Hoe beveilig je een ERP-systeem?
Lekken in ERP-systemen halen zelden of nooit het nieuws. Maar dat betekent niet dat beveiliging van ERP-software onbelangrijk is, integendeel. Wij gingen met onze vragen naar enkele experts.
1. Is beveiliging van ERP-systemen eigenlijk belangrijk?
Vroeger kon deze vraag terecht gesteld worden. De eerste ERP-systemen werden door slechts een handvol gebruikers bevraagd en bewerkt. De kans dat deze gegevens en systemen werden gehackt, misbruikt, verwijderd of op andere manieren in gevaar gebracht, was eerder klein.
Maar sindsdien is er een enorme evolutie geweest in de ERP-markt. Het aantal gebruikers per ERP-systeem is exponentieel gegroeid. Steeds meer wordt de ERP-software door het hele bedrijf gebruikt, al was het maar om bijvoorbeeld het aantal aan een project bestede uren in te vullen.
[related_article id=”161920″]
Maar belangrijker nog: intussen zijn al de meeste ERP-pakketten over het internet bereikbaar. Voor de eigen medewerkers, om van op afstand gegevens te raadplegen en in te voeren. Maar ook vaak voor partners en klanten, als extern verlengstuk van de ERP-software, waarop ze bijvoorbeeld bestellingen kunnen invoeren en opvolgen.
Meer gebruikers en toegang tot het systeem via een extern netwerk: er hoeft geen tekening bij dat dit de kansen op inbraak en misbruik enorm heeft doen stijgen.
En dat gebeurt ook, zo blijkt uit cijfers die op een recent congres van beveiligingsorganisatie Lsec werden getoond: “Voor ERP-leider SAP alleen werden dit jaar al ongeveer 200 beveiligingsproblemen gesignaleerd. Nog maar drie jaar geleden was dat amper een tiende”, zo illustreert Fred van den Langenburg van het beveiligingsbedrijf ERP Security de ernst van de situatie.
Naar verluidt zouden negentig procent van de ERP-systemen te weinig beveiligd zijn.
2. Waarom wordt er dan niet voldoende aandacht (en geld) aan besteed?
In eerste instantie omdat men zich van geen kwaad bewust is. Men gaat gemakkelijk uit van de veronderstelling dat een duur ERP-systeem zoals van SAP of Oracle voldoende beveiliging ingebouwd heeft om zich verder geen zorgen te hoeven maken.
“En dat is ook wel zo wat de eigen omgeving betreft”, erkent Phil Allen, director security practice EMEA bij CA Technologies. “Maar we leven in een heterogene wereld, waarin zowat alles linkt met alles. SAP-systemen kunnen bijvoorbeeld bekeken worden via een Sharepoint-portal, en dat creëert een extra kwetsbaarheid. En webtoegang tot ERP-systemen wordt steeds vaker de voordeur naar uw organisatie. Met één beveiligingssysteem kom je er dan niet.”
Een andere factor die een afdoende beveiliging bemoeilijkt, is de impact op de eindgebruiker. Enerzijds wilt u hem niet extra belasten met een zo zware beveiliging dat het gebruiksgemak er onder lijdt. Anders vinden vele bedrijven een extra controle en beperking op de gebruikersactiviteiten not done, omdat dit een gebrek aan vertrouwen zou uitstralen.
Terwijl uit cijfers wel degelijk blijkt dat de mens nog steeds de zwakste schakel in de beveiligingsketen is.
3. Hoe kunnen we dit veranderen?
“Geen nood, dit verandert wel vanzelf”, verzekert ons Phil Allen: “De wettelijke verplichtingen inzake beveiliging worden steeds strenger, dus de meeste bedrijven zullen wel degelijk alles beter dichtgetimmerd hebben nog voor hen een echt incident overkomt.”
4. Wat moet er veranderen?
In eerste instantie moeten er natuurlijk voldoende afweerlinies zijn, om virussen en andere malware te weren. Maar ook om ongewenste individu’s buiten te houden, want die worden steeds gewiekster.
“Er zijn nu al hackers die eerst inbreken om het gedrag van eindgebruikers te monitoren,” vertelt Steve Lannoye, managing director bij Inter Access België, “en nadien apen ze het geobserveerde bedrag na vooraleer ze overgaan tot hun eigenlijke doel: geld naar hun eigen rekeningen overschrijven of andere schadelijke handelingen. Zulke misdaad is veel moeilijker waar te nemen en dus ook moeilijker te bestrijden.”
Maar de grootste inspanning zal wellicht toch liggen in het voorzien van een uitgebreid systeem voor identiteits- en toegangsbeheer (identity and access management, zoals de meeste leveranciers het zullen noemen). Hiermee wordt bepaald wie toegang krijgt tot welke toepassingen, hetgeen het risico op al dan niet bewuste fouten al gevoelig reduceert.
Maar evengoed wordt er bepaald wat de waarde is van informatie, en wordt het toegangsbeleid daarop aangepast. “Ongeacht de rol van elke gebruiker spreekt het voor zich dat zeer gevoelige informatie voor minder mensen toegankelijk mag zijn dan publiekelijk gekende informatie”, aldus Phil Allen.
Dit is overigens veel meer dan een technische oefening, want de keuze wie welke toegang krijgt, zal ook samenhangen met van bovenaf opgelegde verplichtingen en beperkingen. “Ook risicobeheer komt hier uitgebreid aan bod”, vertelt Franky Geldhof, Oracle Belux’ woordvoerder voor Oracle Apps. “De vraag of een zelfde persoon iets mag aanvragen én goedkeuren, zal hier bijvoorbeeld expliciet moeten worden behandeld.”
Dit gaat ook op voor andere basisprincipes, zoals het beheren van wachtwoorden, weet Phil Allen: “Het delen van wachtwoorden tussen verschillende systeemadministrators is bijvoorbeeld absoluut verboden, al was het maar om ondubbelzinnig te kunnen vaststellen wie verantwoordelijk is voor welke acties in het logbestand.”