System ERP to centralny punkt zarządzania danymi w przedsiębiorstwie. Przechowuje informacje o klientach, kontrahentach, produkcji, finansach i procesach logistycznych. To sprawia, że bezpieczeństwo danych staje się jednym z najważniejszych aspektów wdrożenia i utrzymania oprogramowania.
Atak z zewnątrz nie jest kluczowym zagrożeniem, ponieważ większość zagrożeń to konsekwencja działań wewnętrznych. Właśnie dlatego patrząc na bezpieczeństwo danych w systemie ERP, trzeba uwzględnić zarówno źródła ryzyka, jak i technologie oraz procedury chroniące dane w różnych modelach instalacji: na serwerach lokalnych i w chmurze.
Przyjrzyjmy się szczegółom – zapraszamy do lektury.
Zagrożenia wewnętrzne – około 80% przypadków
Większość zagrożeń dla bezpieczeństwu danych w systemach ERP wynika z działań wewnętrzne. Ich przyczyną są często nieintencjonalne. Chodzi po prostu o „ludzkie” błędy użytkowników lub brak odpowiednich procedur.
Do najczęstszych zagrożeń należą:
- nieuprawniony dostęp pracowników – np. brak ograniczeń w systemie i dostęp do danych, które nie są potrzebne do wykonywania obowiązków;
- błędy ludzkie – przypadkowe usunięcie danych, wpisanie błędnych informacji, przesłanie dokumentów nie do tego adresata;
- niewłaściwe zarządzanie uprawnieniami – brak kontroli nad tym, kto ma dostęp do raportów, baz danych czy modułów;
- brak świadomości pracowników – np. otwieranie podejrzanych załączników, instalowanie nieautoryzowanego oprogramowania;
- nieprzestrzeganie procedur – omijanie wymogów bezpieczeństwa w imię „szybszej pracy”, np. zapisywanie haseł na kartkach;
- sabotaż lub kradzież danych – świadome działania osób niezadowolonych lub odchodzących z firmy.
Zagrożenia zewnętrzne – około 20% przypadków
Choć występują rzadziej, mogą być szczególnie groźne, bo często dotyczą dużej liczby danych naraz.
Typowe przykłady:
- ataki ransomware – szyfrowanie baz danych ERP i żądanie okupu;
- phishing i socjotechnika – przejęcie danych logowania użytkowników i dostęp do systemu;
- włamania sieciowe – wykorzystanie luk w zabezpieczeniach sieciowych lub w nieaktualnym oprogramowaniu ERP;
- przechwytywanie transmisji – ataki typu man-in-the-middle, gdy dane przesyłane są bez szyfrowania;
- złośliwe oprogramowanie – infekcja stacji roboczych, z których pracownicy logują się do ERP.
Zabezpieczenia danych w systemie ERP
Zabezpieczenia danych w systemie ERP są ściśle uzależnione od modelu wdrożenia – inaczej wyglądają w przypadku instalacji lokalnej (on-premise), a inaczej w rozwiązaniach chmurowych. Każde z tych środowisk ma swoją specyfikę, wymagania techniczne i obszary, za które odpowiada organizacja lub dostawca usług.
W modelu lokalnym pełna kontrola nad bezpieczeństwem spoczywa na firmie, co daje większe możliwości, ale i większą odpowiedzialność. W chmurze część zadań przejmują dostawcy, oferując rozbudowane mechanizmy ochrony, które są jednak skuteczne tylko wtedy, gdy firma właściwie nimi zarządza i szkoli użytkowników.
W modelu instalacyjnym na serwerach lokalnych (on-premise) firma odpowiada za całość infrastruktury, a do najważniejszych zabezpieczeń należą:
- Segmentacja sieci i firewalle – oddzielenie serwerów ERP od publicznej sieci.
- Regularne aktualizacje systemu i bazy danych – eliminowanie luk bezpieczeństwa.
- Backup lokalny i zewnętrzny – kopie zapasowe wykonywane cyklicznie i przechowywane w odseparowanym miejscu.
- Kontrola uprawnień – przypisywanie dostępu tylko tym pracownikom, którzy faktycznie go potrzebują.
- Monitoring logów – bieżąca analiza logowań, zmian w bazie i prób dostępu.
- Fizyczne zabezpieczenie serwerowni – kontrola wejścia, klimatyzacja, systemy przeciwpożarowe.
W chmurowym ERP część odpowiedzialności przejmuje dostawca usług, ale firma nadal odpowiada za poprawne korzystanie z systemu.
Typowe zabezpieczenia to:
- szyfrowanie transmisji i danych – zarówno w trakcie przesyłania, jak i w magazynach danych (np. AES-256);
- autoryzacja wieloskładnikowa (MFA) – dodatkowe potwierdzanie logowania;
- geograficzna redundancja danych – przechowywanie kopii danych w kilku lokalizacjach;
- certyfikaty bezpieczeństwa dostawcy – np. ISO 27001, SOC 2;
- stały monitoring i audyty bezpieczeństwa – prowadzone przez dostawcę i niezależne instytucje;
- zarządzanie tożsamością użytkowników – integracja z systemami IAM (Identity and Access Management).
Bezpieczeństwo danych w ERP to proces
Największe ryzyko leży po stronie użytkowników i procedur, dlatego niezbędne są szkolenia, kontrola uprawnień i monitorowanie. Różnice między instalacją lokalną a chmurową polegają głównie na podziale odpowiedzialności. W modelu on-premise wszystko spoczywa na firmie, a w chmurze część obowiązków przejmuje dostawca. W obu przypadkach skuteczna ochrona to połączenie technologii, procedur i świadomego podejścia pracowników.
