5 błędów organizacji związanych z bezpieczeństwem systemów SAP i jak ich uniknąć?

W wielu organizacjach systemy SAP odpowiedzialne są za kluczowe operacje biznesowe. Przechowują i przetwarzają dane o strategicznym znaczeniu dla funkcjonowania przedsiębiorstw. Jeśli informacje finansowe, własność intelektualna czy dane osobowe są nieodpowiednio chronione, mogą stać się łupem w potencjalnych cyberatakach. Taka utrata danych jest nie tylko kosztowna, ale co gorsze, może też zakłócić ciągłość działania przedsiębiorstwa. Dlatego tak ważne jest odpowiednie zabezpieczenie środowiska SAP.

Ale jak to zrobić dobrze? Oto 5 błędów, których należy się wystrzegać, aby zadbać o bezpieczeństwo systemów SAP.

1. Dostęp do danych mają niewłaściwi użytkownicy

Poziom uprawnień wszystkich użytkowników w systemie SAP musi być ściśle kontrolowany. Każdy powinien być znany z imienia i nazwiska oraz mieć dostęp tylko do tych informacji, które są stricte związane z jego stanowiskiem. To niezbędne warunek bezpieczeństwa danych w systemach SAP.

Dlaczego to takie ważne? Według 2020 Data Breach Investigations Report sprawcy wewnętrzni są odpowiedzialni za  30% ataków. W praktyce oznacza to często pracowników, mających dostęp do nieodpowiednich danych.To może prowadzić do poważnych strat. Z kosztownym wyciekiem danych na czele.

Jak temu zapobiegać? Warto wdrożyć zautomatyzowany system do zarządzania tożsamością użytkowników. Aplikacje takie jak SAP Identity Management (IdM) optymalizują proces przydzielania uprawnień i pozwalają uniknąć kosztów związanych z wyciekiem informacji.

2. Nieefektywny offboarding

Wydawałoby się, że odejście z firmy to łatwy proces. Tymczasem jest wiele rzeczy, które mogą pójść nie tak. Dlatego trzeba jak najszybciej przeprowadzić pełen offboarding i zablokować dostęp do danych oraz systemów.

W dużych firmach offboarding stanowi pewne wyzwanie. Ręczne odbieranie uprawnień do kilkunastu narzędzi jest pracochłonne, zabiera dużo czasu i łatwo pominąć jakąś bazę danych. Efekt? Pracownik może ukraść poufne informacje i sprzedać je przestępcom. Na przykład tak, jak to miało miejsce w przypadku wycieku danych 68 000 klientów firmy Trend Micro.

Jak zminimalizować ryzyko związane z nieefektywnym offboardingiem?

Pomocna może być automatyzacja procesu odbierania dostępu byłym pracownikom. Narzędzie takie jak SAP IdM dezaktywuje jednocześnie wszystkie konta użytkownika, w momencie, gdy wygasa jego stosunek pracy. Tym samym eliminuje ryzyko wycieku informacji i pozwala zadbać o bezpieczeństwo systemów SAP.

3. Wiele haseł i nieodpowiednie zarządzanie nimi

Wiele systemów to wiele haseł. Nie każda firma potrafi nimi poprawnie zarządzać. W konsekwencji pracownicy zapisują hasła na serwerach zewnętrznych, tworzą karteczki z listą haseł. To dane, które łatwo wykraść, a tym samym zyskać dostęp do firmowych narzędzi. Kolejnym problemem jest to, że gdy członkowie zespołu sami wymyślają hasła, to często są one słabe, pozbawione symboli specjalnych, kombinacji cyfr oraz dużych i małych liter. Są proste, podobne do siebie, a  pracownik używa ich wiele razy. Niestety słabe hasła to zaproszenie do ataków typu brute force, najczęstszych rodzajów włamań hakerskich.

Jak tego uniknąć? Dobrym rozwiązaniem jest scentralizowany punkt uwierzytelnienia użytkowników oraz single sign-on, czyli podwójne potwierdzenie. W ten sposób pracownik loguje się do systemu tylko raz, a następnie do identyfikacji używa tokenów. Wystarczy więc, że zapamięta tylko jedno, silne hasło, by móc korzystać ze wszystkich narzędzi.

4. Brak zgodności z przepisami dotyczącymi cyberbezpieczeństwa

Każde przedsiębiorstwo musi zadbać o odpowiednie zabezpieczenie danych osobowych. Nikt niepowołany nie może mieć do nich dostępu a na przetwarzanie tych informacji trzeba mieć wyraźną zgodę osoby, której dotyczą. Złamanie regulujących te kwestie przepisów takich jak GDPR (czyli RODO) grozi wysoką karą finansową. Ale nie tylko.

Słabo zabezpieczone firmy coraz częściej padają ofiarami ataków typu ransomware. Na czym polega taki atak? Hakerzy szyfrują dane w bazach firmy i żądają okupu za ich odkodowanie. Przedsiębiorcy często nie zgłaszają takich sytuacji władzom w obawie przed karą nałożoną przez UODO. Wolą zapłacić przestępcom. Takie działanie może być bardzo kosztowne, bo według badania State of Ransomware 2020 usunięcie skutków ataku to średnio pół miliona złotych.

Dlatego tak ważne jest, aby poza zabezpieczeniem technicznym (zapora ogniowa, zapasowe kopie danych) zadbać o zabezpieczenie dostępu do informacji oraz compliance. Najskuteczniejszym rozwiązaniem jest włączenie wszystkich tych działań do polityki zarządzania ryzykiem opartej o GRC.

5. Role użytkowników wywołujące konflikt SoD

Niektóre czynności w firmie nie powinny być wykonywane przez jedną i tę samą osobę, na przykład wnioskowanie o zakup i jego zatwierdzenie, zatrudnianie pracowników i ustalenie ich wynagrodzenia. Kiedy dzieje się inaczej powstaje konflikt Segregation of Duties (SoD), czyli problem z rozdziałem obowiązków. Stwarza on spore zagrożenie defraudacji, oszustwa lub kradzieży danych, bo jeden pracownik ma za duże uprawnienia.

Użytkownicy muszą mieć tak dobrane role, aby nie pozwalały na tego typu działania. Należy o to zadbać w momencie przydzielania dostępów i zarządzać nimi w trybie ciągłym. Pomocne w tym może być narzędzie klasy GRC, na przykład SAP GRC Access Control. Rutynowo przeprowadza ono analizy ryzyka i pozwala w czasie rzeczywistym wykrywać konflikty SoD.

Jak uniknąć tych błędów i zapewnić bezpieczeństwo systemów SAP?

Zapewnienie bezpieczeństwa systemów SAP powinno być oparte o przemyślane zarządzanie tożsamością użytkowników oraz spójną politykę GRC. Integracja narzędzi takich jak SAP IdM i SAP GRC pozwala uzyskać pełną kontrolę i optymalizację tych procesów. Dzięki temu można wypracować zestaw bezpiecznych praktyk, a oprogramowanie będzie aktywnie wspierać organizację w ich realizacji.