Hlavní strana -> Časopis IT Systems -> Rok 2025 -> ERP systémy II -> Bezpečnost ERP systémů
ERP systémy II , ERP systémy , Cloud a virtualizace IT , IT Security

Bezpečnost ERP systémů

Klíčový faktor podnikové odolnosti v digitálním věku

Martin Dudek

ERP systémy jsou základ moderních podniků, jelikož konsolidují prakticky všechny klíčové firemní procesy od výroby přes finance až po zákaznický servis. Tato centralizace však zároveň znamená, že ERP systémy představují častý cíl pro kybernetické útoky, jejichž důsledky mohou být katastrofální nejen z hlediska bezpečnosti dat, ale také plynulosti provozu.


Podle výzkumu společnosti Onapsis více než 80% organizací zaznamenalo ransomware útok zaměřený na ERP systémy, přičemž téměř polovina těchto organizací to zažila opakovaně v rámci jednoho roku. Takové napadení může způsobit odstávku systému trvající desítky hodin i několik dnů nebo ztrátu citlivých dat, což ovlivní veškeré podnikové operace a může znamenat i úpadek společnosti. 
Norská společnost Norsk Hydro utrpěla v roce 2019 rozsáhlé škody kvůli útoku, který ochromil její ERP a výrobní operace. Podnik vyčíslil celkové ztráty na více než 50 milionů dolarů. Pro globálního přepravce Maersk to i přes rychlou reakci firmy znamenalo ztráty ve výši 300 milionů dolarů.

Dvojí role AI

Bezpečnost systémů dnes zásadně ovlivňuje i umělá inteligence. AI umožňuje rychlejší detekci hrozeb, proaktivní prevenci incidentů a významné zvýšení efektivity správy dat. Zároveň ale zvyšuje potenciál kybernetických hrozeb, čímž klade nové požadavky na řízení, audit i monitorování přístupů a ochrany. 
Kybernetičtí útočníci využívají AI k vytváření personalizovaných phishingových kampaní, automatickému vyhledávání zranitelností či maskování své aktivity. Generativní AI dokáže rychle analyzovat a napodobit běžné chování uživatelů, což ztěžuje detekci narušení bezpečnosti.
Proto i největší a nejlépe zabezpečené podniky musí brát ERP bezpečnost nesmírně vážně a aktivně ji řešit.
K nejčastějším bezpečnostním hrozbám patří:
  • Ransomware, který zašifruje důležitá data a požaduje výkupné za jejich odblokování.
  • Phishingové útoky cílící na uživatele ERP vedoucí ke ztrátě citlivých informací.
  • Zneužití slabých oprávnění nebo chybějící vícefaktorové autentizace.
  • Útoky na dodavatelský řetězec, které kompromitují ERP skrze zranitelnosti třetích stran.
  • Rozšíření hrozeb s rozvojem internetu věcí (IoT) a vzdálené práce.
  • Shadow AI a ztráta kontroly nad daty v systému zejména ve spojení s AI agenty.

Podceňované a přehlížené aktualizace

Bezpečnost ERP systémů je oblastí, ve které se rozdíly mezi on-premise a cloudovým řešením často podceňují. Mohlo by se zdát, že principy ochrany dat a infrastruktury jsou univerzální, avšak opak je pravdou – každý model provozu vyžaduje jiný přístup k řízení rizik a firemnímu zabezpečení. 
Ačkoliv to na první pohled může působit nelogicky, s narůstajícím počtem hrozeb a jejich komplexností může právě provoz v cloudu nabídnout lepší ochranu i vyšší odolnost. Organizace provozující ERP systémy ve své vlastní infrastruktuře totiž čelí celé řadě technických i procesních rizik.
Mezi hlavní hrozby, které stojí i za úspěšnými kybernetickými útoky v letošním roce, patří zastaralý software a opomenuté aktualizace. On-premise řešení vyžadují aktivní správu pravidelných updatů, ale kvůli personálním či rozpočtovým omezením je organizace podceňují a přehlíží. 
Řada společností dnes stále používá starší verze ERP systémů, které ani neumožňují nejnovější bezpečnostní aktualizace. Staré verze aplikací a opomenuté security patche otevírají dveře známým i zcela novým typům útoků. U cloudu jste standardně donuceni používat nejnovější verze systémů.

Nejsou kapacity

S tím souvisí i nedostatečné kapacity expertů na IT bezpečnost. Správa on-premise ERP systémů vyžaduje velmi detailní expertízu nejen v oblasti databázové infrastruktury, ale také kybernetické bezpečnosti. Takových odborníků na trhu není mnoho, což vede k poddimenzovaným týmům a zvýšenému riziku lidské chyby. Zároveň to vyžaduje nepřetržitou ochranu, což si většina společností nemůže dovolit. 
Systémy v cloudu mají oproti tomu sdílená bezpečnostní centra, která sdružují celé týmy expertů, kteří dohlíží na bezpečnost celkového provozu.
Na rozdíl od cloudu nese interní provoz i převzetí odpovědnosti za fyzickou bezpečnost dat – zálohy, ochranu proti požáru, krádeži nebo živelným událostem. Zároveň mnohem snadněji dochází k ransomware útokům, jelikož se standardně dostanete do operačního systému a úložiště. U hlavních poskytovatelů cloudových řešení je mnohem složitější se do operačního systému dostat a data zašifrovat.
 

Nejčastější rizika a možná řešení

Moderní cloudová ERP řešení umožňují využít efektivní a škálovatelné bezpečnostní mechanismy, které jdou nad rámec možností běžného on-premise prostředí:
  • Cloudoví poskytovatelé garantují pravidelný patch management, který výrazně snižuje riziko využití známých zranitelností. Aktualizace probíhají automaticky i mimo provozní hodiny a s minimálním dopadem na uživatele.
  • Neustálé sledování bezpečnostních anomálií a hrozeb je díky cloudové infrastruktuře standardem. Systémy využívají AI a strojové učení pro predikci útoků i rychlou reakci na incidenty a zkracují reakční dobu na minimum.
  • Cloudové platformy implementují detailní pravidla pro řízení přístupu včetně rozšířeného vícefaktorového ověření (MFA) i biometrických metod. Uživatelé se dostanou pouze k informacím, které jsou relevantní pro jejich roli.
  • Cloudová datacentra jsou chráněna proti živelným událostem, krádeži i selhání hardwaru na několika úrovních. Pravidelné zálohování a geografická distribuce dat minimalizuje riziko trvalé ztráty.
 
Nehledě na provoz patří mezi nejčastější rizika:
  • MFA: Podle posledních průzkumů téměř polovina firem stále neimplementovala dvoufaktorovou autentizaci na všech kritických místech ERP systémů. Absence silného ověřování přístupu zásadně zvyšuje riziko kompromitace účtu.
  • Ruční správa oprávnění: Bez pokročilé automatizace je pravděpodobnost chyb při nastavování přístupových práv vysoká, což zvyšuje riziko vnitřních incidentů. Příkladem je typicky neodstranění účtů bývalých zaměstnanců, špatné nastavení rolí či nedostatečné omezení citlivých dat. Ruční procesy se navíc obtížně auditují a zpětně rekonstruují. Chybně nastavená práva umožňují nejen neautorizovaný export, ale i vkládání citlivých údajů do tabulek či jejich přesuny mimo interní systémy. Tyto operace lze bez automatizace a monitoringu u většiny poskytovatelů jen těžko kontrolovat zpětně.
  • Shadow AI a ztráta kontroly: Masivní nasazení neoficiálních, špatně řízených („shadow“) AI nástrojů znamená ohrožení integrity a důvěryhodnosti systémů. V těchto případech vznikají situace, kdy AI modely nejsou schválené bezpečnostními odděleními, ale přesto mají přístup k firemním datům nebo ovlivňují chod klíčových procesů. Firmy tak čelí riziku úniku dat a neschválených změn v systému. 
  • Rizika autonomních agentních AI: Nová generace agentních AI systémů, které plánují a vykonávají akce samostatně, může způsobit neplánované změny nebo vytvořit škodlivé procesy. Podle výzkumné společnosti Forrester až 75 % firem selhává při vytváření těchto architektur kvůli nedostatečnému zajištění, což vede ke ztrátám nebo incidentům.
 
Ať už mluvíme o cloudu či on-premise, obě architektury mají v oblasti bezpečnosti své specifické výzvy. Přesto dnes cloudová řešení s velkým náskokem nabízí moderní nástroje a vyšší ochranu nejen pro středně velké firmy, ale i pro náročné enterprise prostředí. Dokáže také lépe reagovat na aktuální potřeby, které vyvolává překotný vývoj AI.

Osvědčené postupy a procesy

Zavedení bezpečnosti ERP systémů vyžaduje komplexní a systematický přístup, který zahrnuje nejen technická opatření, ale i průběžné budování správné firemní kultury a vzdělávání zaměstnanců. Moderní obrana ERP je kromě softwarových záplat také o dynamickém řízení rizik, strategické správě identit a neustálém posilování bezpečnostního povědomí v organizaci.
Automatizované procesy patch managementu patří mezi nejdůležitější obranné prvky – zejména u on-premise ERP, kde za včasnost aktualizací nese odpovědnost interní IT tým. Moderní strategie povolují nasazení prioritizovaných záplat podle jejich dopadu na bezpečnost infrastruktury. Efektivní nasazení aktualizací lze podpořit centralizovaným systémem, ve kterém firmy sledují zranitelnosti a testují kompatibilitu s provozními procesy.
 

Zero Trust a nutnost pravidel pro AI

Koncept Zero Trust je stále častěji základem obranné politiky ERP. Žádný uživatel, zařízení ani služba nemá implicitně důvěryhodný přístup – každý požadavek je ověřován podle aktuálního kontextu, role, lokalizace a rizikového skóre. Zero Trust zahrnuje vrstvenou autentizaci, mikrosegmentaci síťového provozu, neustálé sledování a revizi oprávnění, čímž zamezuje laterálním pohybům útočníků v systému.
S růstem generativní AI a různých agentů je potřeba přizpůsobit i bezpečnostní metodiky novým trendům. V tom spočívá i výhoda špičkových dodavatelů podnikových systémů, protože nasazují AI v rámci bezpečnostního perimetru se všemi požadavky AI Actu a bezpečnostními standardy, které dnes jsou potřeba pro provoz ERP systému. 
V posledních měsících narůstají pokusy o aktivaci AI v systémech různých společností, což může vyvolat nenahraditelné škody v dlouhodobém horizontu. Je potřeba, aby AI pracující s ERP systémy splňovala úplně stejné požadavky na zabezpečení a standardy jako samotný systém.

Princip „nejmenšího nutného práva“

Další složkou zabezpečení ERP systémů je vícefaktorová autentizace, která slouží jako zejména jako ochrana před phishingem, tedy zneužitím přihlašovacích údajů a útoky na privilegované účty. Moderní ERP systémy by měly vyžadovat MFA nejen od administrátorů, ale i běžných uživatelů ideálně v kombinaci s biometrií nebo jednorázovými hesly.
Detailní správa oprávnění je klíčová – každý uživatel smí mít pouze ta práva, která skutečně potřebuje. Podniky musí data kategorizovat podle citlivosti a každý export či přesun přísně sledovat a zaznamenávat. Pravidelné revize oprávnění a deaktivace neaktivních účtů pak minimalizují vnitřní rizika i možnost datových úniků.
Samotné systémy je také potřeba neustále zlepšovat a hledat slabá místa. Systematické audity prověřují nastavení systému, upozorňují na neaktuální software, slabá hesla nebo nestandardní chování uživatelů. 
Ruku v ruce s audity jdou i tzv. penetrační testy. Ty simulují reálné útoky, pomáhají identifikovat zranitelnosti ještě před jejich zneužitím a měří účinnost zavedených opatření. Doporučená praxe je realizovat audity a testy ročně a pouze s přímou účastí externích bezpečnostních specialistů, nejen interně.
 

Systematické a praktické školení zaměstnanců

Experti na IT bezpečnost rádi zmiňují, že největším rizikem pro bezpečnost podnikových systémů jsou stále jejich uživatelé. Podniky by se tedy měly zaměřit na pravidelná školení a automatizaci.
Simulace phishingu, gamifikovaná školení a opakované testování znalostí představují jedny z nejúčinnějších nástrojů, jak předcházet lidským omylům. Pravidelné tréninky zvyšují povědomí o aktuálních hrozbách, motivují ke správné reakci na incidenty a posilují vnímání bezpečnosti jako nedílné součásti každodenní práce.
Moderní ERP zabezpečení staví na automatizovaných nástrojích pro detekci incidentů, rychlou reakci, zotavení a krizové plánování. Využívají pokročilou analýzu, SIEM systémy, umělou inteligenci a navrhují další postup, když se objeví bezpečnostní hrozba. Pro tyto případy by měla mít firma připravené i krizové komunikační plány, pravidelně je testovat a aktualizovat podle aktuálních trendů.

Základy pro dlouhodobou odolnost

Úroveň zabezpečení ERP systémů je klíčovým faktorem pro odolnost a kontinuitu podnikání v současném digitálním prostředí, kde na vás čeká celá řada sofistikovaných hrozeb. Přestože on-premise systémy stále hrají významnou roli, cloudové ERP řešení přináší zásadní výhody v automatizaci bezpečnostních prvků, rychlosti reakce a celkové správě rizik. 
Cloudová řešení také dokáží mnohem efektivněji těžit z vývoje AI, která se v oblasti bezpečnosti stala dvojsečnou zbraní. Na jedné straně modernizuje podnikové zabezpečení a automatizuje reakce, na druhé straně zásadně zvyšuje variabilitu a sofistikovanost útoků i požadavky na odpovědné řízení a transparentnost v podnikání.
Ověřené postupy od předních konzultačních a akademických institucí proto jasně ukazují na integraci moderních bezpečnostních principů včetně Zero Trust, vícefaktorové autentizace a propojení s firemní kybernetickou kulturou. Pouze tak lze zajistit dlouhodobou odolnost a ochranu kritických podnikových operací.
 
Martin Dudek
Autor článku je solution architect a AI expert společnosti SAP.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Informační systém Signys: Komplexní řešení pro efektivní řízení firmy

V dnešní době, kdy digitalizace a automatizace procesů rozhodují o konkurenceschopnosti, je kvalitní informační systém základem úspěchu každé firmy. Informační systém Signys představuje moderní, flexibilní a uživatelsky přívětivé řešení, které dokáže obsáhnout všechny klíčové firemní procesy – od ekonomiky a obchodu, přes skladové hospodářství a výrobu, až po logistiku, CRM a e-commerce.