Winkelmand

Geen producten in de winkelwagen.

4 tips om uw SAP-applicaties cybercrimeproof te krijgen

Beveiliging van SAP-applicaties is een ondergeschoven kindje, meent Mariano Nunez, CEO en medeoprichter van ICT-dienstverlener Onapsis.

Volgens Nunez verkeren manager die verantwoordelijk zijn voor de beveiliging van SAP-implementaties in een ‘schijnzekerheid’. ‘Ze baseren zich op giswerk, in plaats van de werkelijke risico’s van cybercriminaliteit in kaart te brengen. Geen enkel bedrijf kan zich dat permitteren’.

Cybercrime

Cybercrime kent drie dominante vormen: spionage, fraude en sabotage. Onveilige SAP-implementaties bieden cybercriminelen toegang tot informatie zoals leveranciersoverzichten, creditcardgegevens en loonstroken. Ook kunnen hackers binnen een SAP-systeem de aanmeldingsgegevens van werknemers bemachtigen en zo misbruik maken van de toegangsrechten. Op deze manier kunnen ze de volledige controle van een SAP-systeem overnemen. Dit biedt hen onder meer de mogelijkheid om valse facturen op te stellen en in rekening gebrachte bedragen maandelijks over te maken naar een fictieve leverancier. Wat betreft sabotage: veel applicaties voor de productieplanning en -bewaking zijn onderdeel van de SAP-infrastructuur.

Financiële verliezen

Cyberaanvallen schakelen deze applicaties simpelweg uit, zodat volledige productielijnen stil komen te liggen. Dit resulteert in omzetverlies en boetes voor contractbreuk. In het ergste geval wordt een heel systeem platgelegd. Wanneer de volledige SAP-infrastructuur van een bedrijf op zwart gaat, levert dat enorme financiële schade op. Volgens een onderzoeksrapport dat het Ponemom Institute in de lente van 2016 publiceerde, schatten 600 van de 2000 wereldwijde ondervraagde bedrijven de schade van een cyberaanval op gemiddeld 4,5 miljoen dollar. Dit is inclusief boetes, de kosten van het herstellen van bedrijfssystemen en financiële verliezen als gevolg van productie-uitval en omzetverlies.

3 misvattingen over SAP

Er zijn diverse misvattingen over SAP. Deze drie zijn:

Misvatting 1: Cyberaanvallen kunnen alleen door SAP-experts worden uitgevoerd

Tegelijkertijd, en mogelijk om deze onveilige situatie niet onder ogen te hoeven zien, wiegen veel managers zichzelf in slaap met foutieve aannames. Veel van hen denken dat aanvallen op SAP-systemen alleen door SAP-experts kunnen worden uitgevoerd. De realiteit is echter dat een basiskennis op het gebied van ict-beveiliging volstaat.

Misvatting 2: SAP is een hermetisch gesloten systeem

Anderen verkeren in de veronderstelling dat SAP een hermetisch gesloten systeem is. In dit tijdperk van mobiele, internet- en cloud-applicaties is dit simpelweg niet meer waar. Daarnaast ziet 54 procent de beveiliging van SAP-systemen als de verantwoordelijk van de leverancier. SAP zelf is echter niet in staat om de bedrijfsspecifieke configuraties van ondernemingen te beveiligen.

Misvatting 3: Het installeren van software-updates is genoeg

Ten slotte vertrouwen veel managers erop dat zij kunnen volstaan met het installeren van updates. Maar in de praktijk worden als gevolg van een tekort aan personeel in veel ondernemingen deze updates nooit geïnstalleerd.

Onvoldoende kennis

Overkoepelend probleem is dat bedrijven niet in staat zijn om de beveiligingsstatus van hun ict te beoordelen.

1. De verantwoordelijke managers hebben vaak onvoldoende kennis over de structuur van hun systemen, de gegevens die in SAP zijn opgeslagen of de onderlinge afhankelijkheden van applicaties.

2. Vaak hebben ze ook geen zicht op de aanwezige gaten in de beveiliging. In alle hoeken en gaten van SAP-omgevingen zijn problemen te vinden. De vraag is waar je moet beginnen, omdat SAP-implementaties van nature uiterst complex zijn. Elk aspect van SAP kent ruim 1.500 configuratiemogelijkheden, waarvan 20 procent relevant is voor de beveiliging. Aan kansen op foutieve configuraties dus geen gebrek.

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

4 tips voor beveiliging SAP-applicaties

Tenslotte. hoe dit probleem op te lossen? De oplossingen zijn:

  1. Een voortdurende controle van de beveiligingsstatus van SAP-systemen
  2. Deel de risico’s van cyberaanvallen op prioriteit in; bijvoorbeeld op basis van bedrijfseconomische overwegingen.
  3. Het management heeft bruikbare informatie nodig over de gevolgen voor hun data en applicaties, en daarmee het bedrijfsresultaat.
  4. Ook de ciso, cio en ceo moeten bij het proces worden betrokken. Zodra de beveiligingsstatus van het bedrijf bekend is en voortdurend wordt bewaakt, kunnen overkoepelende teams de taken verdelen, gaten in de beveiliging dichten en hun inspanningen documenteren ten behoeve van audits.

Foto boven: Flickr.com