Cybersikkerhet i ERP-systemet - hva er konsekvensene av å ikke ha kontroll?

En stadig økende forekomst av cyberangrep og en eksplosjon av avisoppslag om ransomware har i kombinasjon med økende bruk av hjemmekontor ført til at cybersikkerhet har blitt et av de viktigste punktene på agendaen i de fleste bedrifter og industrier verden over. I følge PwCs Global CEO Survey 2020 er en tredjedel av alle verdens toppsjefer nå ‘ekstremt bekymret’ over trusler relatert til IT-området. Dette representerer en global økning på 30% fra 2019. I USA har andelen ekstremt bekymrede toppsjefer økt med 50%, og det med rette. I PwCs spørreundersøkelse om Cyberkriminalitet (PwC Cybercrime Survey 2019), viste det seg at hele 70% av alle bedrifter har opplevd dataangrep som rammer kjernefunksjoner i bedriftens virksomhet. Kombinasjonen av flere skybaserte ERP-løsninger, statusen ERP-systemet har som en kilde til kritisk nøkkelinformasjon for bedriftene, og den økende trenden i fiendtlig datakriminalitet og tyveri av konfidensiell data gjør at ledere bør prioritere sikring av ERP-systemene i tiden som kommer.

Norske virksomheter opplever stadig å bli utsatt for målrettede innbruddsforsøk. Trusselbildet er i endring og angriperne blir mer og mer sofistikerte. 

For oss er det ingen tvil om at bedriftene må sette av mye ressurser for å preventivt beskytte ERP-systemet mot fiendtlige dataangrep, men vi opplever dessverre at systemet ikke får oppmerksomheten det fortjener. Det oppleves som et paradoks at et system som inneholder mye av selskapenes mest kritiske forretningsdata, og som er et essensielt verktøy for operasjonell drift sjelden er et fokusområde når selskapene gjør interne risikovurderinger, spesielt når vi observerer en eksponentiell vekst i dataangrep og en økning i kritisk forretningsinformasjon som nå ligger på nett uten tilstrekkelig beskyttelse.

En viktig del av selskapets risikostyring innebærer å implementere relevante tiltak for å redusere risiko. Innenfor ERP-området medfører dette blant annet å ha gode systemer og dokumentasjon for tilgangsstyring. I all sin enkelhet betyr dette at man gir ansatte tilgang til nøyaktig det de trenger, verken mer eller mindre, men også at det utarbeides et gjennomtenkt sett av regler og rutiner for systemstøttet arbeidsfording og solide kontrollrutiner. Dette bør gjøres, både for å etablere sikkerhetsnett for å fange opp økonomisk mislighet, men også for å understøtte selskapets integritet når det gjelder databehandling og rutiner for behandling av konfidensiell data.

Hvilke konkrete tiltak kan gjøres for å redusere IT-risiko og øke sikkerheten for ERP-systemet?

• Opplæring av ansatte. Vi ser at aktører i økende grad utnytter seg av uvitende ansatte gjennom phishing og andre typer svindel, og at disse angrepene stadig blir mer sosistifikerte. Redselen for at personlige feil skal lede til dataangrep reflekteres også av PwCs Cybercrime Survey 2019, der egne ansatte oppgis som en av de største truslene mot IT-sikkerhet. En svindler på innsiden vil kunne kopiere eller stenge ned ERP-systemet. Å ha god opplæring og gode rutiner for avvik og varsling reduserer dette trusselbildet dramatisk. Metodikk som kan tas i bruk for å preventivt hindre denne trusselen er å dele historier om dataangrep, eller å simulere phishingangrep som tester de ansattes årvåkenhet. Dette er et område der flere bedrifter i dag ser nytten i å ha økende opplæring og stikkprøvekontroller.

• Preventive tekniske sikkerhetstiltak innebærer oppdatert ERP-software, brannmurer og anti-virus og gode rutiner for tilgangsstyring i produksjons- og testsystemer. Vi ser stadig at det er viktig å ha organisert ERP-systemet, herunder tekniske komponenter, på en hensiktsmessige måte. Et typisk eksempel på en sikkerhetshendelse er at en fiendtlig aktør får tak i innloggingsdetaljene til en ansatt via for eksempel malware eller phishing. Dersom tilgangen i systemet er hensiktsmessig begrenset og arbeidsfordelingen i systemet er god og veldokumentert begrenses ikke bare den potensielle skaden, men opprydningsarbeidet blir betraktelig lettere.

• Virksomheten bør også ha gode rutiner for deteksjon og respons i tilfelle uhellet er ute og ondsinnede aktører har fått tilgang til virksomhetens systemer. En del av dette innebærer å ha gode verktøy for monitorering av systemet for å kunne oppdage at en en inntrenger har funnet veien inn og ha gode verktøy og tiltak for å kunne respondere på angrepet. Her benyttes blant annet GRC-systemer og SIEM-løsninger, som understøtter logging og monitorering av tilganger samt andre logger. Det finnes mange gode verktøy for de fleste større ERP-systemer som kan støtte en sikkerhetsadministrator i overvåkningen av systemet. Eksempelvis logges aktiviteter som utføres av brukerne, mistenkelig aktivitet i grensesnitt, endringer i systemparametre, hyppige endringer i tilganger, forsøk på OS-kommandoer fra ERP-systemet, flere endringer på bankkontoer over kort tid, og så videre. Mulighetene er mange med slike overvåkningsverktøy og kan hjelpe en sikkerhetsadministrator i å identifisere avvik og følge opp disse fortløpende.

Sikkerhet i skybaserte systemer

En allmenn oppfatning er at det å flytte ERP-systemet opp i skyen vil øke sikkerheten. Ved å flytte opp i skyen til en av de store skyleverandørene vil sikkerhetsoppdateringer introduseres mer eller mindre sømløst og risikoen for fysisk destruksjon vil reduseres. Imidlertid kan det å flytte opp i skyen også by på en del sikkerhetsutfordringer. Det finnes utallige eksempler på tilfeller hvor sikkerheten viser seg å glippe også hos disse aktørene. SAP, et av verdens desidert største ERP-systemer og blant de aller beste i klassen på cybersikkerhet, ble nylig rammet av en større sikkerhetssvikt. Som følge av en helt menneskelig feil i forbindelse med en oppdatering fikk et stort antall av New Zealands våpenforhandlere¹ tilgang til persondata fra myndighetenes lokale våpenregister, som følge av mangel på god skybasert tilgangsstyring.

 

De beste virksomhetene har  god oversikt over hvilke personer som besitter kritiske tilganger, Segregation of Duties - konflikter samt gode rutiner tilknyttet priviligerte tilganger. 

Dette er et godt eksempel på at i skyen så blir tilgangsstyringen - om mulig - en enda mer sentral komponent av cybersikkerheten i virksomheten. Det er helt instrumentelt å skjerme tilgang til sensitiv data i ERP-systemene som nå potensielt er tilgjengelig for et mye større publikum dersom det ikke sikres på en god måte. 

Ny teknologi åpner for nye trusler

Trusselbildet endrer seg dessuten kontinuerlig som følge av den stadige innføringen av nye teknologier, som f.eks Internet of Things (IoT). Kommunikasjonen med diverse skybaserte løsninger øker antallet integrasjoner mot ERP-systemet og følgelig også risikoen for eksponering av sensitiv data og et økende antall sårbare inngangspunkter for en rutinert hacker. Gode og sikre grensesnitt mellom skybaserte komponenter koblet til internett og ERP-systemet krever derfor at systemtilgangene til tilkoblede enheter er lagt opp på en så hensiktsmessig måte som mulig, spesielt med tanke på begrensninger. I ytterste konsekvens kan en ondsinnet aktør få tilgang til ERP-systemet gjennom en tilkoblet enhet med superbrukerrettigheter i systemet. 

Når man ser for seg trusselaktører i cyberverden tenker en gjerne umiddelbart på et bilde av en hacker. PwC Cybercrime survey 2019 forteller oss derimot at det ikke lenger organisert kriminalitet som blir oppgitt som den største cybertrusselen mot norske virksomheter, men egne ansattes ubevisste handlinger. 

Dersom alle ansatte har få begrensninger på hva de kan foreta seg i systemet øker dette risikoen for økonomisk mislighet. Et godt brukt eksempel på viktigheten av arbeidsdeling er tilfellet hvor en ansatt har tilgang til å endre kontonummer på en leverandør i leverandørregisteret til sitt eget kontonummer etterfulgt av å opprette en inngående faktura mote denne leverandøren. Denne typen endring av kontonummer kan også gjøres ved en utilsiktet feil, noe som kan føre til redusert dataintegritet dersom de med tilganger ikke har den nødvendige opplæringen til å gjennomføre de oppgaver de er satt til å gjøre. Derfor er dokumentasjon av endringer og tilganger spesielt viktig - ikke bare for å hindre feil, men også for at de ansatte skal kunne gjøre sine egne jobber effektivt og er begrenset til innholdet i stillingsinstruks. Tilgangsstyring er derfor også et effektivt ledelsesverktøy.

Økende regulering og lovmessige krav, samt etiske hensyn er også sentralt i tilgangsstyring. For eksempel er det verken hensiktsmessig eller ønskelig at en programutvikler skal kunne se lønnsinformasjon for andre i virksomheten, samtidig som at det kan medføre et lovbrudd som vil ha juridiske, økonomiske og omdømmemessige konsekvenser.

Uavhengig om trusselen er intern eller ekstern så er et godt regime for tilgangsstyring i ERP-systemet utvilsomt nødvendig for å redusere risiko for cyberkriminalitet. På generell basis er derfor det å praktisere ‘need to know’ en god tommelfingerregel for en hensiktsmessig tilgangsstyring.

¹ New Zealand Police. "Privacy breach of online notification platform for firearm buy-back programme."  https://www.police.govt.nz/news/release/privacy-breach-online-notification-platform-firearm-buy-back-programme