Заболели SAPом: софт от немецкого вендора стал воротами для хакеров

Внутри периметра

Компания-пентестер (аудитор в сфере информбезопасности) Digital Security провела с согласия бизнеса аудит более 50 крупных SAP-ландшафтов и выявила несколько критичных факторов для ИБ. Forbes ознакомился с результатами исследования.
Так, в 72% компаний, продолжающих скрыто эксплуатировать SAP, выявлены критические пользовательские транзакции, доступ к которым никак не ограничен по ролям и правам пользователей. В 64% случаев внутри таких «полуотказавшихся» SAP-ландшафтов сохраняются устаревшие RFC-интерфейсы (Remote Function Call, удаленный вызов функций) с паролями, которые не менялись более трех лет. В 58% компаний были обнаружены модули и сервисы, которые формально больше не используются, но при этом продолжают обрабатывать персональные и финансовые данные.
В реальных производственных SAP-ландшафтах крупных российских предприятий более 70% попыток атак было зафиксировано внутри сетевого периметра SAP, констатируют авторы исследования. «В SAP используются собственные протоколы (RFC, DIAG, ICM) и сервисы, которые не контролируются классическими средствами ИБ, поэтому внутренний злоумышленник может получить критичные данные без фиксации сетевого события, — продолжают они. — Стандартные SIEM (Security information and event management, система управления событиями безопасности) фиксируют в ERP-платформе не более 5-7% значимых событий, так как остальные происходят на уровне приложений».
Аналитики также выяснили, что 73% критичных ИБ-инцидентов за последние два года были связаны с действиями сотрудников и подрядчиков, имеющих избыточные технические полномочия. Так, более чем в 60% проверенных компаний выгрузки конфиденциальных документов (договоры, данные бухучета, сведения о складах, себестоимости, производственные планы) и персональные данные сотрудников исследователи Digital Security получили без повышения привилегий, используя только стандартные API и недокументированные вызовы.
«На практике это означает, что внутри компании существует вторичная теневая IT-реальность, в которой продолжают существовать неактуальные сценарии, проекты, интерфейсы и данные, которые никто не защищает системно и по правилам, — говорит руководитель направления защиты корпоративных систем Digital Security Олег Голиков. — Именно в таких условиях риск инцидента возрастает экспоненциально: злоумышленники, внутренние нарушители, конкуренты или технические специалисты, имеющие расширенные полномочия, прекрасно понимают, что «старый SAP» стал слепой зоной для контроля. Отсутствие обновлений, накопленные уязвимости, незащищенные технические аккаунты, забытые интерфейсы — все это превращает невидимый для руководства слой SAP-функционала в удобную точку входа для атаки».

«Реальная картина намного сложнее»

Несмотря на официальный уход SAP из России в 2022 году, российские компании продолжают использовать программу как основу для ключевых процессов, хотя и сталкиваются с накоплением уязвимостей и отсутствием обновлений, делают вывод аналитики Digital Security. По их словам, компании придерживаются консервативной позиции в двух случаях. В первую очередь, ранее они инвестировали десятки и даже сотни миллионов рублей в инсталляцию иностранной ERP-системы и не могут просто «списать» эти деньги. Во-вторых, не готовы в актуальной макроэкономической ситуации инвестировать еще раз для перехода на альтернативные решения. При этом бизнес стремится снизить расходы на поддержку инсталлированной системы SAP и, в частности, ее кибербезопасности.
В результате на местах IT- и ИБ-специалисты вынуждены поддерживать огромный пласт функций, транзакций и интеграций, которые перестали отражаться в официальной архитектурной документации компании, поясняют в Digital Security. Таким образом, появляется быстрорастущий слой незадокументированных сценариев использования SAP, внутренних интерфейсов, прикладных программных интерфейсов, кастомных разработок и интеграций, о которых может не знать менеджмент компаний.
«Многие организации сегодня официально декларируют полный переход на отечественные ERP-платформы, однако реальная картина намного сложнее. Значительная часть промышленных, энергетических компаний, ретейлеров продолжают использовать SAP в качестве критически важной основы своих производственных и финансовых процессов. Более того, нередко этот факт стараются скрывать — как от внешних аудиторов, так и от регуляторов, — констатирует Олег Голиков. — Формально компанию можно записать в «импортозаместившие», но внутри нее логистика, закупки, складская аналитика, расчет зарплаты или управление ремонтами продолжают работать на устаревших SAP-модулях».
Низкий уровень ИБ SAP-инфраструктуры приводит и к финансовым рискам — сутки простоя ERP-платформы приводят к потерям от 8 млн до 20 млн рублей, оценивают Digital Security. В ущерб для производственных компаний входят прямые убытки от остановки конвейеров, срыва сменных графиков персонала, перерасход материалов, вынужденного простоя подрядчиков. «Для ретейлеров сбой в ключевых потоках SAP-логистики приводит к разрыву цепочек поставок с совокупными потерями до 35 млн рублей. В эту оценку входят возвратные операции, экстренная закупка скоропортящихся товаров, компенсации персоналу, штрафы в результате неисполненных договорных обязательств», — заключают аналитики.
Forbes направил запрос в SAP.

Остались без поддержки

ERP — программа для управления основными бизнес-процессами предприятия. Немецкая SAP — крупнейший разработчик ERP-систем в мире. До марта 2022 года в России у нее было около 1500 клиентов, включая РЖД, «Аэрофлот», Сбербанк, ВТБ, Альфа-банк, X5, почти все нефтегазовые, химические, металлургические компании. После февраля 2022 года SAP перестала заключать новые контракты на продажу услуг и продуктов в России, прекратила поддержку клиентов, включенных в санкционные списки США и ЕС, в конце 2023-го отключила клиентов от поддержки софта, а затем лишила доступа к своим облачным услугам.
При этом немецкий вендор регулярно выпускает патчи (SAP Security Notes) и публикует информацию об уязвимостях. Так, в январском бюллетене безопасности приводятся сведения о требующих немедленного устранения критичных уязвимостях (SQL-инъекция, удаленное выполнение кода, повышение привилегий).
В российском IT есть области, где полное замещение так и не состоялось, в первую очередь это как раз специализированное ПО: SAP, Oracle, AutoCAD и другие системы, которые широко применяются в корпоративном секторе (подписка оплачена на годы вперед), рассказывал ранее Forbes сооснователь и директор по развитию компании arcsinus Павел Голуб: «Например, многие крупные предприятия до сих пор используют Oracle для управления базами данных, так как переход на отечественные аналоги даже в нынешних обстоятельствах нецелесообразно дорогой. В нефтегазовом секторе все еще работают с SAP. Аэропорт Шереметьево тоже продолжает использовать SAP как финансовую систему, поскольку она не является объектом критической информационной инфраструктуры (КИИ)», — приводил примеры он.
Объем российского рынка ERP-систем вырастет к 2030 году до 120 млрд рублей с 90 млрд рублей в 2024-м, заявил в сентябре 2025 года директор центра компетенций «Управление предприятием» IT-холдинга Т1 Алексей Стоянов на конференции «НОТА Коннект». На рынке ERP в России доля SAP сегодня менее 40%, оценивает глава Ассоциации предприятий компьютерных и информационных технологий (АПКИТ, включает крупнейшие компании по разработке и внедрению ПО, дистрибуции, системной интеграции) Николай Комлев. Все, кто дает точные цифры, путаются в показаниях, добавляет он: «Одна из причин — в расхождении мнений, что относить к ERP из работающих решений. Зачастую на одном предприятии работают лишь некоторые отдельные модули ERP, плюс элементы MES, CSM и пр. Часть из них собственной разработки, часть — от других разработчиков». По его словам, наибольшее число внедрений решений ERP — у «1С». «К известным российским разработчикам нужно также отнести «Корпорацию Галактика» (ветеран рынка), «Бизнес Технологии» (Global ERP), «Консист» («Турбо ERP»), «Национальную платформу (Ма-3) и ряд других», — говорит Комлев.
Летом 2025 года глава правительства Михаил Мишустин по итогам конференции ЦИПР поручил Минцифры и отраслевым комитетам по замещению зарубежных цифровых решений изучить возможность создания консорциума для разработки отечественной ERP-системы. 3 июня на пленарном заседании ЦИПР-2025 он попросил главу совета директоров и основного владельца «Северстали» Алексея Мордашова найти инвестиции для импортозамещения ERP-решений. В 2023 году в реестре российского ПО было зарегистрировано около 200 аналогов ERP от немецкой SAP. Мордашов, со своей стороны, отметил, что у компании пока отрицательный опыт работы над заменой SAP, и подчеркнул, что создание аналогов ERP-системы требует проработки и существенных затрат.
В декабре 2025 года Минцифры разъяснило, что ERP-консорциум будет собирать требования по доработке рыночных решений, а не создавать новую систему. Делать полный аналог SAP не нужно — эффективнее использовать экосистему от разных вендоров, уточнил регулятор.

Секрет Полишинеля

По-прежнему широкое использование российскими компаниями продуктов SAP можно назвать секретом Полишинеля, подтверждают эксперты. Это касается металлургической, машиностроительной, нефтегазовой, транспортной отраслей, а также крупного ретейла, перечисляет гендиректор Security Vision Руслан Рахметов. «На решениях SAP выстроены ключевые бизнес-процессы, во внедрение и поддержку вкладывались значительные ресурсы с расчетом на многолетнюю эксплуатацию, поэтому сейчас, в условиях нестабильной экономической ситуации, немногие готовы к сопоставимым инвестициям для перехода на отечественные аналоги. Тем более, если еще не истек срок полезного использования инсталляции SAP, решение тонко настроено и устраивает заказчика производительностью и функционалом, — продолжает он. — Кроме того, если решения SAP эксплуатировались годами, то в компаниях по ним наработана внутренняя экспертиза, а для перехода на российские аналоги потребуется переобучить сотрудников или нанять новых дефицитных специалистов с соответствующими компетенциями».
Пресейл-инженер ИБ-компании «Спикател» Денис Ушаков называет ситуацию «классической головоломкой» для компаний из различных сфер в силу геополитической обстановки. Импортозамещение, по его словам, особенно затруднено для тех решений, которые отвечают «за все и сразу» (ERP-системы в том числе, потому что берут на себя большой функционал).
Отсутствие доступа к обновлениям безопасности и фирменной вендорской техподдержке негативно сказывается на уровне киберзащищенности компаний, эксплуатирующих SAP, уверен Рахметов. «Поскольку продукты SAP продолжают оставаться ядром крупнейшего бизнеса, их взлом действительно может привести к тяжелым последствиям, а защитные решения, не специализированные для работы с ERP-системами, могут «не увидеть» критичные уязвимости, недостатки конфигураций, инциденты, — размышляет он. — Кроме того, в отсутствие квалифицированного консалтинга и поддержки от производителя сложно обновлять и саму платформу SAP, растет число кастомных доработок, поддерживать такую legacy-систему своими силами становится все труднее». С похожими сложностями сталкиваются многие эксплуатанты ушедших зарубежных решений, которые пока что не импортозамещены, резюмирует Руслан Рахметов.
Впрочем, поскольку SAP недоступна извне, бреши в ее безопасности нельзя использовать для взлома, указывает технический директор центра мониторинга и реагирования на кибератаки RED Security SOC Владимир Зуев: «Перечисленные недостатки релевантны только для хакера, который уже проник в инфраструктуру и исследует ее». Хотя, по его мнению, компрометация SAP и может привести к описанным видам ущерба, ERP — «не самая критичная система», к которой хакеры могут получить доступ после взлома. «Тем не менее для доступа к ней, как и к другим корпоративным системам, обрабатывающим чувствительную информацию, должны использоваться и строгая парольная политика, и разграничение прав доступа», — говорит Зуев.
При участии Анастасии Гаврилюк