Никакой несерьезности в вопросах безопасности
Продолжаем тему безопасности, поднятую в первом посте.Без ложной скромности можно сказать, что в нашей стране без шуток относятся к вопросам безопасности. Однако если копнуть немного глубже, то во многих случаях оказывается, что данное серьезное отношение к безопасности не такое уж и серьезное. Можно перечислить большое количество случаев, когда крупные компании либо в силу недопонимания либо в силу нежелания тратить ресурсы предпочитают т.н. бумажную безопасность реальным действиям. Другой весьма распространенной особенностью является повышенное внимание к отдельным техническим аспектам безопасности в ущерб созданию целостной концепции и построению целостного решения исходя из предполагаемых угроз и вероятностей их возникновения.
Компания SAP в свою очередь серьезно подходит как к безопасности своих продуктов, так и к обеспечению безопасной работы продуктов компании, установленных у клиентов. Если сделать небольшой экскурс в историю, то можно сказать, что тема безопасности была для компании SAP важна всегда. Каждый начинающий базисник (да и не базисник тоже) сразу вспомнит, что в любой системе SAP есть концепция ролей и полномочий, есть специальные параметры безопасности. Более продвинутые вспомнят, что есть структурные полномочия. Да много ли чего еще. Эти вещи были всегда — они всегда составляли основу бастионов защиты продуктов SAP от любых неправомерных действий.Но с течением времени продукты SAP изменялись, усложнялись. Появлялись новые решения. Между продуктами устанавливались взаимосвязи, что в свою очередь приводило к еще большему усложнению конечных решений. И все это тем или иным образом влияло (и далеко не позитивно) на безопасность.
По мере усложнения самих продуктов и конечных ландшафтов все более сложными или скорее изощренными становились методы проникновения в системы, кражи, порчи данных и т.п. Следующий пример может проиллюстрировать рост важности и масштабности темы безопасности в продуктах компании. Если в период с 2001 по 2008 годы количество нот и корректур, выпущенных компанией SAP и связанных с темой безопасности в целом составило несколько сотен за весь период, то только в одном 2009 году их было уже больше 100. А только в одном 2010 году такого рода нот было выпущено более 800. С чем было связано такое лавинообразное увеличение количества выпущенных нот? В 2009 году руководство компании выступило с так называемой инициативой по безопасности (SAP Security Initiative). Данная инициатива включала в себя все аспекты безопасности начиная от документальных стандартов разработки и изменения продуктов компании заканчивая специальными наборами услуг на уровне консалтинговых подразделений по улучшению ситуации с безопасностью тех же самых продуктов на стороне заказчиков. В данную инициативу были вовлечены не только сотрудники компании SAP, то также и десятки если не сотни партнерских компаний, которые разрабатывают дополнительные продукты по обеспечению безопасности, обследуют стандартный код компании SAP и пользовательский код клиентов и помогают клиентам лучше справляться с вызовами в области безопасности.
В рамках разработки непосредственно продуктов SAP первоначальное планирование инициативы по безопасности было рассчитано на несколько лет охватывало несколько основных областей. Среди них были и остаются следующие:
Авторизации — оптимизация и улучшение работы с ними Стратегия тестирования, учитывающая безопасность Анализ уже существовавших и закрытие нерешенных сообщений в службе поддержки Повышение безопасности работы web сервисов Повышение безопасности работы клиентских программ Безопасное хранение и обработка персональных данных Безопасное хранение и обработка информации по кредитным картам Сканирование программного кода на предмет уязвимостей Безопасная передача изменений между системами в транспортном ландшафте В 2010 м году были поставлены задачи по проверке кода во всех внутрикорпоративных сценариях, а безопасность, кроме того компания поставила перед собой задачу по решению всех существовавших на тот момент открытых сообщений, относящихся к безопасности, была предложена и разработана отдельная концепция тестирования продуктов по вопросам безопасности итп.В 2011 году компания поставила и выполнила задачу по тестированию всего нового кода на предмет обнаружения уязвимостей во всех возможных тестовых сценариях, была также поставлена задача по оптимизации и улучшению стандартных ролей и присутствующих в соответствующих авторизациях значений по умолчанию. Отдельно решалась задача по улучшению ситуации с хранением персональных данных. Разработанная в 2010 м году концепция тестирования продуктов по вопросам безопасности стала применяться в продуктивном режиме.2012й год — продолжается тестирование кода на предмет нахождения уязвимостей во всех возможных тестовых сценариях. Концепция по тестированию продолжает использоваться и дорабатываться. Продолжает решаться задача по улучшению ситуации с хранением персональных данных и авторизациями. На 2013й год компанией была поставлена амбициозная цель — стать одной из лучших на рынке компаний в индустрии в области обеспечения безопасности своих продуктов. Компания находится в постоянном движении по улучшению собственных продуктов с точки зрения безопасности. Таким образом можно сказать, что инициатива, начатая в 2009 м году продолжает влиять на все, что делается в компании в области безопасности.