Захист інформації в ERP і CRM: нова послуга від Softline IT

ERP і CRM залишаються основою управління фінансами, контрактами, персоналом і клієнтськими даними як у бізнесі, так і в державному секторі. Протягом тривалого часу ці системи розглядалися передусім як інструменти обліку та автоматизації, тоді як питання внутрішнього контролю в них відходили на другий план.

Спеціалісти Softline IT неодноразово фіксували зміну характеру інцидентів у 2025–2026 роках порівняно з попередніми періодами. Ризики все рідше були пов’язані з зовнішніми атаками і дедалі частіше — з діями легітимних користувачів, надмірними повноваженнями та відсутністю прозорої фіксації операцій у ключових системах.

ERP і CRM як концентрація різнорідних ризиків

Сучасні ERP і CRM об’єднують у межах однієї платформи фінансові дані, персональну інформацію, комерційні умови та управлінську аналітику. Доступ до цих систем мають співробітники з різними ролями, рівнем підготовки і мотивацією.

У такій конфігурації будь-яка помилка або зловживання всередині системи має значно більші наслідки, ніж у розрізнених інформаційних середовищах. При цьому багато організацій продовжують сприймати ERP і CRM як «внутрішню зону довіри».

Надмірні доступи як системна проблема

У більшості організацій модель ролей у ERP або CRM формується на етапі впровадження і рідко переглядається надалі. Зміни у структурі компанії, ротація персоналу та поява нових функцій призводять до накопичення прав доступу, які більше не відповідають реальним обов’язкам користувачів.

Практика показує, що саме надмірні повноваження створюють передумови для інцидентів, які складно виявити і ще складніше довести після факту.

Журнали подій: наявність не дорівнює контроль

Функції журналювання присутні майже в усіх сучасних ERP і CRM. Проте в багатьох випадках журнали або зберігаються обмежений час, або не містять достатнього контексту для аналізу подій.

Під час розслідування інцидентів це призводить до ситуації, коли неможливо відновити послідовність дій, визначити відповідальних осіб або відрізнити помилку від навмисного втручання.

Спільні акаунти і розмита відповідальність

Спільні облікові записи часто з’являються як тимчасове рішення для прискорення роботи або доступу підрядників. З часом такі акаунти стають постійними, а межі відповідальності стираються.

У 2025–2026 роках Softline IT неодноразово стикалася з кейсами, де саме спільні акаунти унеможливлювали коректну юридичну і технічну оцінку подій у системі.

Контроль дій замість формального контролю доступу

Навіть за формально правильної моделі ролей ризики залишаються, якщо компанія не контролює критичні операції: зміну фінансових реквізитів, коригування даних, масові операції, експорт інформації.

Фокус на діях, а не лише на доступах, дозволяє зменшити ризики без надмірного обмеження користувачів і без блокування операційної діяльності.

Внутрішні інциденти без зовнішнього втручання

Значна частина інцидентів у ERP і CRM відбувається без участі зовнішніх зловмисників. Причинами стають помилки, внутрішні конфлікти, звільнення співробітників або спроби обійти процедури для «спрощення» роботи.

У таких сценаріях класичні засоби кіберзахисту не дають очікуваного ефекту без вибудуваного внутрішнього контролю.

Вплив воєнних умов на ризики ERP і CRM

Війна додала нові фактори ризику: віддалену роботу, релокацію команд, прискорені впровадження і скорочення часу на формалізацію процесів. ERP і CRM часто стають єдиним джерелом істини для ухвалення рішень.

У таких умовах відсутність прозорого контролю дій у системах підвищує вартість будь-якої помилки або зловживання.

Аналітичний висновок. У 2026 році ERP і CRM варто розглядати не лише як інструменти автоматизації, а як критичні точки управлінського і безпекового ризику. Контроль ролей, дій і журналів формує реальну керованість, без якої жодні технологічні заходи не забезпечують стійкості.

Що пропонує Softline IT в рамках послуги

• Аудит ролей, доступів і повноважень у ERP та CRM
• Налаштування журналювання та контролю критичних дій
• Усунення спільних облікових записів і впровадження персональної відповідальності
• Проєктування моделей внутрішнього контролю для ключових систем
• Інтеграцію вимог безпеки у щоденні бізнес-процеси