Cybercriminelen weten dat ERP het hart van het bedrijf is. De veiligheid van de informatie van het bedrijf hangt af van hoe goed beveiligde toegang tot de zwakste apparaten in het netwerk is.
Veel bedrijven en organisaties gebruiken specifieke software om hun bedrijfsprocessen te beheren. Deze tools staan bekend als Enterprise Resource Planning of meer in het algemeen onder de afkorting ERP. Dit type applicaties kan een groot aantal kritische processen beheren voor organisaties zoals: beheer met leveranciers, de levenscyclus van een project of operaties uitgevoerd door de HR-afdeling of de financiële afdeling, omdat deze software voor vele doeleinden kan worden gebruikt. Cybercriminelen weten dit en daarom richten ze zich op deze tools. De veiligheid van bedrijfsinformatie is van essentieel belang om te voorkomen dat ze de toegang tot ERP-gegevens blokkeren.
Beveiligingspatches, updates en slechte configuraties
Er zijn verschillende factoren waarom ERP’s meestal niet worden bijgewerkt naar de nieuwste versie, waardoor de informatiebeveiliging in gevaar komt. De complexiteit van de tool zelf, het aantal bij te werken gevallen, de angst voor een fout in de update en dat de dienst zal stoppen met werken of gewoonweg, bij gebrek aan een veiligheidscultuur en de overtuiging dat als iets goed werkt het beter is om het te laten zoals het is, zijn een van de belangrijkste redenen.
Volgens gepubliceerde rapporten is informatiebeveiliging voor veel bedrijven een punt van zorg. Sinds 2010 is het aantal ontdekte kwetsbaarheden in de twee meest gebruikte ERP’s wereldwijd gestaag toegenomen. Dit in combinatie met het feit dat het aantal uitbuitingen of openbare kwaadaardige codes is toegenomen, maakt ze tot een “zeer sappig” doelwit voor cybercriminelen.
Onderzoek van Digital Shadows en Onapsis toont aan dat bedrijfskritische applicaties van ’s werelds grootste organisaties worden aangevallen.
Het rapport toont een toename van cyberaanvallen op veelgebruikte ERP-applicaties zoals SAP en Oracle, die momenteel in totaal 9.000 bekende kwetsbaarheden in de ERP-beveiliging hebben, en benadrukt ook een toename van aanvallen op deze systemen door cybercriminelen.
Aanvallen op ERP-applicaties zijn onder meer een verzwakking en gedistribueerde denial of service (DDoS) gericht op het verstoren van de bedrijfsvoering: een convergentie van bedreigingen, aldus het rapport, die duizenden organisaties en hun kroonjuwelen direct blootstelt aan het risico van spionage, sabotage en financiële fraude.
Malwarekits, bekend als Dridex, worden ontwikkeld om gebruikersgegevens en ERP-applicatiegegevens achter de firewall te stelen. Derden en medewerkers stellen informatie bloot die van grote waarde kan zijn voor geavanceerde spelers, waarschuwt het rapport.
Een ander veelvoorkomend probleem dat de informatiebeveiliging in het gedrang brengt, is het verlenen van toegang tot de toepassing vanaf het internet zonder de nodige opzoekingen. Dit is op zich geen slechte praktijk, maar als we bedenken dat veel tools niet over de laatste updates beschikken of die een veilige verbinding via VPN mogelijk maken, maken ze een bedreiging voor organisaties.
Richten op cybercriminelen
Cybercriminelen hebben geprofiteerd, en blijven profiteren, van kwetsbaarheden, het gebrek aan ERP-configuratie en het gebrek aan informatiebeveiliging voor verschillende doeleinden.
Diefstal van vertrouwelijke informatie
Veel organisaties gebruiken dit type software om hun projecten te beheren en vertrouwelijke informatie te hosten. In het geval van ongeoorloofde toegang zou de lage veiligheid van de informatie cybercriminelen in staat stellen om toegang te hebben tot deze informatie, deze te verkopen aan concurrenten of te gebruiken als een middel tot afpersing.
Diefstal van bankgegevens
Rekening- of kaartnummers worden door het ERP opgeslagen en beheerd, zodat de diefstal ervan kan leiden tot economische schade voor het bedrijf of zijn klanten, waardoor de schade door het gebrek aan informatiebeveiliging toeneemt.
Diefstal van persoonlijke gegevens
Het is gebruikelijk dat de HR-afdeling van een organisatie in dit soort applicaties persoonlijke gegevens zoals voor- en achternamen, contactgegevens of adressen, enz. heeft opgeslagen. Alles wordt opgeslagen en beheerd vanuit de ERP’s, dus het gebrek aan veiligheid van de informatie zal frauduleuze toegang geven tot de informatie die de filtratie ervan met het daaruit voortvloeiende verlies van reputatie en zelfs juridische implicaties kan toestaan volgens de regels voor gegevensbescherming van elk land.
Weigering van dienstverlening
Praktijken die van invloed zijn op de diensten die door bedrijven worden aangeboden en die een enorme impact op de reputatie kunnen hebben als ze niet goed worden beheerd.
Cryptocentrische mijnbouw
Cybercriminelen kunnen profiteren van de rekenkracht van de computers die dit type software hosten om ze in hun voordeel te gebruiken door cryptografische valuta te ontginnen. Naast het verhogen van het energieverbruik en het veroorzaken van verslechtering van het apparaat kan het systeem langzamer worden, waardoor het zelfs buiten werking kan worden gesteld.
Malware-infecties
Het infecteren van apparaten met Trojaanse paarden, keyloggers of zelfs ransomware is een andere wijdverbreide praktijk die de continuïteit van een organisatie in gevaar kan brengen door geen voorzorgsmaatregelen te nemen met betrekking tot informatiebeveiliging.
Beste praktijken en beschermende maatregelen
- Om te voorkomen dat het ERP het slachtoffer wordt van cybercriminelen, is een van de belangrijkste punten om een updatebeleid te implementeren waarbij de software zo vaak als nodig kan worden bijgewerkt om de door de ontwikkelaar gelanceerde beveiligingspatches met prestatiegaranties toe te passen, aangezien een van de belangrijkste redenen waarom updates niet worden toegepast, de vrees is dat ze een negatieve impact zullen hebben zonder rekening te houden met informatiebeveiliging. Zoals bij elk systeem of dienst in de productie moet u beschikken over een ontwikkelings- en/of preproductieomgeving om de updates uit te voeren en na te gaan of ze de normale werking van de toepassing beïnvloeden, waarbij gedrag wordt vermeden dat de functionaliteit van het ERP in de productieomgeving kan aantasten en de informatiebeveiliging wordt versterkt.
- Een ander belangrijk aandachtspunt bij dit soort instrumenten is de vraag of toegang via internet mogelijk moet worden gemaakt. Waar mogelijk zal hun toegang beperkt zijn, tenzij dit noodzakelijk is voor de werking van de onderneming. Als er verbindingen moeten worden gemaakt vanaf externe netwerken, moeten deze altijd worden gemaakt via een VPN dat mogelijke informatielekken en ongeoorloofde toegang beperkt.
- Vermijd het gebruik van standaard of zwakke wachtwoorden, omdat complexe beveiligingsmaatregelen vaak worden geïmplementeerd, maar het gebruik van onveilige wachtwoorden vermindert het beveiligingsniveau aanzienlijk.
- Controleer de rechten van de gebruikers en geef alleen de rechten die nodig zijn om de taak uit te voeren.
- Bewaak en registreer het ERP zodat in geval van abnormale activiteiten of veiligheidsincidenten de oorzaak zo snel mogelijk kan worden vastgesteld.
Een ERP is een goed alternatief waarmee we de efficiëntie in het beheer van een bedrijf aanzienlijk verhogen, maar we kunnen het ook in gevaar brengen als de nodige veiligheidsmaatregelen niet worden toegepast.