Проект

"УкрСибБанк" проанализировал содержимое кода продуктов SAP

Заказчики: УкрСиббанк BNP Paribas Group

Киев; Финансовые услуги, инвестиции и аудит

Подрядчики: Техносерв Украина
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2014/04 — 2014/10
Технология: ИБ - Антивирусы
подрядчики - 310
проекты - 1323
системы - 443
вендоры - 132
Технология: ИБ - Антиспам
подрядчики - 271
проекты - 1113
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 317
проекты - 994
системы - 484
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1454
системы - 729
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 278
проекты - 1114
системы - 427
вендоры - 246
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 224
проекты - 778
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 277
проекты - 850
системы - 474
вендоры - 246

6 ноября 2014 года компания «Техносерв Украина» и компания Digital Security сообщили о завершении совместного проекта по аудиту ABAP-кода SAP-систем в УкрСиббанке.

Ход проекта

В качестве методической базы для проведения аудита специалисты «Техносерв Украина» и Digital Security использовали рекомендации компании SAP по безопасной разработке программ на ABAP - "SAP security recommendations protecting Java- and ABAP based SAP applications against common attacks", а также методики Digital Security в области поиска и анализа уязвимостей. В рамках проекта специалистами компаний–партнеров было проведено тестирование исходных кодов приложений на предмет соответствия данным рекомендациям, а также на наличие прочих уязвимостей, не включенных в базовый набор, предоставляемый компанией SAP, но, тем не менее, опасных.

Специалисты провели оценку отсутствия авторизации на доступ, наличие уязвимостей разных классов, оценили производительность кода и его качество. По результатам аудита составлен отчет для руководства УкрСиббанка.

Итог проекта

"В ходе анализа безопасности ABAP-кода было выявлены уязвимости различной степени критичности. Стоит отметить, что подобные уязвимости характерны для многих компаний, поскольку при внедрении ERP-систем разработчики в первую очередь думают о функциональной составляющей программ, нежели над их безопасностью или производительностью. Именно поэтому мы рекомендуем выполнять периодический анализ программ, выполняемых в SAP-ландшафте", - отметил Дмитрий Частухин, директор департамента аудита SAP компании Digital Security.
«В ходе проекта специалистами «Техносерв Украина» и Digital Security был произведен не только анализ уязвимостей, но и составлено их ранжирование по приоритету и критичности для SAP-систем УкрСиббанка, а также подготовлены наиболее эффективные рекомендации для специалистов банка по безопасности для их устранения и повышения защищенности систем, - подчеркнул Олег Башинский, коммерческий директор «Техносерв Украина». – В результате проделанной нашими специалистами работы, все критичные уязвимости могут быть устранены в кратчайшие сроки».
«УкрСиббанк получил услугу высокого уровня по контролю безопасности самостоятельно разработанного программного кода для системы SAP for Banking, – поведал Андрей Моршнев, начальник службы информационной безопасности УкрСиббанка BNP Paribas Group. – Выявленные проблемы и недостатки позволят нам не только устранить текущие уязвимости, но и создать методологию самостоятельного постоянного процесса контроля. В конечном итоге, клиенты банка получили, и в дальнейшем могут рассчитывать на высокий уровень безопасности своих средств и предоставляемых банком услуг. Этот уровень на порядок выше, чем был до интеграции УкрСиббанка в крупнейшую международную группу BNP Paribas. Таким образом, в лице компаний «Техносерв» и Digital Security мы приобрели новых надежных партнеров с высоким качеством уровня предоставляемых услуг».