Bezpieczny Wtorek ze SNOK, Cybersecurity, SAP, SAP Security

Bezpieczny Wtorek ze SNOK: SAP jako newralgiczny wektor ataku w 2026 roku – od krytycznych łatek do dojrzałego bezpieczeństwa

27 stycznia, 20265 lutego, 2026
Bezpieczny Wtorek ze SNOK: SAP jako newralgiczny wektor ataku w 2026 roku – od krytycznych łatek do dojrzałego bezpieczeństwa

Rok 2025 przejdzie do historii jako moment przełomu w postrzeganiu bezpieczeństwa systemów SAP . Podatność dnia zerowego w komponencie NetWeaver Visual Composer (CVE-2025-31324), globalna kampania ataków prowadzona przez grupy powiązane z Chinami i Rosją oraz setki skompromitowanych organizacji na całym świecie brutalnie uświadomiły zarządom i dyrektorom ds. bezpieczeństwa, że SAP przestał być „niewidzialnym zapleczem firmy” – stał się celem numer jeden dla zaawansowanych grup przestępczych i aktorów państwowych. W 2026 roku nie możemy już mówić o bezpieczeństwie informatycznym przedsiębiorstwa bez uwzględnienia warstwy aplikacji biznesowych.

Dlaczego SAP znalazł się na celowniku cyberprzestępców?

Odpowiedź kryje się w jednej liczbie: 77% światowego obrotu transakcyjnego przepływa przez systemy SAP. Mówimy tu o ponad 400 000 organizacji na całym świecie i rocznych transakcjach B2B przekraczających 6 bilionów dolarów w ramach samej sieci SAP Business Network. To nie tylko finanse i księgowość, ale również logistyka, produkcja, zarządzanie łańcuchem dostaw, kadry i płace oraz dane osobowe milionów pracowników i klientów.

Dla atakujących włamanie do SAP oznacza dostęp do kompletnego obrazu przedsiębiorstwa – możliwość kradzieży wrażliwych danych, manipulacji procesami finansowymi, paraliżu produkcji lub wymuszenia okupu. W przeciwieństwie do ataku na pojedynczą stację roboczą, kompromitacja systemu SAP daje przestępcom natychmiastowy dostęp do informacji o strategicznej wartości biznesowej.

Badania SAPinsider przeprowadzone między marcem a majem 2025 roku pokazują, że aż 23% organizacji doświadczyło w minionym roku incydentu cyberbezpieczeństwa, który wpłynął bezpośrednio na ich środowisko SAP. Po raz pierwszy od trzech lat prowadzenia badań eksfiltracja danych zajęła pierwsze miejsce wśród największych zagrożeń, wyprzedzając oprogramowanie wymuszające okup. Na trzecie miejsce awansowały połączenia z innymi systemami i aplikacjami – rosnący niepokój związany z punktami integracji w środowiskach hybrydowych i wielochmurowych.

„System SAP to cyfrowy kręgosłup nowoczesnego przedsiębiorstwa. Jego naruszenie nie oznacza problemów działu IT – to paraliż całej organizacji i potencjalne straty liczone w milionach złotych dziennie. Dlatego bezpieczeństwo SAP powinno być tematem rozmów na poziomie zarządu, nie tylko działu technicznego” – podkreśla Jacek Bugajski , CEO SNOK .

Okno reakcji skurczyło się do godzin

Jednym z najbardziej niepokojących trendów 2025 roku była dramatycznie rosnąca prędkość, z jaką atakujący wykorzystują nowo odkryte podatności. Badacze Onapsis Research Labs zaobserwowali, że od momentu publikacji podatności do pojawienia się pierwszych skanowań poszukujących podatnych systemów mija zaledwie 24 godziny. W ciągu 72 godzin dostępny jest już funkcjonalny exploit. W przypadku wspomnianego zero-day w NetWeaver Visual Composer aktywne ataki wykryto niemal natychmiast po ujawnieniu luki.

W sierpniu 2025 roku sytuacja dodatkowo się pogorszyła, gdy grupa przestępcza ShinyHunters opublikowała gotowe narzędzie pozwalające w prosty sposób skompromitować podatne systemy SAP. Od tego momentu bariera wejścia dla potencjalnych atakujących praktycznie zniknęła – nie trzeba już być wyrafinowanym hakerem, żeby przeprowadzić skuteczny atak.

Łatki, które decydują o przetrwaniu

Styczeń 2026 przyniósł kolejny intensywny miesiąc poprawek. SAP opublikował notki bezpieczeństwa klasy HotNews dotyczące między innymi krytycznych podatności wstrzyknięcia kodu SQL w module General Ledger systemu S/4HANA oraz zdalnego wykonania kodu w Wily Introscope Enterprise Manager. Grudzień 2025 zamknął się czternastoma nowymi notkami, w tym trzema o krytycznym znaczeniu dotyczącymi Solution Manager, Commerce Cloud oraz jConnect SDK.

Statystyki całego 2025 roku są alarmujące: liczba publikowanych notek bezpieczeństwa wzrosła o 39% w porównaniu do roku poprzedniego, przekraczając 200 pozycji. Udział tych o najwyższej krytyczności (HotNews) zwiększył się o ponad połowę. W pierwszej połowie roku SAP wydał 27 notek o wysokim priorytecie ze średnią oceną CVSS wynoszącą 8,2 oraz 14 notek HotNews ze średnią oceną przekraczającą 9,8.

Dla organizacji działających w środowiskach hybrydowych – łączących instalacje lokalne, chmurę prywatną RISE with SAP, platformę BTP i rozwiązania chmurowe takie jak Commerce Cloud – wyzwaniem jest już nie samo wdrożenie poprawek, lecz utrzymanie pełnej widoczności całego krajobrazu SAP. Tradycyjne okna serwisowe planowane z miesięcznym wyprzedzeniem przestają wystarczać, gdy atakujący wykorzystują lukę następnego dnia po jej ujawnieniu. Konieczne staje się traktowanie notek HotNews jak podatności dnia zerowego – z natychmiastową reakcją.

„Wielu naszych klientów działających w środowiskach hybrydowych boryka się z problemem fragmentarycznej widoczności. Mają systemy lokalne, instancje w chmurze, integracje z partnerami – a każdy z tych elementów może zawierać niezałataną podatność. Naszą rolą jest pomóc im zbudować spójny obraz bezpieczeństwa całego krajobrazu SAP” – wyjaśnia Jaroslaw Kamil Zdanowski, Partner SNOK.

Wymiar biznesowy udanego ataku

Przypadek globalnego producenta z jesieni 2025 roku pokazał, jak dramatyczne mogą być konsekwencje udanego włamania do środowiska SAP. Sześciotygodniowy przestój produkcji, pracownicy odsyłani do domów, zakłócenia w łańcuchu dostaw odczuwalne przez setki partnerów i dostawców – szacunkowe straty operacyjne sięgnęły miliarda funtów. Agencje rządowe włączyły się w dochodzenie, a skutki incydentu były odczuwalne w całej gospodarce.

To nie jest przypadek odosobniony. Raport IBM z 2025 roku wskazuje, że średni globalny koszt naruszenia bezpieczeństwa wynosi 4,44 miliona dolarów. W przypadku systemów ERP, gdzie nawet krótki przestój oznacza zatrzymanie krytycznych procesów biznesowych, kwoty te rosną znacznie szybciej. Jedna z firm z branży napojów, która ogłosiła upadłość w grudniu 2024 roku, wprost wskazała dwumiesięczny cyberatak na systemy SAP jako jeden z głównych czynników prowadzących do bankructwa.

Wymiar regulacyjny dodatkowo komplikuje sytuację. Dyrektywa NIS2 w Unii Europejskiej oraz nowe wymogi raportowania SEC w Stanach Zjednoczonych nakładają na organizacje obowiązek ścisłej kontroli systemów krytycznych i szybkiego zgłaszania incydentów. Incydent bezpieczeństwa SAP staje się więc nie tylko problemem operacyjnym i finansowym, ale również prawnym i reputacyjnym. Audytorzy coraz częściej weryfikują zgodność z SAP Security Baseline i Secure Operations Map, a brak ciągłego monitorowania może skutkować wyższymi kosztami audytu i trudniejszymi rozmowami z regulatorami.

Od reakcji do prewencji – dojrzewanie modelu bezpieczeństwa

W SNOK obserwujemy wyraźną zmianę podejścia naszych klientów na przestrzeni ostatnich dwóch lat. Coraz częściej rozmowy zaczynają się od pytania: „jak zabezpieczyć się zawczasu?”, a nie „co zrobić po ataku?”. To fundamentalna zmiana paradygmatu – przejście od reaktywnego gaszenia pożarów do proaktywnego zarządzania ryzykiem.

Wspólnie z klientami budujemy dojrzały model bezpieczeństwa SAP obejmujący kilka kluczowych elementów. Po pierwsze, systematyczne zarządzanie poprawkami z priorytetyzacją opartą na rzeczywistym ryzyku i kontekście biznesowym, nie tylko na ocenie CVSS. Po drugie, ciągłe monitorowanie konfiguracji i wykrywanie anomalii w zachowaniu użytkowników. Po trzecie, integracja zdarzeń bezpieczeństwa SAP z korporacyjnymi centrami operacji bezpieczeństwa, aby zespoły SOC miały pełny obraz zagrożeń. Po czwarte, regularne audyty bezpieczeństwa i testy penetracyjne ukierunkowane na specyfikę środowiska SAP. Wreszcie – edukacja zarządów i włączenie bezpieczeństwa SAP do korporacyjnych ram zarządzania ryzykiem.

„Proaktywne bezpieczeństwo SAP to dziś konieczność, nie luksus. Organizacje, które traktują zarządzanie poprawkami jako kluczowy wskaźnik biznesowy, a nie techniczny obowiązek, zyskują realną przewagę konkurencyjną. Koszt prewencji jest wielokrotnie niższy niż koszt reakcji na incydent” – zauważa Dariusz Kurkiewicz, Team Leader zespołu Cybersec & SAP BASIS w SNOK .

SecurityBridge – fundament nowoczesnego bezpieczeństwa SAP

Jednym z filarów naszego podejścia do zabezpieczania środowisk SAP jest wdrażanie platformy SecurityBridge – natywnego rozwiązania działającego bezpośrednio wewnątrz środowiska SAP. W przeciwieństwie do narzędzi zewnętrznych, które analizują SAP z perspektywy sieciowej, SecurityBridge ma pełny wgląd w procesy zachodzące w systemie i może wykrywać zagrożenia niewidoczne dla tradycyjnych rozwiązań bezpieczeństwa.

Platforma oferuje kompleksowe możliwości w zakresie wykrywania zagrożeń w czasie rzeczywistym, zarządzania podatnościami i procesem łatania, monitorowania uprawnień i zachowań użytkowników oraz automatyzacji procesów zgodności z regulacjami. Moduł zarządzania poprawkami pozwala szybko identyfikować brakujące łatki w całym krajobrazie SAP i priorytetyzować działania naprawcze. Wbudowany analizator kodu wykorzystujący sztuczną inteligencję pomaga deweloperom wykrywać i naprawiać podatności w kodzie ABAP jeszcze przed wdrożeniem na środowisko produkcyjne.

SecurityBridge integruje się z popularnymi platformami SIEM, w tym Microsoft Sentinel, zapewniając zespołom SOC pełną widoczność zdarzeń bezpieczeństwa SAP w kontekście całego środowiska informatycznego organizacji. Dzięki gotowym regułom wykrywania i predefiniowanej mapie bezpieczeństwa klienci SNOK uzyskują widoczny wzrost poziomu ochrony już w pierwszych tygodniach po uruchomieniu – niektórzy podwajają swój poziom bezpieczeństwa w bardzo krótkim czasie.

Co przyniesie 2026 rok?

Nie ma podstaw, by sądzić, że presja ze strony atakujących zelżeje. Wręcz przeciwnie – rosnąca dostępność narzędzi exploitacyjnych, coraz krótsze okno między ujawnieniem podatności a atakiem oraz ewolucja taktyk przestępczych w kierunku kradzieży danych i szantażu zamiast prostego szyfrowania wskazują na dalszą eskalację zagrożeń.

Organizacje muszą przyjąć, że bezpieczeństwo SAP to integralna część zarządzania ryzykiem korporacyjnym, a nie wyłącznie odpowiedzialność zespołu BASIS czy administratorów. Regularne przeglądy notek bezpieczeństwa, wdrożenie dedykowanych narzędzi monitorujących, opracowanie planów reagowania na incydenty specyficznych dla SAP i współpraca z doświadczonym partnerem to dziś standard oczekiwany przez regulatorów i audytorów, nie przewaga konkurencyjna.

Jeśli chcecie poznać szczegóły naszego podejścia, przeprowadzić audyt bezpieczeństwa Waszego środowiska SAP lub dowiedzieć się więcej o możliwościach platformy SecurityBridge – zapraszamy do kontaktu z zespołem SNOK.

SNOK.AI
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.