<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Cybersikkerhet i ERP-systemet - hva er konsekvensene av å ikke ha kontroll?

‹ Tilbake til artikler

En stadig økende forekomst av cyberangrep og en eksplosjon av avisoppslag om ransomware har i kombinasjon med økende bruk av hjemmekontor ført til at cybersikkerhet har blitt et av de viktigste punktene på agendaen i de fleste bedrifter og industrier verden over. I følge PwCs Global CEO Survey 2020 er en tredjedel av alle verdens toppsjefer nå ‘ekstremt bekymret’ over trusler relatert til IT-området. Dette representerer en global økning på 30% fra 2019. I USA har andelen ekstremt bekymrede toppsjefer økt med 50%, og det med rette. I PwCs spørreundersøkelse om Cyberkriminalitet (PwC Cybercrime Survey 2019), viste det seg at hele 70% av alle bedrifter har opplevd dataangrep som rammer kjernefunksjoner i bedriftens virksomhet. Kombinasjonen av flere skybaserte ERP-løsninger, statusen ERP-systemet har som en kilde til kritisk nøkkelinformasjon for bedriftene, og den økende trenden i fiendtlig datakriminalitet og tyveri av konfidensiell data gjør at ledere bør prioritere sikring av ERP-systemene i tiden som kommer.

Samtidig som at ERP-systemet er et essensielt verktøy for styring av selskapets ressurser, er systemet normalt også bedriftens fremste ressurs for forretningskritisk informasjon relatert til kunder, leverandører, ansatte, salg, inntekter, kostnader og produktlinje. Dette utgjør flere potensielt alvorlige sikkerhetsrisikoer. I tillegg til at tyveri av forretningskritisk informasjon kan utgjøre en trussel både mot bedriftenes økonomi og omdømme, er et typisk cyberangrep fokusert på å sette kritiske IT-funksjoner ut av spill ved å utnytte sikkerhetshull i infrastrukturen. Vi i PwC observerer en økende forekomst av angrep på ERP-systemer, og opplever at bedriftene gjerne ikke har et tilfredsstillende alternativ når kjernesystemene går ned for telling. En myriade av forskjellige organiseringer og løsninger for hjemmekontor gjør også skadene vanskeligere å rette opp etter at de har oppstått fordi kommunikasjonskjeden i bedriftene ikke er gjennomgått på forhånd, og fordi man ikke har tilstrekkelig opplæring i hvordan man bør handle under og etter et cyberangrep.


Norske virksomheter opplever stadig å bli utsatt for målrettede innbruddsforsøk. Trusselbildet er i endring og angriperne blir mer og mer sofistikerte. 

For oss er det ingen tvil om at bedriftene må sette av mye ressurser for å preventivt beskytte ERP-systemet mot fiendtlige dataangrep, men vi opplever dessverre at systemet ikke får oppmerksomheten det fortjener. Det oppleves som et paradoks at et system som inneholder mye av selskapenes mest kritiske forretningsdata, og som er et essensielt verktøy for operasjonell drift sjelden er et fokusområde når selskapene gjør interne risikovurderinger, spesielt når vi observerer en eksponentiell vekst i dataangrep og en økning i kritisk forretningsinformasjon som nå ligger på nett uten tilstrekkelig beskyttelse.

En viktig del av selskapets risikostyring innebærer å implementere relevante tiltak for å redusere risiko. Innenfor ERP-området medfører dette blant annet å ha gode systemer og dokumentasjon for tilgangsstyring. I all sin enkelhet betyr dette at man gir ansatte tilgang til nøyaktig det de trenger, verken mer eller mindre, men også at det utarbeides et gjennomtenkt sett av regler og rutiner for systemstøttet arbeidsfording og solide kontrollrutiner. Dette bør gjøres, både for å etablere sikkerhetsnett for å fange opp økonomisk mislighet, men også for å understøtte selskapets integritet når det gjelder databehandling og rutiner for behandling av konfidensiell data.

 

Hvilke konkrete tiltak kan gjøres for å redusere IT-risiko og øke sikkerheten for ERP-systemet?

  • Opplæring av ansatte. Vi ser at aktører i økende grad utnytter seg av uvitende ansatte gjennom phishing og andre typer svindel, og at disse angrepene stadig blir mer sosistifikerte. Redselen for at personlige feil skal lede til dataangrep reflekteres også av PwCs Cybercrime Survey 2019, der egne ansatte oppgis som en av de største truslene mot IT-sikkerhet. En svindler på innsiden vil kunne kopiere eller stenge ned ERP-systemet. Å ha god opplæring og gode rutiner for avvik og varsling reduserer dette trusselbildet dramatisk. Metodikk som kan tas i bruk for å preventivt hindre denne trusselen er å dele historier om dataangrep, eller å simulere phishingangrep som tester de ansattes årvåkenhet. Dette er et område der flere bedrifter i dag ser nytten i å ha økende opplæring og stikkprøvekontroller.

  • Preventive tekniske sikkerhetstiltak innebærer oppdatert ERP-software, brannmurer og anti-virus og gode rutiner for tilgangsstyring i produksjons- og testsystemer. Vi ser stadig at det er viktig å ha organisert ERP-systemet, herunder tekniske komponenter, på en hensiktsmessige måte. Et typisk eksempel på en sikkerhetshendelse er at en fiendtlig aktør får tak i innloggingsdetaljene til en ansatt via for eksempel malware eller phishing. Dersom tilgangen i systemet er hensiktsmessig begrenset og arbeidsfordelingen i systemet er god og veldokumentert begrenses ikke bare den potensielle skaden, men opprydningsarbeidet blir betraktelig lettere.

  • Virksomheten bør også ha gode rutiner for deteksjon og respons i tilfelle uhellet er ute og ondsinnede aktører har fått tilgang til virksomhetens systemer. En del av dette innebærer å ha gode verktøy for monitorering av systemet for å kunne oppdage at en en inntrenger har funnet veien inn og ha gode verktøy og tiltak for å kunne respondere på angrepet. Her benyttes blant annet GRC-systemer og SIEM-løsninger, som understøtter logging og monitorering av tilganger samt andre logger. Det finnes mange gode verktøy for de fleste større ERP-systemer som kan støtte en sikkerhetsadministrator i overvåkningen av systemet. Eksempelvis logges aktiviteter som utføres av brukerne, mistenkelig aktivitet i grensesnitt, endringer i systemparametre, hyppige endringer i tilganger, forsøk på OS-kommandoer fra ERP-systemet, flere endringer på bankkontoer over kort tid, og så videre. Mulighetene er mange med slike overvåkningsverktøy og kan hjelpe en sikkerhetsadministrator i å identifisere avvik og følge opp disse fortløpende.

 

Sikkerhet i skybaserte systemer

En allmenn oppfatning er at det å flytte ERP-systemet opp i skyen vil øke sikkerheten. Ved å flytte opp i skyen til en av de store skyleverandørene vil sikkerhetsoppdateringer introduseres mer eller mindre sømløst og risikoen for fysisk destruksjon vil reduseres. Imidlertid kan det å flytte opp i skyen også by på en del sikkerhetsutfordringer. Det finnes utallige eksempler på tilfeller hvor sikkerheten viser seg å glippe også hos disse aktørene. SAP, et av verdens desidert største ERP-systemer og blant de aller beste i klassen på cybersikkerhet, ble nylig rammet av en større sikkerhetssvikt. Som følge av en helt menneskelig feil i forbindelse med en oppdatering fikk et stort antall av New Zealands våpenforhandlere1 tilgang til persondata fra myndighetenes lokale våpenregister, som følge av mangel på god skybasert tilgangsstyring.

 

De beste virksomhetene har  god oversikt over hvilke personer som besitter kritiske tilganger, Segregation of Duties - konflikter samt gode rutiner tilknyttet priviligerte tilganger. 

Dette er et godt eksempel på at i skyen så blir tilgangsstyringen - om mulig - en enda mer sentral komponent av cybersikkerheten i virksomheten. Det er helt instrumentelt å skjerme tilgang til sensitiv data i ERP-systemene som nå potensielt er tilgjengelig for et mye større publikum dersom det ikke sikres på en god måte. 

 

Ny teknologi åpner for nye trusler

Trusselbildet endrer seg dessuten kontinuerlig som følge av den stadige innføringen av nye teknologier, som f.eks Internet of Things (IoT). Kommunikasjonen med diverse skybaserte løsninger øker antallet integrasjoner mot ERP-systemet og følgelig også risikoen for eksponering av sensitiv data og et økende antall sårbare inngangspunkter for en rutinert hacker. Gode og sikre grensesnitt mellom skybaserte komponenter koblet til internett og ERP-systemet krever derfor at systemtilgangene til tilkoblede enheter er lagt opp på en så hensiktsmessig måte som mulig, spesielt med tanke på begrensninger. I ytterste konsekvens kan en ondsinnet aktør få tilgang til ERP-systemet gjennom en tilkoblet enhet med superbrukerrettigheter i systemet. 

Når man ser for seg trusselaktører i cyberverden tenker en gjerne umiddelbart på et bilde av en hacker. PwC Cybercrime survey 2019 forteller oss derimot at det ikke lenger organisert kriminalitet som blir oppgitt som den største cybertrusselen mot norske virksomheter, men egne ansattes ubevisste handlinger. 

Dersom alle ansatte har få begrensninger på hva de kan foreta seg i systemet øker dette risikoen for økonomisk mislighet. Et godt brukt eksempel på viktigheten av arbeidsdeling er tilfellet hvor en ansatt har tilgang til å endre kontonummer på en leverandør i leverandørregisteret til sitt eget kontonummer etterfulgt av å opprette en inngående faktura mote denne leverandøren. Denne typen endring av kontonummer kan også gjøres ved en utilsiktet feil, noe som kan føre til redusert dataintegritet dersom de med tilganger ikke har den nødvendige opplæringen til å gjennomføre de oppgaver de er satt til å gjøre. Derfor er dokumentasjon av endringer og tilganger spesielt viktig - ikke bare for å hindre feil, men også for at de ansatte skal kunne gjøre sine egne jobber effektivt og er begrenset til innholdet i stillingsinstruks. Tilgangsstyring er derfor også et effektivt ledelsesverktøy.

Økende regulering og lovmessige krav, samt etiske hensyn er også sentralt i tilgangsstyring. For eksempel er det verken hensiktsmessig eller ønskelig at en programutvikler skal kunne se lønnsinformasjon for andre i virksomheten, samtidig som at det kan medføre et lovbrudd som vil ha juridiske, økonomiske og omdømmemessige konsekvenser.

Uavhengig om trusselen er intern eller ekstern så er et godt regime for tilgangsstyring i ERP-systemet utvilsomt nødvendig for å redusere risiko for cyberkriminalitet. På generell basis er derfor det å praktisere ‘need to know’ en god tommelfingerregel for en hensiktsmessig tilgangsstyring.

1 New Zealand Police. "Privacy breach of online notification platform for firearm buy-back programme."  https://www.police.govt.nz/news/release/privacy-breach-online-notification-platform-firearm-buy-back-programme

Alexander Smidt

Alexander Smidt

Alexander Smidt er Manager i ERP & IT Project Assurance teamet i PwC Oslo. Alexander har flere års erfaring som SAP-konsulent og har jobbet spesielt mye innen data management, tilgangsstyring og roller og autorisasjoner i SAP. ERP & IT Project Assurance jobber med kravstilling, konfigurasjon og kvalitetssikring av bruk og drift av ERP-systemer. Teamet hjelper også virksomheter med effektivisering av forretningsprosesser som utføres i ERP-systemet. Vi er erfarne prosjektledere som kan bistå med å styre og kontrollere ERP-prosjekter, samt kvalitetssikring og prosjektrevisjon av ERP-implementeringsprosjekter.

Vegard Aasmundrud

Vegard Aasmundrud

Vegard er utdannet siviløkonom fra Handelshøyskolen BI og jobber som Senior Manager i PwC Oslo. Vegard har opparbeidet seg omfattende kompetanse innen revisjon og testing av IT kontroller i SAP. Han har solid prosessforståelse innen kjernemodulene i SAP, og har jobbet mye med dataanalyser i SAP innenfor ekstern- og internrevisjon. Han har bistått flere kunder med å definere deres dataanalysetilnærming, og har også utført flere kvalitetssikringer og revisjoner av ERP implementeringer. Før han begynte i PwC opparbeidet Vegard seg erfaring innen systemimplementering gjennom arbeid i transport- og logistikksektoren og innenfor forsvarssektoren som konsulent.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Tredjepartsrisiko i en ny digital hverdag - hvordan bør vi adressere det?

I snart et år har verden vært snudd på hodet og den digitale transformasjonen har økt voldsomt i takt med hjemmekontor og etterspørsel ...

Les artikkelen
Les artikkelen

Tåler virksomheten en sikkerhetshendelse nå?

Covid-19-pandemien er den mest alvorlige krisen som har rammet verdenssamfunnet siden andre verdenskrig, og den er først og fremst en krise ...

Les artikkelen
Les artikkelen

Innsidetrussel ved nedbemanning i forbindelse med Covid-19

Mange virksomheter må permittere for å overleve Covid-19. De trenger likviditet for å unngå konkurs, og permittering er siste utvei. Det er ...

Les artikkelen