Первый SAP вирус - модели использования информации о наличии SAP

    Несмотря на желтизну заголовка ("Россияне создали троян для SAP" и "Россияне нашли троян для SAP" все же сильно разные вещи) и критику ЛК (мол, троян не для SAP, т.к. ничего с SAP не делает), новость про новую угрозу для SAP на самом деле интересная.

    Информация о наличии SAP может быть использована киберпреступностью, например, следующим образом:

• Вычленяя пароли на доступ в SAP из массивов собранной ботнетами информации (массово продаются на соответствующих торговых площадках) возможно продавать эти пароли для дальнейшего использования (существует много таких предложений в отношении других приложений);
• Доступ в открытые из Интернет системы SAP SCM позволит узнать коммерческие цены и скорректировать свою ценовую политику, возможно, выиграть тендер;
• Доступ в открытие из Интернет системы SAP HR позволит узнать о самых квалифицированных сотрудниках, переманивать их, узнать о зарплатах топ-менеджеров.

    Информация о наличии SAP может быть использована и для целевых атак на экономику в целом\конкретные индустрии киберкомандами агрессивных государств:

• Внося несанкционированные изменения в SAP PM  возможно (в зависимости от степени автоматизации) вызвать аварии\снижения эксплуатационной готовности перерабатывающих производств, что приведет к удорожанию бензина (например), штрафам Ростехнадзора, и, возможно, к срыву государственной программы модернизации НПЗ  - снижению конкурентоспособности нефтеперерабатывающей отрасли в среднесрочной перспективе;
• Внося несанкционированные изменения в SAP SCM возможно снизить эффективность закупок - повысить операционные затраты и снизить прибыльность компаний-целей;
• Внося несанкционированные изменения в SAP FI возможно поставить под сомнение достоверность финансовой отчетности компании - отвлечь внимание менеджмента на проблемы с аудиторами, повлиять на рассчетные сроки возврата инвестиций по инвестпроектам;
• Используя административные привилегии в SAP Basis возможно удалять корпоративную информацию, совершать диверсии, приостанавливать бизнес-процессы (снижать выручку\прибыльность) и заставлять компании тратить ресурсы на восстановление нормального режима работы;
• Изменяя нормативно-справочные данные - информацию о банковских счетах в SAP MDM возможно выводить деньги из компаний, накапливать скрытую дебиторскую задолженность.

    Все это вышеописанные кейсы возможны на основе стандартной технологической архитектуры ботнета -  ведь ботнет, это не статичный код, а живая система, состоящая как минимум из "загрузчика" ("плацдарма" в системе) и полезной нагрузки, которая может подгружаться и меняться.

    Скорее всего киберпреступность, нечистоплотных конкурентов и других "актеров" сдерживает недостаток соответствующей компетенции - соединения знаний технологий и индустриальной экспертизы, но время идет - ИТ и ИБ в компаниях ключевых секторов экономики растет и сокращается, и на рынке оказываются самые разные профессионалы...