Кібербезпека ERP

ERP — це серце бізнесу. Якщо ERP зламана, зашифрована, зупинена або скомпрометована, компанія може втратити:

• доступ до замовлень;
• доступ до складу;
• можливість відвантаження;
• можливість виставлення рахунків;
• контроль оплат;
• бухгалтерський облік;
• податкову звітність;
• зарплатний процес;
• управлінську аналітику;
• довіру клієнтів;
• гроші;
• репутацію.

Зона ризику	Що може статися	Рівень
Облікові записи	Злам пароля бухгалтера, адміністратора, менеджера або API-користувача.	Критично
Фінансові дані	Несанкціонована зміна рахунків, оплат, реквізитів або контрагентів.	Критично
Резервні копії	Немає backup або backup неможливо відновити.	Критично
Інтеграції	Витік через API, webhook, файловий обмін, старий конектор.	Високий
Права доступу	Користувачі мають більше прав, ніж потрібно.	Високий
Контрольована ERP	Ролі, MFA, аудит, резервне копіювання, моніторинг, сегментація.	Рекомендовано

ERP містить дані, які мають високу цінність для зловмисників:

• платіжні реквізити;
• договори;
• контрагентів;
• персональні дані;
• зарплати;
• ціни закупівлі;
• ціни продажу;
• знижки;
• залишки;
• виробничі рецептури;
• комерційні умови;
• податкову інформацію;
• банківські виписки;
• управлінську звітність.

Кібербезпека ERP повинна будуватися не як набір випадкових налаштувань, а як система управління ризиками.

ISO/IEC 27001 визначає вимоги до системи управління інформаційною безпекою, тобто ISMS, і використовується компаніями для створення, впровадження, підтримки та постійного покращення управління інформаційною безпекою. :contentReference[oaicite:1]{index=1}

Принцип	Що означає для ERP	Колір
Найменші привілеї	Кожен користувач має тільки ті права, які потрібні для роботи.	Обов'язково
Розділення обов'язків	Одна людина не повинна одночасно створювати, погоджувати й оплачувати критичну операцію.	Обов'язково
MFA	Критичні ролі входять тільки з багатофакторною автентифікацією.	Обов'язково
Журналювання	Всі критичні дії логуються.	Обов'язково
Резервне копіювання	Backup перевіряється відновленням, а не тільки фактом створення.	Обов'язково
Моніторинг	Система повинна виявляти підозрілі дії.	Обов'язково
Шифрування	Дані захищені під час передачі та зберігання.	Обов'язково

Ризик	Опис	Приклад	Рівень
Злам адміністратора	Отримання повного доступу до ERP.	Пароль адміністратора без MFA.	Критично
Зміна платіжних реквізитів	Підміна реквізитів постачальника або клієнта.	Оплата йде не на той рахунок.	Критично
Шифрування бази	Ransomware блокує ERP.	Компанія не може працювати.	Критично
Витік зарплат	Компрометація персональних і зарплатних даних.	Конфлікти, штрафи, репутаційні втрати.	Критично
Надлишкові права	Менеджери бачать фінанси, бухгалтери змінюють склад, склад змінює ціни.	Внутрішній ризик.	Високий
Старі API-ключі	Інтеграції працюють із ключами, які давно не змінювались.	Витік через інтеграцію.	Високий
Немає контролю змін	Ніхто не знає, хто змінив налаштування, роль, документ або довідник.	Неможливо розслідувати інцидент.	Високий

• MFA для адміністраторів;
• MFA для бухгалтерів;
• MFA для фінансових ролей;
• MFA для користувачів із доступом до банківських операцій;
• складна політика паролів;
• заборона спільних логінів;
• автоматичне блокування після невдалих спроб;
• контроль входів із нових пристроїв;
• контроль входів із незвичних країн або IP;
• регулярний перегляд активних користувачів;
• швидке відключення звільнених працівників.

Роль	Чому небезпечна	Захист
Адміністратор ERP	Може змінити права, налаштування, довідники, інтеграції.	MFA, окремий admin-акаунт, аудит.
Головний бухгалтер	Має доступ до фінансів, податків, зарплат.	MFA, журнал критичних дій.
Фінансовий директор	Має доступ до платежів, бюджетів, звітів.	MFA, погодження змін.
Інтеграційний користувач	API-доступ до ERP.	Token rotation, IP whitelist, scopes.
Розробник	Може змінювати логіку системи.	Dev/Test/Prod separation, code review.

ERP повинна мати чітку рольову модель:

• бухгалтер;
• головний бухгалтер;
• фінансовий директор;
• менеджер продажів;
• керівник продажів;
• закупівельник;
• склад;
• керівник складу;
• виробництво;
• HR;
• керівник;
• адміністратор;
• інтеграційний користувач;
• аудитор.

Модуль	Менеджер	Бухгалтер	Склад	Фіндиректор	Адміністратор
Продажі	Робота	Перегляд	Перегляд	Перегляд	Налаштування
Закупівлі	Перегляд	Робота	Перегляд	Погодження	Налаштування
Склад	Перегляд	Перегляд	Робота	Перегляд	Налаштування
Зарплата	Заборонено	Робота	Заборонено	Перегляд	Налаштування
Банківські операції	Заборонено	Робота	Заборонено	Погодження	Налаштування

Критичні операції повинні мати додатковий контроль.

Операція	Ризик	Контроль
Зміна банківських реквізитів контрагента	Підміна рахунку.	Двоетапне погодження, журнал, повідомлення фіндиректору.
Зміна ціни продажу	Продаж нижче мінімальної ціни.	Ліміт відхилення, погодження керівником.
Списання товару	Крадіжка або приховане списання.	Погодження, фото/акт, журнал.
Видалення документа	Приховування операції.	Заборона фізичного видалення, soft delete, аудит.
Зміна прав користувача	Несанкціоноване розширення доступу.	Погодження, MFA, журнал.

CISA у своїх рекомендаціях для бізнесу окремо підкреслює важливість логування, резервного копіювання та шифрування бізнес-даних як базових практик кіберзахисту. :contentReference[oaicite:2]{index=2}

ERP backup повинен відповідати правилам:

• щоденний backup бази;
• backup файлів;
• backup налаштувань;
• backup інтеграційних ключів у захищеному вигляді;
• зберігання копій поза основним сервером;
• immutable backup;
• регулярне тестове відновлення;
• документований RPO;
• документований RTO.

Показник	Значення	Пояснення
RPO	1–24 години	Скільки даних компанія готова втратити.
RTO	2–24 години	За який час ERP повинна бути відновлена.
Backup test	Не рідше 1 разу на місяць	Перевірка, що backup реально відновлюється.
Critical restore drill	1 раз на квартал	Тест відновлення критичного контуру.

ERP повинна логувати:

• входи користувачів;
• невдалі спроби входу;
• зміну пароля;
• зміну ролей;
• створення користувача;
• блокування користувача;
• зміну довідників;
• зміну банківських реквізитів;
• зміну цін;
• зміну залишків;
• проведення документів;
• скасування документів;
• видалення документів;
• запуск інтеграцій;
• API-запити;
• експорт даних;
• масові операції.

Дата	Користувач	Дія	Об'єкт	Ризик	Статус
07.05.2026 09:15	ivan.petrenko	Зміна реквізитів	ТОВ «Альфа»	Критично	Очікує погодження
07.05.2026 10:22	admin	Зміна ролі	user_245	Критично	Погоджено
07.05.2026 11:05	sklad_01	Списання товару	SKU-001	Високий	На перевірці

ERP повинна не тільки зберігати логи, а й аналізувати їх.

Подія	Ознака ризику	Реакція
Багато невдалих входів	Можливий brute force.	Блокування, alert адміністратору.
Вхід із нової країни	Можлива компрометація.	MFA challenge, alert.
Масовий експорт даних	Можливий витік.	Блокування експорту, перевірка.
Масова зміна цін	Помилка або атака.	Погодження, rollback.
Зміна реквізитів перед оплатою	Можлива шахрайська дія.	Погодження фіндиректором.
Вхід адміністратора у неробочий час	Підозріла дія.	Alert, запис у журнал.

ERP майже завжди інтегрується з іншими системами:

• банки;
• податкова;
• ПРРО;
• CRM;
• WMS;
• маркетплейси;
• Нова пошта;
• Укрпошта;
• електронний підпис;
• електронний документообіг;
• BI;
• мобільні додатки.

• окремий API token для кожної інтеграції;
• обмеження прав token;
• IP whitelist;
• rate limiting;
• expiration date для token;
• token rotation;
• журнал API-запитів;
• підпис webhook;
• перевірка повторів webhook;
• idempotency key;
• HTTPS;
• заборона передачі секретів у URL;
• маскування персональних даних у логах.

Ransomware — один із найнебезпечніших сценаріїв для ERP.

• сервер ERP;
• сервер бази даних;
• файлове сховище;
• backup;
• інтеграційний сервер;
• термінальний сервер;
• робочі місця бухгалтерів;
• облікові записи адміністраторів.

Захід	Опис	Рівень
MFA	Особливо для адміністраторів і віддаленого доступу.	Обов'язково
Immutable backup	Backup, який не можна змінити або зашифрувати з основної мережі.	Обов'язково
Network segmentation	ERP не повинна бути в одній плоскій мережі з усіма ПК.	Обов'язково
EDR/AV	Захист серверів і робочих станцій.	Обов'язково
Patch management	Регулярне оновлення ОС, БД, ERP, бібліотек.	Обов'язково
Least privilege	Мінімальні права для користувачів і сервісів.	Обов'язково

База даних ERP повинна мати окремий контур захисту.

Вимоги:

• база не доступна напряму з інтернету;
• доступ тільки з application-серверів;
• окремі облікові записи для сервісів;
• заборона використання root/superuser для ERP-додатку;
• шифрування дисків;
• шифрування backup;
• аудит SQL-доступу;
• контроль масового читання;
• контроль зміни структури;
• регулярні оновлення СУБД;
• тест відновлення.

Якщо ERP має мобільний додаток або web-доступ:

• MFA;
• device binding;
• session timeout;
• refresh token rotation;
• заборона збереження пароля;
• обмеження копіювання критичних даних;
• захист від доступу з root/jailbreak-пристроїв, якщо це потрібно;
• журнал мобільних сесій;
• можливість примусового виходу;
• remote revoke для загубленого пристрою.

ERP-розробка повинна мати окремі середовища:

• DEV;
• TEST;
• STAGE;
• PROD.

• окремі бази;
• маскування персональних даних у тесті;
• code review;
• контроль міграцій;
• rollback plan;
• журнал deployment;
• заборона ручних змін у production без заявки;
• автоматичні тести критичних процесів.

Показник	Значення	Стан
MFA для адміністраторів	Увімкнено	Норма
MFA для бухгалтерів	Частково	Потрібна дія
Останній backup	07.05.2026 03:00	Норма
Останній тест відновлення	35 днів тому	Потрібна дія
Критичні дії без погодження	3	Критично
Активні користувачі після звільнення	1	Критично
Старі API token	7	Потрібна дія
Підозрілі входи	2	Критично

Рівень	Опис	Стан
Червоний	Немає MFA, backup не перевіряється, права не переглядаються, API без контролю.	Небезпечно
Помаранчевий	Частина контролів є, але немає системного аудиту.	Високий ризик
Жовтий	Основні контролі є, але потрібне покращення моніторингу.	Контрольований ризик
Зелений	MFA, ролі, backup, аудит, SIEM, response plan працюють.	Добрий стан

K2 ERP може включати:

• централізовану рольову модель;
• журнал критичних дій;
• контроль зміни реквізитів;
• контроль зміни цін;
• погодження фінансових операцій;
• API token management;
• інтеграційний журнал;
• dashboard кіберризиків;
• контроль active sessions;
• контроль користувачів без MFA;
• контроль старих token;
• контроль backup;
• контроль підозрілих дій.

Контроль	Мінімальна вимога	Статус
MFA	Для адміністраторів, бухгалтерів, фінансів, керівників.	Must have
Ролі	Немає спільних логінів, немає надлишкових прав.	Must have
Backup	Щоденний backup + тест відновлення.	Must have
Audit log	Критичні дії логуються.	Must have
API security	Token scopes, rotation, IP whitelist.	Must have
Encryption	HTTPS, encryption at rest для критичних даних.	Must have
Patch management	Регулярні оновлення.	Must have
Incident plan	Визначені дії при інциденті.	Must have

• інвентаризація користувачів;
• інвентаризація ролей;
• інвентаризація інтеграцій;
• інвентаризація API token;
• перевірка backup;
• перевірка доступу до бази;
• перевірка журналів;
• перевірка серверів;
• перевірка критичних операцій.

• увімкнути MFA;
• вимкнути неактивних користувачів;
• прибрати спільні логіни;
• змінити старі паролі;
• обмежити admin-доступ;
• закрити зайві порти;
• перевірити backup;
• обмежити API token.

• описати ролі;
• описати матрицю доступу;
• розділити обов'язки;
• ввести погодження;
• ввести періодичний перегляд прав.

• включити логи;
• визначити критичні події;
• налаштувати alert;
• інтегрувати з SIEM, якщо є;
• зробити dashboard.

• визначити відповідальних;
• описати сценарії;
• підготувати контакти;
• підготувати план ізоляції;
• підготувати план відновлення;
• провести тренування.

При інциденті потрібно мати чіткий план.

1. Виявити інцидент.
2. Зафіксувати час і джерело.
3. Ізолювати скомпрометований акаунт або сервер.
4. Заблокувати підозрілі сесії.
5. Зупинити ризикові інтеграції.
6. Зберегти логи.
7. Оцінити вплив на дані.
8. Відновити з backup, якщо потрібно.
9. Змінити паролі та token.
10. Провести розслідування.
11. Підготувати звіт.
12. Впровадити запобіжні заходи.

№	Критерій	Очікуваний результат
AC-1	У користувачів немає спільних логінів.	Кожна дія має відповідального користувача.
AC-2	MFA увімкнено для критичних ролей.	Вхід без MFA неможливий.
AC-3	Звільнений користувач блокується.	Доступ припиняється у день звільнення.

№	Критерій	Очікуваний результат
AC-4	Backup створюється щоденно.	Є актуальна резервна копія.
AC-5	Backup тестується відновленням.	Є протокол тестового відновлення.
AC-6	Backup недоступний для ransomware з основної мережі.	Є immutable або ізольоване зберігання.

№	Критерій	Очікуваний результат
AC-7	Зміна реквізитів логуються.	Видно хто, коли і що змінив.
AC-8	Зміна прав логуються.	Видно старі та нові права.
AC-9	Масовий експорт даних фіксується.	Створюється alert.

№	Критерій	Очікуваний результат
AC-10	Кожна інтеграція має окремий token.	Token можна відкликати без зупинки інших інтеграцій.
AC-11	API token має обмежені права.	Інтеграція не має зайвого доступу.
AC-12	Webhook має підпис або секрет.	Система відхиляє підроблені webhook.

№	Критерій	Очікуваний результат
AC-13	Керівник відкриває dashboard безпеки.	Він бачить MFA, backup, підозрілі входи, старі token, критичні дії.
AC-14	Є критична подія.	Вона підсвічується червоним.
AC-15	Є контрольована проблема.	Вона підсвічується помаранчевим або жовтим.

Кібербезпека ERP — це не технічна опція, а умова виживання бізнесу.

Головне рішення для керівника: не чекати кібератаки. ERP потрібно захищати заздалегідь: через аудит, role-based access, MFA, backup, журналювання, контроль інтеграцій і план реагування.

• NIST Cybersecurity Framework 2.0.
• NIST Cybersecurity Framework.
• ISO/IEC 27001:2022.
• CISA Cybersecurity Best Practices.
• CISA Level Up Your Defenses.
• Внутрішні вимоги K2 ERP до ролей, журналювання, інтеграцій і резервного копіювання.

• K2 ERP
• Кібербезпека
• ERP
• MFA
• Рольова модель
• Журнал аудиту
• Резервне копіювання
• SIEM
• API Security
• Incident Response
• ISO 27001
• NIST CSF
• Захист персональних даних
• Кіберризики бізнесу