16. august 2016

Store sikkerhetshull i ERP systemer

En analyse av 100 ERP-systemer i Norge, Sverige og Danmark viser at 7 av 10 virksomheter ikke har oversikt over hvilke medarbeidere som har adgang til hva i deres IT-systemer. Det medfører uoppdagede hull i virksomhetens it-sikkerhet. Slik bør det ikke være, sier Morten Sælemyr i EG Norge.

Sikkerhet er et av de viktigste temaer for it-ansvarlige i næringslivet. Med den nye persondataloven fra EU, og det stigende antall cyberangrep som rammer alle, offentlige og private, er der god grunn til å holde fast i det fokuset.

En analyse av 100 ERP systemer i Norden viser at 7 av 10 virksomheter kan ha sikkerhetshull, som de ikke er oppmerksomme på. Det skjer nemlig alt for ofte, at en lisens med full adgang til hele IT-systemet tildelesmedarbeidere på alle nivåer, som dermed får tilgang til alt fra salgstall og lagerdata til administrasjon av hele virksomhetens lønninger.

Det enkleste er å gi full tilgang

- Problemet er todelt, sier Sælemyr:

1.Manglende kunnskap om hvilke ansatte som skal ha tilgang til hvilke informasjoner.

2.En manglende strategi for adgangs- og sikkerhetspolitikker i IT-systemet.

Når man kombinerer de to faktorene, er det vanskelig for it-avdelingen å vite hva som er nødvendig for den enkelte medarbeider å få tilgang til, eller hva medarbeideren i sin funksjon rent faktisk må ha tilgang til for å kunne utføre sin jobb. Derfor velger mange it-avdelinger som utgangspunkt å gi adgang til mer enn det som er nødvendig, sier Morten Sælemyr i EG Norge. Vår analyse er gjennomført blant virksomheter som bruker Dynamics AX, men dette problemet er ikke teknologi eller systemorientert. Dette er et generisk problem som er knyttet til hvordan virksomheter forvalter de sikkerhetsmekanismer som finnes i sine ERP systemer, sier Sælemyr.

Full adgang åpner bakdøren på vidt gap

Det er vanskelig å lukke alle huller inn til et system med mindre man samtidig fjerner adgangen til internett og alle USB-innganger. Forskjellen på at noen få dedikerte nøkkelmedarbeidere har adgang til hele systemet, eller om alle medarbeidere i hele virksomheten har det, utgjør en enorm forskjell hva gjeldermulige utfordringer for IT-sikkerheten.

Det kan åpne døren for uheldig oppførsel, som i verste fall kan føre til angrep fra utpressere, virus eller hackere, som med de mange unødvendige tilgangene, har mangedoblet antall mulige adgangspunkter dypt inn i systemet. Samtidig gir de utvidede tilgangene nysgjerrige medarbeidere, eller i verste fall de med lyssky formål, adgang til virksomhetens data som man ikke skal ha.

- Alle virksomheter bør ha en bevisst strategi for bedre styring av sine lisenser og tilgangspolitikk og dermed få bedre kontroll og overblikk over sine lisenser og medarbeideres datatilganger, sier Morten Sælemyr, EGNorge.

Stram opp lisensstyringen

- Utfordringen for mange virksomheter er at det ikke er viljen det skorter på, men ressursene og verktøyene, som mangler for å skape adekvat lisensstyring, kontroll og overblikk. Det finnes dog verktøy, som gjør dette mulig. Applikasjoner til ERP-systemer som for eksempel EG Security Kit til Dynamics AX er spesielt designede for enkelt å skape overblikk og hjelpe til med å administrere brukerrettigheter, sier Sælemyr

Derfor er det bruk for ledelsesmessig oppbacking med fokus på administrativ styring av IT-sikkerheten. For kun ved å utarbeide en strategi som styrer tilgangspolitikken og investering i de nødvendige ressurser og verktøy, kan man lukke de sikkerhetshull, som manglende lisensoverblikk skaper.

Sikring av kvalitet og ytelse

EG har med verktøyet EG Health Check gjennomført100 analyser av ERP systemer i Danmark, Sverige, Norge og USA. Health Check er en del af EG Quality & Performance Pack for Dynamics AX, som samler 5 verktøy, som gir virksomheter kontrollen med egne data tilbake.

Øvrige resultater fra analysen:

  • 9 av 10 virksomheter i analysen opplever feil i konverteringen av deres parametre- og masterdata, hvilket resulterer i feil output fra systemet.
  • 8 av 10 virksomheter i analysen opplever problemer med ytelsen og nedetid på deres systemer, som primært skyldes datastøy fra feil eller "døde" data.
  • 8 av 10 virksomheter i analysen er ikke klar over, at deres installasjon inneholder "skjulte overraskelser" (som at løsningen ikke kan oppgraderes til nyere versjoner, fordi datakvaliteten er for dårlig).
  • 7 av 10 virksomheter i analysen har problemer med IT-sikkerheten og betaler for mye i lisenspris, fordi de ikke selv har oversikt over, hvilke lisenser medarbeidere har bruk for. I tillegg representerer dette store utfordringer for IT-sikkerheten.