ERPScan ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบบ ERP ออกรายงาน SAP Cybersecurity Threat Report ฉบับล่าสุด แบ่งเป็น 3 หัวข้อหลัก คือ Product Security, Implementation Security และ Security Awareness ระบุ พบ SAP กว่า 36,000 ระบบเชื่อมต่อกับอินเทอร์เน็ต ทั้งๆ ที่ควรเป็นระบบปิด เปิดช่องให้แฮ็คเกอร์สามารถโจมตีได้
โดยปกติแล้ว การสื่อสารกันระหว่าง SAP Servers จะใช้โปรโตคอลเฉพาะของทาง SAP ซึ่งระบบสแกนทั่วไปไม่สามารถค้นหาเจอ แต่ทาง ERPScan ได้ใช้วิธีการสแกนเฉพาะตัว เก็บรวบรวมข้อมูลการใช้ระบบ SAP จากทั่วโลก (โดยไม่ส่งผลกระทบต่อผู้ใช้แต่อย่างใด) ผลลัพธ์ที่ได้นำมาสรุปใจความสำคัญได้ดังนี้
SAP Product Security
- จำนวนเฉลี่ยของแพทช์ด้านความมั่นคงปลอดภัยในแต่ละปีลดลงเล็กน้อย จากเดิมที่ SAP ออก 1 แพทช์ต่อ 1 ช่องโหว่ กลายเป็น 1 แพทช์ต่อหลายๆ ช่องโหว่ จนถึงตอนนี้ SAP ออกแพทช์แล้วกว่า 3,662 แพทช์ ซึ่งประมาณ 73% เป็นช่องโหว่ที่มีความรุนแรงสูง
- ช่องโหว่มีการขยายขอบเขตออกไปยังระบบ Cloud และ Mobile เช่น HANA ซึ่ง SAP ระบบใหม่เหล่านี้มีการเชื่อมต่อกับอินเทอร์เน็ต ทำให้ตกเป็นเป้าโจมตีได้ง่ายขึ้น จากสถิติพบว่า ปัญหาบน SAP Mobile ส่งผลกระทบต่อผู้ใช้อุปกรณ์พกพามากถึงหลักล้านคน และช่องโหว่บน SAP HANA ส่งผลกระทบต่อบริษัทกว่า 6,000 แห่ง
- เกือบทุกโมดูลของ SAP มีช่องโหว่ โดยเฉพาะ CRM, EP และ SRM อย่างไรก็ตาม SAP HANA และ SAP Mobile Apps ต่างเริ่มตกเป็นเป้าหมายของแฮ็คเกอร์มากขึ้น
- จำนวนช่องโหว่สำหรับโซลูชันที่ออกแบบมาเฉพาะหน่วยงานเพิ่มขึ้นอย่างมีนัยสำคัญ จนถึงตอนนี้พบช่องโหว่แล้วกว่า 160 รายการ โซลูชันที่พบช่องโหว่มากที่สุด คือ SAP สำหรับ Banking, Retail, Advertising Management, Automotive และ Utilties
SAP Implementation Security
- พบ SAP กว่า 36,000 ระบบออนไลน์อยู่ทั่วโลก ซึ่ง 69% ของระบบเหล่านั้นไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง
- การตั้งค่า SAP ไม่ดีเพียงพออาจถูกใช้เป็นช่องโหว่เจาะเข้ามาโจมตี Critical Infrastructure ได้
SAP Security Awareness
- เกือบครึ่งของ SAP Services ที่ไม่ควรเชื่อมต่ออินเทอร์เน็ตมาจาก 3 ประเทศ คือ สหรัฐฯ อินเดีย และจีน
- ประเทศที่มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ SAP ไปบรรยายหรือให้ความรู้ มีการติดตั้งระบบ SAP ที่มั่นคงปลอดภัยกว่าประเทศอื่นๆ เช่น สหรัฐฯ เยอรมนี และเนเธอร์แลนด์
ที่มา: https://www.helpnetsecurity.com/2016/08/02/sap-cybersecurity-report/