Close Menu
    Stiri

    România: Îmbunătățiri de securitate în ERP: MFA, jurnalizare extinsă și segregarea rolurilor

    România: Îmbunătățiri de securitate în ERP: MFA, jurnalizare extinsă și segregarea rolurilor

    România accelerează întărirea securității în ERP: MFA, jurnalizare extinsă și segregarea rolurilor intră în „must-have”

    În ultimele trei luni, presiunea combinată dintre reglementările europene (NIS2 și DORA), digitizarea fiscală (RO e-Factura, SAF-T) și creșterea fraudelor de tip business email compromise a adus securitatea platformelor ERP în prim-planul agendei executive în România. Pentru directori generali, financiari și operaționali, mesajul este convergent dinspre autorități, furnizori de tehnologie și auditorii externi: întărirea autentificării multi-factor (MFA), activarea și corelarea jurnalizării (logging) și separarea strictă a rolurilor (SoD – segregation of duties) nu mai sunt opționale.

    Reglementări care împing schimbarea: NIS2, DORA și digitalizarea fiscală

    Directiva NIS2 (UE 2022/2555), cu termen de transpunere în legislațiile naționale în octombrie 2024, impune seturi minime de măsuri tehnico-organizaționale pentru entitățile esențiale și importante, printre care autentificarea multi-factor și logarea evenimentelor relevante de securitate. În România, autoritatea competentă este Directoratul Național de Securitate Cibernetică (DNSC). Pentru sectorul financiar, Regulamentul DORA (UE 2022/2554), aplicabil în toată Uniunea din 17 ianuarie 2025, cere guvernanță ICT solidă, gestionarea accesului pe bază de rol, jurnalizare adecvată și testare continuă a rezilienței operaționale.

    Pe latura fiscală, obligațiile digitale – precum raportarea SAF-T (Fișierul Standard de Audit Fiscal) și interoperabilitatea cu sistemul RO e-Factura al ANAF – au crescut traficul de date sensibile prin ERP și middleware. Integrarea prin EDI (Electronic Data Interchange) sau API către ANAF și către parteneri comerciali determină companiile să-și regândească controlul accesului, custodia certificatelor digitale și trasabilitatea operațiunilor.

    MFA: standardul de facto pentru acces la ERP și integrarea cu identitățile enterprise

    Furnizorii ERP consacrați și partenerii lor de identitate promovează de facto MFA drept linie de apărare obligatorie:

    • SAP S/4HANA, prin SAP Identity Authentication Service (IAS) și integrare SAML/OIDC cu Microsoft Entra ID (Azure AD), acceptă metode MFA și autentificare rezistentă la phishing (FIDO2).

    • Microsoft Dynamics 365 folosește nativ Microsoft Entra ID, cu politici de acces condițional, „number matching” în Authenticator și chei FIDO2.

    • Oracle Fusion Cloud ERP se bazează pe Oracle Identity Cloud Service pentru MFA și guvernanța identităților.

    În paralel, companiile românești care rămân pe ECC sau sisteme on-prem mai vechi includ acum proxy-uri de identitate și gateway-uri VPN cu MFA, sau trec la soluții de acces zero-trust (ZTNA). Un aspect critic pentru CFO și CIO: MFA trebuie aplicată nu doar utilizatorilor umani, ci și conturilor privilegiate (Basis, DBA, administratori de integrare), accesului remote al integratorilor și consolărilor EDI/API.

    Jurnalizare extinsă: dincolo de „cine s-a logat”

    Un control matur presupune loguri detaliate, corelate și păstrate în mod imuabil. În ecosistemele actuale, opțiunile sunt vaste:

    • SAP Read Access Logging (RAL) și Security Audit Log pentru acces la câmpuri sensibile (de ex., IBAN, CNP), plus SAP Enterprise Threat Detection pentru corelare.

    • Microsoft Purview Audit (pentru Dynamics 365/Power Platform) și integrarea cu SIEM (Microsoft Sentinel, Splunk, QRadar).

    • Oracle Cloud Logging și integrarea cu OCI Logging Analytics/SIEM corporate.

    Pe ruta fiscală, interfețele către RO e-Factura și SAF-T cer loguri de integrare la nivel de mesaje (payload, timestamp, id-uri de corelație) și guvernanță pentru certificatele calificate folosite la semnare. Furnizori prezenți în România precum SEEBURGER (platforma BIS), OpenText (Trading Grid) ori integratori locali ai SAP PI/PO și SAP Integration Suite au accelerat proiecte de „observability” pentru fluxurile EDI și API.

    Segregarea rolurilor: SoD devine cap de listă în audit

    Riscul de fraudă tranzacțională – în special în Procure-to-Pay și Order-to-Cash – rămâne ridicat atunci când aceleași persoane pot crea furnizori, modifica condiții de plată și autoriza plăți. Practicile recomandate includ:

    • Catalog de roluri standardizat și politici SoD cu excepții documentate.

    • Instrumente de analiză și control precum SAP GRC Access Control, One Identity, SailPoint ori FastPath pentru Dynamics 365.

    • Recertificări periodice ale accesului, workflow-uri de aprobare și principiul „celor patru ochi”.

    În contextul DORA, separarea responsabilităților și jurnalele adecvate pentru activități privilegiate sunt cerințe explicite, iar auditorii externi le verifică deja în misiunile de final de an financiar.

    EDI și non-EDI: securitatea lanțului de aprovizionare în retail, FMCG și auto

    Marile rețele de retail prezente în România – Carrefour, Auchan, Kaufland, Mega Image – operează volume considerabile prin EDI (comenzi, avize, facturi) către mii de furnizori. La nivel industrial și auto, grupuri precum Dacia/Renault sau Ford Otosan folosesc standarde EDIFACT/Odette pe lanțul logistic. Faptul că aceste fluxuri sunt gestionate din ERP sau din hub-uri B2B conectate la ERP înseamnă că:

    • Accesul la consolele EDI/B2B și la depozitele de certificate trebuie să aibă MFA și audit complet.

    • Cheile, certificatele și token-urile API se rotesc periodic; se aplică mTLS și se limitează IP-urile sursă.

    • Mapping-urile EDI și regulile de transformare sunt versionate și supuse controlului de schimbare, cu „four-eyes review”.

    Pentru companiile care nu folosesc EDI, integrarea prin API către marketplace-uri (de ex., eMAG) sau către ANAF implică aceleași rigori: managementul secretelor, rate limiting, alerte în timp real la deviații.

    Semnale din piață în ultimele luni

    Pe măsură ce 2026 a debutat, ecosistemul global de ERP a marcat câteva repere relevante pentru operatorii din România:

    • Buletinele lunare „Security Patch Day” ale SAP au continuat să includă remedieri critice, subliniind necesitatea patch management-ului disciplinat pe peisaje S/4HANA, ECC și componentele NetWeaver.

    • Microsoft și Oracle au recomandat persistența MFA „phishing-resistant” (FIDO2) și politici de acces condițional granular pentru utilizatorii ERP/CRM în cloud.

    • DNSC a reiterat, prin alerte publice, riscul campaniilor de phishing/BEC orientate pe facturi și schimbări frauduloase de cont bancar – un vector care lovește direct procesele din ERP.

    Pe zona de securitate, companii cu amprentă semnificativă în România, precum Bitdefender, au evidențiat la nivel global tendințe continue de atac asupra lanțului de aprovizionare și a conturilor privilegiate – context care face ca MFA, logging și SoD să fie primele trei priorități în ERP pentru 2026.

    Plan de 90 de zile pentru directori generali, financiari și operaționali

    • MFA peste tot: activați MFA pentru toți utilizatorii ERP, conturile tehnice/administrative, accesul la integrare (EDI/API), VPN/remote și console cloud. Introduceți FIDO2 pentru rolurile sensibile.

    • „Lift” de jurnalizare: porniți Security Audit Log/RAL (SAP) sau echivalentele în Dynamics/Oracle; trimiteți evenimentele în SIEM; definiți semnături de detecție pentru acțiuni riscante (creare furnizor, schimbare IBAN, modificare condiții de plată).

    • SoD fără excepții tacite: adoptați un catalog de roluri curat, rulați o analiză SoD cu un instrument dedicat, eliminați conflictele majore și documentați excepțiile cu controale compensatorii.

    • Guvernanță EDI/API: inventariați toate conexiunile; implementați rotația cheilor/certificatelor; activați alerte la erori repetate, schimbări de endpoint, spike-uri de volum sau mesaje respinse de ANAF/parteneri.

    • Patch/Hardening: aplicați patch-urile de securitate la zi pentru ERP, middleware (PI/PO, Integration Suite, SEEBURGER/OpenText), baze de date și OS; dezactivați protocoalele vechi (TLS 1.0/1.1), impuneți parole lungi/manager de secrete.

    • Exercițiu de răspuns la incidente: rulați un tabletop pe scenarii de fraudă în plăți și compromitere de cont; validați procesele de „stop-payments”, contactele bancare și logistica de forensică.

    Concluzie

    În România, combinația dintre NIS2, DORA și digitalizarea accelerată prin e-Factura/SAF-T a mutat securitatea ERP din zona „nice-to-have” în zona „de conformitate și supraviețuire operațională”. Investițiile imediate în MFA, jurnalizare extinsă și segregarea rolurilor adresează exact vectorii de risc exploatați în fraudă și intruziuni. Pentru CEO, CFO, directori de achiziții și logistică, 2026 este anul în care ERP-ul devine nu doar nucleul proceselor de business, ci și un activ de securitate bine guvernat – cu vizibilitate, control și reziliență măsurabile.

    Citește și:  Companiile din București și Cluj își extind centrele de back-office: cerere crescută pentru specialiști EDI, RPA și e-invoicing
    Share.

    Articole similare