חוקר אבטחה: פרצה בסאפ עלולה להביא לחבלה במערכות IT ארגוניות של הלקוחות, לריגול ולהונאה

ארגונים המשתמשים בתוכנות ניהול ארגוניות של סאפ (SAP) עלולים להיות חשופים להתקפות ולגניבת מידע על ידי האקרים – כך טוען מריאנו נונז די קורסי, מנהל המו"פ בחברת אבטחת המידע אונפסיס (Onapsis). לדבריו, הפרצות הללו, שיוצגו בוועידת אבטחת המידע Black Hat, הנערכת בברצלונה, עלולות לגרום למצב שבו ההאקרים יצליחו לבצע במערך ה-IT פעולות חבלה, ריגול והונאה, באמצעות מתקפת "דלת אחורית". הוא הגדיר את הבעיה חמורה, כיוון שרבים מהארגונים בעולם נעזרים בתוכנות סאפ למשימות ניהול קריטיות, ביניהן ניהול חשבונות ותפעול הייצור.

לדברי די קורסי, הפרצה מאפשרת התחברות דרך תוכנות סאפ לבסיס הנתונים הארגוני, ובאמצעות חיבור זה – יכולת להתקין תוכנות שישלפו נתונים ממערך המיחשוב, בלא שניתן יהיה לנטר מהלכי פריצה אלה. סאפ מייצרת כמה שכבות הגנה לתוכנות שלה. הוא הסביר, כי האקרים יכולים לעקוף שכבות אלה על ידי ביצוע מניפולציה בתוכנות, שההתממשקות שלהן לבסיסי הנתונים אינה מושלמת. מדובר בשלושת בסיסי הנתונים הנפוצים בשוק – אלה של אורקל (Oracle), מיקרוסופט (Microsoft) ויבמ (IBM). "לאחר שההאקר הצליח ליצור גישה לבסיס הנתונים", אמר די קורסי, "השמיים הם הגבול. הוא יכול לשנות תהליכים עסקיים, לחבל במערכות ה-IT או לגנוב מידע ארגוני חיוני ובעל ערך". בכנס האבטחה תחלק אונפסיס בחינם למשתתפים בו תוכנה פרי פיתוחה, המגנה מפני מתקפה שכזו.

סאפ מסרה בתגובה לדברים, כי לקוחותיה עלולים להימצא במצב של סיכון ופוטנציאל למתקפה רק במקרה שהם לא מילאו את הנחיותיה לתפעול התוכנות ומערך המיחשוב שלהם בצורה מאובטחת. "אם ארגונים פעלו 'לפי הספר', אז אין סיכוי שפריצה שכזו תוכל להתממש", מסרה החברה בתגובתה.