Hoe beveilig je een ERP-systeem?
Onbekend maakt onderschat
28 september 2011 | Stef Gyssels
Lekken in ERP-systemen halen zelden of nooit het nieuws. Maar dat betekent niet dat beveiliging van ERP-software onbelangrijk is, integendeel. Wij gingen met onze vragen naar enkele experts.
1. Is beveiliging van ERP-systemen eigenlijk belangrijk?
Vroeger kon deze vraag terecht gesteld worden. De eerste ERP-systemen werden door slechts een handvol gebruikers bevraagd en bewerkt. De kans dat deze gegevens en systemen werden gehackt, misbruikt, verwijderd of op andere manieren in gevaar gebracht, was eerder klein.
Maar sindsdien is er een enorme evolutie geweest in de ERP-markt. Het aantal gebruikers per ERP-systeem is exponentieel gegroeid. Steeds meer wordt de ERP-software door het hele bedrijf gebruikt, al was het maar om bijvoorbeeld het aantal aan een project bestede uren in te vullen.
Maar belangrijker nog: intussen zijn al de meeste ERP-pakketten over het internet bereikbaar. Voor de eigen medewerkers, om van op afstand gegevens te raadplegen en in te voeren. Maar ook vaak voor partners en klanten, als extern verlengstuk van de ERP-software, waarop ze bijvoorbeeld bestellingen kunnen invoeren en opvolgen.
Meer gebruikers en toegang tot het systeem via een extern netwerk: er hoeft geen tekening bij dat dit de kansen op inbraak en misbruik enorm heeft doen stijgen.
En dat gebeurt ook, zo blijkt uit cijfers die op een recent congres van beveiligingsorganisatie Lsec werden getoond: “Voor ERP-leider SAP alleen werden dit jaar al ongeveer 200 beveiligingsproblemen gesignaleerd. Nog maar drie jaar geleden was dat amper een tiende”, zo illustreert Fred van den Langenburg van het beveiligingsbedrijf ERP Security de ernst van de situatie.
Naar verluidt zouden negentig procent van de ERP-systemen te weinig beveiligd zijn.
2. Waarom wordt er dan niet voldoende aandacht (en geld) aan besteed?
In eerste instantie omdat men zich van geen kwaad bewust is. Men gaat gemakkelijk uit van de veronderstelling dat een duur ERP-systeem zoals van SAP of Oracle voldoende beveiliging ingebouwd heeft om zich verder geen zorgen te hoeven maken.
“En dat is ook wel zo wat de eigen omgeving betreft”, erkent Phil Allen, director security practice EMEA bij CA Technologies. “Maar we leven in een heterogene wereld, waarin zowat alles linkt met alles. SAP-systemen kunnen bijvoorbeeld bekeken worden via een Sharepoint-portal, en dat creëert een extra kwetsbaarheid. En webtoegang tot ERP-systemen wordt steeds vaker de voordeur naar uw organisatie. Met één beveiligingssysteem kom je er dan niet.”
Een andere factor die een afdoende beveiliging bemoeilijkt, is de impact op de eindgebruiker. Enerzijds wilt u hem niet extra belasten met een zo zware beveiliging dat het gebruiksgemak er onder lijdt. Anders vinden vele bedrijven een extra controle en beperking op de gebruikersactiviteiten not done, omdat dit een gebrek aan vertrouwen zou uitstralen.
Terwijl uit cijfers wel degelijk blijkt dat de mens nog steeds de zwakste schakel in de beveiligingsketen is.
