Компания «Техносерв Украина» - один из ведущих системных интеграторов Украины, и компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, объявляют о завершении совместного проекта по аудиту ABAP-кода SAP-систем УкрСиббанка. Количество программ SAP в банке – около 35 тыс., а число пользователей SAP – 7 тыс. человек.
«УкрСиббанк получил услугу высокого уровня по контролю безопасности самостоятельно разработанного программного кода для системы SAP for Banking, – делится Андрей Моршнев, начальник службы информационной безопасности УкрСиббанка BNP Paribas Group. – Выявленные проблемы и недостатки позволят нам не только устранить текущие уязвимости, но и создать методологию самостоятельного постоянного процесса контроля».
В качестве методической базы для проведения аудита специалисты «Техносерв Украина» и Digital Security использовали рекомендации компании SAP по безопасной разработке программ на ABAP - “SAP SECURITY RECOMMENDATIONS PROTECTING JAVA- AND ABAP BASED SAP APPLICATIONS AGAINST COMMON ATTACKS”, а также методики Digital Security в области поиска и анализа уязвимостей. В рамках проекта специалистами компаний–партнеров было проведено тестирование исходных кодов приложений на предмет соответствия данным рекомендациям, а также на наличие прочих уязвимостей, не включенных в базовый набор, предоставляемый компанией SAP, но, тем не менее, опасных.
В частности, специалисты провели оценку отсутствия авторизаций на доступ, проверили наличие уязвимостей разных классов, оценили производительность кода и его качество. По результатам аудита, был составлен отчет для руководства УкрСиббанка.
"В ходе анализа безопасности ABAP-кода было выявлены уязвимости различной степени критичности. Стоит отметить, что подобные уязвимости характерны для многих компаний, т.к. при внедрении ERP-систем разработчики в первую очередь думают о функциональной составляющей программ, нежели над их безопасностью или производительностью. Именно поэтому мы рекомендуем выполнять периодический анализ программ, выполняемых в SAP-ландшафте», - прокомментировал Дмитрий Частухин, директор департамента аудита SAP компании Digital Security. "
«В ходе проекта специалистами «Техносерв Украина» и Digital Security был произведен не только анализ уязвимостей, но и составлено их ранжирование по приоритету и критичности для SAP-систем УкрСиббанка, а также подготовлены наиболее эффективные рекомендации для специалистов банка по безопасности для их устранения и повышения защищенности систем, - говорит Олег Башинский, коммерческий директор «Техносерв Украина». – В результате проделанной нашими специалистами работы, все критичные уязвимости могут быть устранены в кратчайшие сроки».
«В конечном итоге, клиенты банка получили и в дальнейшем могут рассчитывать на высокий уровень безопасности своих средств и предоставляемых банком услуг, – отметил Андрей Моршнев. – Этот уровень на порядок выше, чем был до интеграции УкрСиббанка в крупнейшую международную группу BNP Paribas. Таким образом, в лице компаний «Техносерв» и Digital Security мы приобрели новых надежных партнеров с высоким качеством уровня предоставляемых услуг».
