19 januari 2018 -
Security blijkt keer op keer een belangrijk topic; ransomware, spionage, virusaanvallen en hacks zijn aan de orde van de dag. IT-systemen vormen een zwakke schakel: hackers kunnen aanzienlijke schade berokkenen, maar u hebt nu eenmaal wel een systeem nodig.
Organisaties accepteren dus – zij het impliciet – een risico. In de praktijk zien we dat dit risico lang niet bij iedereen helder op het netvlies staat, laat staan dat het daadwerkelijk geaccepteerd is.
In de SAP-wereld is het écht goed beveiligen van het systeem onderbelicht gebleven. Gebruikers zaten immers altijd lekker veilig achter een firewall die de gevaren prima kon weerstaan. Toch is bijblijven en alert zijn nodig. Wat vandaag veilig is, kan morgen achterhaald zijn. Bedrijfskritische processen zijn aantrekkelijk voor hackers.
Zet security op de radar
Rob van der Marck, directeur bij VNSG (Vereniging Nederlandse SAP Gebruikers), kwam recentelijk in gesprek met Sijmen Ruwhof, professioneel hacker. Hij vertelde dat klanten, waaronder veel SAP-gebruikers, bij hem in de wachtrij staan. "SAP is als niche lang buiten schot gebleven, maar ik verwacht niet dat dat zo blijft." Ruwhof waarschuwt daarom de SAP-gebruikers: "Dit zou weleens de stilte voor de storm kunnen zijn. Zet security dus vandaag nog op de radar."
Ruwhof werkt voor overheden, banken, verzekeraars en het midden- en kleinbedrijf. Organisaties stellen stuk voor stuk dezelfde vragen: Hoe blijven we veilig? Hoe worden we resistent? Hoe houden we hackers buiten de deur? Ruwhof: "Het is best eenvoudig om binnen te dringen. Bedrijven hebben daar lange tijd niks mee gedaan. Ook IT-opleidingen gaven weinig aandacht aan computerveiligheid. Dat zien we nu wel veranderen. Bedrijven worden zich bewust van de risico’s. Maar goed ook, want niemand is meer veilig."
Kroonjuwelen in kaart
De oorzaak van het groeiende belang van security is dat het bedrijfsleven zichzelf ontzettend kwetsbaar heeft gemaakt door digitalisering en centralisering van processen en datasystemen. De databases met persoonsgegevens worden steeds groter, en daarmee de belangen ook. Organisaties zien in dat cybercrime enorme schade kan aanrichten, dus gaan ze op zoek naar een manier om de gevaren in kaart te brengen.
Ruwhof adviseert een analytische en relatief simpele aanpak. Voer gesprekken om de ‘kroonjuwelen’ van een bedrijf boven water te krijgen. Zijn het klantgegevens? Is het digitaal geld? Een datawarehouse? De vervolgstap is om te bekijken hoe deze beveiligd zijn. Hoe zit het met het binnenhalen van updates? Zijn er veiligheidslekken te vinden? Schrijf tot slot een rapport met aanbevelingen en ga met de directie in gesprek over de risico’s die het bedrijf daadwerkelijk loopt.
Mythes rondom SAP
Rond security van SAP heerst nog altijd bij veel gebruikers het geloof dat er niets fout kan gaan. SAP-systemen zijn namelijk alleen op het eigen netwerk benaderbaar. Dan hebben we toch geen probleem? Daarnaast staat SAP toch gelijk aan Duitse degelijkheid? Dan moet het wel veilig zijn. Het draait slechts om de inrichting van segregation of duties. Ruwhof heeft echter een totaal andere boodschap voor bedrijven met SAP-systemen: "Vaak zijn standaard wachtwoorden niet gewijzigd. Een ander veelvoorkomend probleem is dat de autorisaties te ruim worden ingesteld en medewerkers meer rechten hebben dan noodzakelijk voor hun werk. Verder zie ik teveel beheeraccounts die niet worden gebruikt."
Complex en intenstief
SAP-software is complex en wordt vaak intensief gebruikt. Jaar in jaar uit blijft het systeem draaien. Het gevaar hierbij is dat technologie veroudert, waardoor het kwetsbaarder wordt voor aanvallen. Volgens Ruwhof hebben SAP-beheerders daarnaast geregeld te weinig kennis van de beveiliging en hebben systeembeheerders weinig kennis van SAP. IT-beheer en SAP zijn nu nog te vaak twee aparte eilanden. Ze zoeken elkaar niet op. Denk aan alle financiële gegevens en persoonsgegevens die met SAP worden beheerd en bedrijfskritische processen die ermee worden gerund. Miljarden euro’s zijn ermee gemoeid.
Het advies van Ruwhof? Ga er vanuit dat uw systeem onveilig is en werk toe naar een veilige set-up. Betrek ook de interne IT-beveiliging erbij. En huur echte experts in, specialisten.
