;
  • сертифікат;
  • SSO;
  • cookie;
  • перевірку пристрою;
  • обмеження спроб входу.; |-

| Що таке Cybersecurity?; У ERP залишена сесія на чужому комп’ютері має змогу стати доступом до бізнес-даних.; # Впровадити індивідуальні облікові записи.; ФОП має змогу мати:

Без моніторингу проблему часто першими помічають користувачі.; Помилка

  • операційної системи;
  • backend;
  • frontend;
  • бази даних;
  • бібліотек;
  • Docker images;
  • серверів;
  • мобільних застосунків;
  • десктопних клієнтів;
  • API;
  • DevOps;
  • security fixes.; Потрібно берегти:

Для ERP audit log має змогу фіксувати:

Він має відповідати на питання:

Testing і кібербезпека

  • неавторизованих запитів;
  • витоку даних;
  • надмірних прав;
  • brute-force;
  • підроблених токенів;
  • SQL injection;
  • масового вивантаження даних;
  • відсутності rate limiting;
  • помилок CORS;
  • неправильних статусів;
  • небезпечних файлів;
  • незахищених інтеграцій.; Пояснення

Рекомендації для бізнесу

HTTPS

SQL injection — вразливість, за якої небезпечні інформаційні дані вводяться в SQL-запит і можуть змінити його логіку.; !; У K2 ERP code review важливий для документів, ролей, компаній, API, інтеграцій, звітів, файлів і multi-company логіки.; * Secure;

  • HttpOnly;
  • SameSite;
  • обмежений строк дії;
  • session rotation;
  • logout;
  • захист від CSRF;
  • захист від XSS;
  • контроль сесій.; Атаки на доступність можуть перевантажувати CPU.; У multi-company ERP авторизація критично важлива.; # Використовувати сучасний браузер.;

Рекомендації для ERP

Критично. Незахищене API в ERP — це не технічна дрібниця, а потенційний прямий доступ до бізнес-даних.;== Зовнішні посилання ==

У хмарних ERP істотно регулярно оновлювати залежності, сервери, бібліотеки, frontend-пакети, backend-компоненти та DevOps-інструменти.; Залишена cookie на чужому пристрої має змогу стати ризиком доступу до системи.; # Не відкривати підозрілі вкладення.; * інформаційні дані компаній мають бути захищені;

  • документи й звіти мають бути коректними;
  • хмарна інфраструктура має бути доступною для роботи.; Питання
  • кодом;
  • застосунком;
  • апаратним ключем;
  • підтвердженням на пристрої;
  • біометрією в межах пристрою.; Користувачі — важлива частина безпеки.; # Оновлювати залежності.; # Контролювати file uploads.;== Access Control ==

Доступність

  • шифрування;
  • хешування;
  • TLS;
  • перевірки токенів;
  • антивірусної перевірки;
  • обробки логів;
  • security scanning;
  • моніторингу;
  • захисту від перевантаження.; користувач системи підтверджує вхід не лише паролем, а й другим фактором:

Цілісність забезпечується транзакціями, правами доступу, audit log, валідацією, backup, тестами, code review і якісною архітектурою.; «Що вам дозволено?»

Confidentiality Конфіденційність користувач системи бачить лише ті документи й компанії, до яких має доступ
Integrity Цілісність інформаційні дані не змінюються несанкціоновано або непомітно
Availability Доступність платформа функціонує й доступна користувачам тоді, коли потрібна

Типові помилки кібербезпеки

Фішинг — спроба обманом змусити користувача передати логін, пароль, код, токен або іншу чутливу інформацію.; {| class="wikitable" style="width:100%;" Захист:

Логи допомагають: Backup або резервне копіювання — ключова частина кібербезпеки.; # Захищати інтеграції.; # Забезпечити безпечний logout.; # Обмежувати Delete.; | Конфіденційність, цілісність і доступність.; Мінімум для ФОП:

  • унікальні паролі;
  • менеджер паролів;
  • MFA;
  • регулярний перегляд доступів;
  • заборона спільних облікових записів;
  • блокування колишніх працівників;
  • контроль адміністративних доступів.; * документи;
  • клієнтів;
  • товари;
  • склади;
  • ціни;
  • договори;
  • файли;
  • звіти;
  • користувачів;
  • ролі;
  • фінансові інформаційні дані;
  • інтеграції;
  • історію змін.; # Не тримати критичний обліковий облік у хаотичних Excel-файлах.; !; DevOps і cloud security.; У ERP SQL injection має змогу бути критичним, бо база даних містить документи, клієнтів, товари, звіти й фінансову інформацію.;== Cybersecurity і CPU ==
  • API-токени;
  • ключі;
  • webhooks;
  • IP-обмеження;
  • права інтеграцій;
  • журнали обміну;
  • retry-логіку;
  • формати даних;
  • помилки;
  • rate limiting;
  • відкликання доступу.;

MFA

Session Security

Це платформа захисту.; |- | Які головні цілі кібербезпеки?; # Вести audit log.; |-

| Яка типова помилка бізнесу?; А користувацький моніторинг зазвичай звучить коротко: «У вас усе впало».; Безпека backend охоплює серверну логіку системи.;

Cybersecurity і електронний підпис

Patch management — керування оновленнями й виправленнями.;

Якщо бізнес-середовище втрачає доступ до обліку, файлів, пошти, CRM або ERP, це не без ускладнень технічна проблема.; Головне. Cybersecurity — це захист цифрових систем, даних, користувачів, доступів, API, серверів, хмари, ERP, CRM і бізнес-процесів.; !;== Ransomware ==

Сесія — це стан входу користувача в систему.; # Захищати API та інтеграції.;== Основні цілі кібербезпеки ==

  • окремі облікові записи;
  • ролі;
  • MFA;
  • audit log;
  • backup;
  • хмарна ERP;
  • API з доступами;
  • контроль інтеграцій;
  • code review;
  • testing;
  • відповідальність за інформаційні дані.; Без тестів помилки безпеки можуть повертатися після оновлень.; # Вести журнал змін.; Backend має:
  1. Захищати всі CRUD-операції.; API security і HTTPS.; Захист:
  • користувач системи без прав не бачить інформаційні дані;
  • API не надає можливість чужий company_id;
  • Delete заборонений для ролі без прав;
  • session cookie має правильні прапорці;
  • CSRF-захист функціонує;
  • XSS не виконується;
  • файл небезпечного типу не приймається;
  • rate limiting функціонує;
  • після logout сесія недійсна.; |-

| Що таке least privilege?; Усе критичне має перевірятися на backend.; У K2 ERP cybersecurity має охоплювати всі рівні платформи:

Audit log — журнал важливих дій користувачів і системи.;== Cybersecurity і Cloud Computing ==

У найпростішому сенсі cybersecurity відповідає на питання:

Для ФОП кібербезпека додатково важлива.; Це не офісна печатка в шухляді, яку «беруть коли треба».; |- | Чому backup важливий?; {| class="wikitable" style="width:100%;"

Principle of Least Privilege — принцип найменших привілеїв.; Для бізнес-систем потрібно:

Наслідки можуть бути серйозними:

  • облікові записи;
  • сервери;
  • мережі;
  • бази даних;
  • API;
  • storage;
  • backup;
  • monitoring;
  • DevOps;
  • secrets;
  • certificates;
  • containers;
  • deployment;
  • access control;
  • logging;
  • incident response.; Для хмарної ERP важливі:

Code Review і кібербезпека

Основні кроки:

Навіть малий бізнес-середовище має інформаційні дані, які потрібно захищати.; Це юридично значущий інструмент.; Для бізнесу кібербезпека означає, що документи, клієнти, товари, звіти, файли, доступи й облікові записи мають бути захищені від випадкових помилок, втрати, витоку, зловживань і атак.; Audit log сприяє відповідати на питання: «хто, коли, що і чому змінив?»

Безпечні cookies мають застосовувати:

CPU застосовується для:

  • перевіряти автентифікацію;
  • перевіряти авторизацію;
  • валідовувати інформаційні дані;
  • захищати API;
  • працювати через HTTPS;
  • не логувати секрети;
  • обробляти помилки без витоку деталей;
  • перевіряти права на кожну критичну дію;
  • захищати файли;
  • використовувати транзакції;
  • обмежувати небезпечні операції;
  • контролювати інтеграції.; # Перевіряти адресу сайту перед входом.; У бізнес-системі це стосується:

У бізнесі небезпечно давати всім усе «щоб не заважати працювати».; Моніторинг має охоплювати:

!; # Не ігнорувати актуалізація безпеки.; Захист:

Least Privilege

Cybersecurity і цифрова незалежність України

Backup

Окремо варто відзначити процесів, правил, практик і відповідальності, спрямованих на захист цифрових систем, даних, мереж, серверів, користувачів, облікових записів, backend, frontend, API, хмарної інфраструктури, ERP, CRM і бізнес-процесів від несанкціонованого доступу, втрати, пошкодження, зловживань і кібератак виступає ключовою рисою Cybersecurity або кібербезпека.;== Cybersecurity і CRUD ==

Суть поняття

У cybersecurity автентифікація охоплює: Але логи не мають містити паролі, токени, секретні ключі або зайві персональні інформаційні дані.; * екранування виводу;

  • Content Security Policy;
  • HttpOnly cookies;
  • валідація даних;
  • уникнення небезпечного HTML;
  • актуалізація залежностей;
  • code review;
  • тестування безпеки.; Безпека має захищати роботу, а не перетворювати її на музей із зачиненими дверима.;== Frontend Security ==

Backup і відновлення.; # Повідомляти про підозрілу активність.; # Контролювати експорт даних.;

!; Слабкі паролі, спільні логіни, відкриті сесії, відсутність backup, погані права доступу, незахищене API й хаотичні процеси можуть бути небезпечнішими за вірус із кінофільму.

Отримано з https://wiki.corp2.eu/index.php?title=Cybersecurity&oldid=1409