Begin april 2024 stond er een artikel in de New York Times: “Did one guy just stop a huge cyberattack?”. Een spectaculair verhaal met als kern, dat als hackers eenmaal binnen zijn, de hel dan losbreekt. Ook voor SAP-gebruikers!
Die gedachte is precies waar Mark Topper, onze SAP Security Specialist, toch soms ’s nachts wakker van ligt. En daar is geen woord van gelogen. Zijn goed onderbouwde overtuiging: security en autorisaties krijgen, zeker binnen het SAP-domein, nog steeds te weinig aandacht. En dit ziet hij iedere dag weer gebeuren. Zijn constatering is dat SAP-gebruikers de veranderingen die nodig zijn om deze oorlog te winnen te langzaam en onvoldoende rigide doorvoeren. In dit artikel lees je waar de pijnpunten zitten en vooral ook hoe je er wel succesvol mee aan de slag kunt gaan.
Mark je hebt het over een oorlog, wat bedoel je hiermee?
Als je naar buiten kijkt, dan zou je het niet zo zeggen, maar wij zijn continu onder aanval. De onzichtbaarheid van cyberaanvallen en breaches betekenen niet, dat ze er niet zijn. Deze aanvallen waren er al voor de oorlog in Oekraïne, en zijn sindsdien alleen maar erger geworden. Even terug naar het artikel in de New York Times. De korte samenvatting van dit artikel, is dat er door hackers een aanpassing gemaakt was in een stukje software om een SSH-verbinding mee op te zetten in het veel gebruikte open source besturingssysteem Linux. Met andere woorden: verbindingen waarvan je normaal gesproken de zekerheid hebt dat deze veilig zijn, waren ineens onveilig. Dit had gruwelijk mis kunnen gaan, ware het niet dat dit door één goed oplettende engineer tijdig werd gezien. Maar, het is een kwestie van tijd, voordat het echt fout gaat.
Hoe heeft dat betrekking op bedrijven?
Denk als IT manager of CIO, maar eens wat er allemaal mis kan gaan. De gevolgen zijn vaak rampzalig en soms zelfs niet te overzien. Een korte opsomming van wat er zou kunnen gebeuren:
- Onbeperkt, en vooral ook ongezien, meekijken in gevoelige data;
- Stelen van data en deze vervolgens publiceren;
- Het uitvoeren van schadelijke transacties;
- Het gedeeltelijk of geheel platleggen van systemen, waardoor de bedrijfsvoering gewoonweg stopt;
- Toegang voor je eigen gebruikers ontzeggen, waardoor je niet meer in je eigen systemen komt.
Bedenk maar eens wat de gevolgen voor jouw bedrijf kunnen zijn als je dit leest. Ik denk dat iedereen zich heel goed voor kan stellen, wat de omvangrijke schade voor je bedrijf en bedrijfsvoering zou kunnen zijn.
Wat is volgens jou het grootste probleem bij bedrijven?
Nou, laat ik beginnen met het feit dat veel bedrijven en daarmee ook SAP-gebruikers dit besef echt wel meer hebben dan een paar jaar geleden. De awareness is groter omdat er ook meer recente voorbeelden zijn van breaches, die bovendien ook het nieuws hebben gehaald. Maar er is meer nodig dan tijdelijke awareness. Dit moet namelijk structureel zijn en samen gaan met visie en daadkracht.
Bedrijven en SAP-gebruikers in het bijzonder, zouden in mijn optiek het principe van ‘least privilege‘ moeten toepassen (het beperken van toegang van de gebruikers tot het minimum dat voor hun functie noodzakelijk is), of ze zouden aan microsegmentatie moet doen: simpel gezegd het opsplitsen van data, systemen en netwerken om te voorkomen, dat een hacker met één doorbraak gelijk alle gegevens kan stelen.
Maar wat ik zie in de praktijk is, dat dit onvoldoende gebeurt of dat dit veel te langzaam gaat. Hierbij zie ik dat tijd, prioritering en de gekozen aanpak limiterende factoren zijn. Het gevolg is helaas, hoe gek het ook klinkt: hoge kosten, verminderde regie & controle en verloren vertrouwen bij stakeholders. Onderschat dit niet.
Intern leidt het regelmatig tot frustraties en conflicten. En dat is in mijn beleving zonde! Ik geloof dat door security en autorisaties meer aandacht te geven en hoger op de IT kalender te plaatsen er veel betere resultaten kunnen worden behaald. Ik denk juist dat hier winst behaald kan worden, mits je het de juiste prioriteit geeft in combinatie met een efficiënte aanpak van Governance, Risk and Compliance (GRC).
Niet iedereen zal evenveel weten van GRC. Kun je hier kort wat meer over vertellen?
GRC is een framework met 3 elementen. Governance gaat over het vormgeven van het management en de bijbehorende rollen en verantwoordelijkheden. De juiste procedures moeten geborgd zijn bij de juiste rollen en deze moeten zijn gecommuniceerd met de hele organisatie. Risico zien we als het effect dat onzekerheid kan hebben op het (kunnen) behalen van bedrijfsdoelstellingen. Het managen van risico’s vereist identificatie, analyse en evaluatie van die risico’s en kansen. Van daaruit kan de impact van negatieve uitkomsten worden gemitigeerd of geminimaliseerd en kunnen kansen worden gemaximaliseerd. Compliance geeft aan of de organisatie in overeenstemming met wetten, regels, protocollen, standaarden, etc. handelt en wordt bestuurd. Audits vormen een belangrijk instrument in dit kader, omdat ze helpen bij het waarborgen van een goede GRC. Hoe gevoeliger de data binnen een bedrijf is, hoe beter GRC ingeregeld is. Althans, dit zou zo moeten zijn. Maar de vraag is, of dit ook echt zo is.
Wat zijn volgens jou de belangrijkste problemen bij bedrijven?
Mijn ervaring is dat bij IT-projecten de nadruk te weinig op het GRC-component ligt. We focussen ons liever op de technologie en hoe deze de business kan versterken in plaats van dat we rekening houden met risicobeheersing en veiligheid. Bedrijven die hier doorgaans wel aandacht aan besteden zijn vaak gedwongen door audits, of in het ergste geval een breach.
Hoe kun je dit ondervangen?
De eerste stap in mijn ogen is het uitvoeren van een uitgebreide GRC-assessment. Dit is echter heel generiek en vaak behoorlijk arbeidsintensief. Als laaghangend fruit zou ik eerder ‘Security by Design‘ omarmen. Met name als er veel maatwerk in je SAP landschap wordt gebruikt. Het principe van Security by Design benadrukt de integratie van security en autorisaties tijdens alle fasen van de ontwikkeling van systemen, producten, oplossingen en processen. Hiermee wordt het dus integraal en krijgt het de aandacht die het verdient. Concreet zou je bijvoorbeeld kunnen denken aan de volgende stappen:
- Voer een (risico)analyse uit op de zakelijke vereisten van het project;
- Gebruik de uitkomsten van de analyse van stap 1 als de basis voor het vaststellen van de veiligheidseisen in het ontwerp;
- Creëer bewustzijn voor security bij alle teamleden van het project en betrek ook de afdelingen van buiten het project zoals infra, security, functioneel & technisch beheer om te zorgen voor een gedeelde verantwoordelijkheid voor security;
- Zorg voor tools om automatisch controles op security uit te voeren tijdens de implementatie en stimuleer het gebruik hiervan. Denk hierbij aan code scanners, controle op foutafhandeling van programma’s, etc;
- Bedenk ook dat het eindproduct en het systeem onderhouden moet worden;
- Voeg extra handmatige controles toe door de inzet van specialisten op dit gebied.
Uiteindelijk zijn de keuzes die je maakt afhankelijk van het project, de scope en je resources. Het is vaak praktisch niet mogelijk om alles tegelijk mee te nemen in je project. Maar begin bijvoorbeeld eens met stap 1 en 2 toe te passen op je project en bekijk het effect hiervan. Bij volgende projecten kun je geleidelijk steeds meer gaan toepassen, totdat security helemaal onderdeel is van de cultuur in de organisatie.
Bonustip: SAP Enterprise Threat Detection
Specifiek voor SAP gebruikers kan het ook zinvol zijn om gebruik te maken van SAP Enterprise Threat Detection. Heel in het kort: dit is een tool gericht op detectie en reactie. De kracht van deze tool zit in de uitgebreide verzameling van log-data van verschillende SAP-systemen en -modules en het daarop toepassen van patronen en machine learning om potentiële bedreigingen te detecteren en signaleren op een voor mensen duidelijk leesbare manier. Vervolgens biedt het alerts, dashboards en rapportages om het mogelijk te maken tijdig te reageren op bedreigingen, maar ook om op planmatige wijze systemen en applicaties te versterken tegen bedreigingen en aanvallen van buitenaf.
Over Mark Topper
Mark Topper is Security & Autorisatie Specialist en voerde meerdere onderzoeken en opdrachten uit bij o.a. Universiteit Utrecht en Port of Rotterdam.