Moderne ERP-beveiligingsfuncties evolueren en verbeteren met de dag. Waarom voelen bedrijven zich dan meer blootgesteld dan ooit tevoren? Voor een deel komt het door de snelle versnelling van digitale en cloudtechnologieën. In 2025 voorspelt IDC dat het aantal IoT-apparaten zal stijgen tot meer dan 30 miljarden exponentieel blijft groeien. Veel van deze apparaten maken deel uit van de Industrial Internet of Things (IIoT) -netwerken van bedrijven, en als zodanig voeren ze gegevens meestal in een centraal ERP-systeem in. Tegenwoordig is een moderne cloud-ERP essentieel voor de meeste bedrijven, wat helpt om alle bedrijfsactiviteiten onder één systeem te verenigen. Toch kan deze kernfunctie ook een zwak punt zijn als het gaat om cybersecurity, waardoor het een one-stop portal is in veel kritische informatie.

Uitdagingen voor beveiliging van moderne ERP-systemen en software

Traditionele benaderingen van cybersecurity volstaan niet langer. Het idee om een veiligheidszone rond specifieke IT-middelen of databases in te richten en vervolgens de toegang te beperken en te controleren, is niet effectief in een ecosysteem dat met de cloud verbonden is.

In een cloud-ERP-omgeving passen organisaties hun aanpak van beveiliging aan omdat ze meer verantwoordelijkheid delen met publieke cloudproviders, en zich daardoor minder richten op de infrastructuur en meer op de verantwoordelijkheden aan de applicatiekant die ze blijven bezitten.

Ransomware- en phishing-aanvallen vormen een snel groeiende uitdaging. Aangezien ERP's in meer afdelingen zijn geïntegreerd, zijn er meer gebruikers met geautoriseerde toegang, wat voor hackers een rijkere jachtbasis voor phishingdoelen betekent. Bredere operationele ERP-integratie betekent ook een breder bereik en bereik van waardevolle data in de ERP, wat ook de waarde ervan als hackingdoel verhoogt. Daarnaast hebben pogingen om de ERP-integratie in nieuwe afdelingen uit te breiden vaak bolt-ons en aangepaste codering nodig om het potentiële aanvalsoppervlak te vergroten. Met andere woorden: er zijn meer zwakke plekken op meer plaatsen. Dit wordt nog verergerd door een toename van het aantal externe en gig-medewerkers die externe toegangspunten nodig hebben.

Cybercriminelen kunnen stelen en afpersen, maar ze kunnen ook essentiële systemen afsluiten en hele operaties tot stilstand brengen. Grote organisaties (met name in sectoren als financiën, verzekeringen, productie, zakelijke dienstverlening en gezondheidszorg) zijn al lang een doel, maar het midden- en kleinbedrijf wordt steeds vaker aangevallen, vaak door een gebrek aan beveiligingsmiddelen en expertise.

Op wat voor soort ERP-data hebben cybercriminelen het gemunt?

Hackers stelen allerlei data om allerlei redenen. Maar voor het grootste deel zijn bedrijfscybercriminelen uit op data, inclusief ERP-data, die het snelst kunnen worden geboet, of het nu gaat om het afpersen van het gepleegde bedrijf zelf of door klanten of personen die in de gestolen gegevens worden genoemd, te bedriegen of anderszins te beschadigen. Dit kan resulteren in pogingen om rechtstreeks toegang te krijgen tot fondsen via creditcard-inbreuken of geldovermakingen. Maar aangezien financiële en ERP-databases meestal een van de meest goed beveiligde databases zijn, veroorzaken hackers meestal verwoestingen door toegang te krijgen tot andere soorten toegankelijkere gegevens.

Een extra risicolaag voor bedrijven komt niet alleen voort uit de schade die wordt toegebracht aan hun winsten, reputatie en klanten, maar ook uit het risico van collectieve rechtszaken die worden aanhangig gemaakt door de personen die in de gestolen gegevens worden genoemd. In gevallen waarin deze gegevens gevoelige persoonlijke, juridische of medische informatie van mensen omvatten, kan de schade als gevolg van rechtszaken onherstelbaar zijn.

De 7 grootste ERP-beveiligingsproblemen en hoe je deze oplost

1. Verouderde software

De beste ERP-providers zijn meedogenloos in hun strijd tegen nieuwe en opkomende veiligheidsrisico's. Telkens wanneer een dergelijk risico wordt vastgesteld, wordt een beveiligingspatch ontwikkeld en gedistribueerd aan klanten. In het verleden hebben sommige bedrijven lange tijd de implementatie van deze updates genegeerd of vertraagd, waardoor hun systemen kwetsbaar werden. Dit geldt met name voor oudere ERP's die tal van aanpassingen en workarounds hebben ondergaan, waardoor patch-implementatie moeilijker te beheren is.

Oplossing: updates en beveiligingspatches moeten regelmatig worden geïmplementeerd, ondanks het risico op uitval en downtime, omdat er voortdurend nieuwe bedreigingen ontstaan. Het toepassen van patches en updates voor on-premise ERP vereist een risicogebaseerde aanpak om prioriteit te geven aan mensen met de meeste beveiligingsimplicaties en hoewel het geen eenvoudig of niet-verstorend proces is, is essentieel om de risico's te beperken. Dit geldt ook voor bedrijven met een hybride ERP-landschap.

Met cloud-ERP-software is patchdistributie en -implementatie een naadloos proces dat achter de schermen door de serviceprovider wordt uitgevoerd zonder dat het bedrijf wordt verstoord. Bovendien kan geautomatiseerd patchbeheer dat wordt geleverd met een cloud-ERP-implementatie helpen om ervoor te zorgen dat wordt voldaan aan steeds veranderende compliance- en governanceregels.

2. Bevoegdheidsproblemen

In het huidige bedrijfsklimaat worden HR-, IT- en andere teammanagers onder druk gezet om nieuwe gebruikers zo snel mogelijk aan de slag te krijgen. Dit kan leiden tot een zekere laksheid bij het afgeven van ERP-bevoegdheden of zelfs bij het deactiveren ervan wanneer werknemers het bedrijf verlaten. Oudere ERP-systemen lopen in dat opzicht vaak een groter risico. Dat komt door de verouderde functionaliteit voor bevoegdheden en een gebrek aan geautomatiseerde workflows om bevoegdheidsprocedures te ondersteunen.

Oplossing: moderne ERP-systemen worden gebouwd met risico's in het achterhoofd, waaronder inherente provisioning- en verificatiemogelijkheden en workflows die verfijnd maar eenvoudig te gebruiken zijn. Daarnaast kunnen bedrijven meer brede end-to-end beveiliging implementeren met behulp van tools voor identiteitstoegangsbeheer.

3. Ontoereikende beveiligingstraining

Het verspreiden van een trainingsmemo met je officiële phishing-beleid is niet hetzelfde als het coördineren van reguliere, interactieve leersessies met al je teams. In een recente enquête was 78% van de organisaties die van mening waren dat hun trainingsmethoden voldoende waren om phishingrisico's te elimineren, verbaasd dat 31% van hun werknemers niet slaagde in een basistest voor phishing. Zwakke wachtwoorden, gebrek aan kennis over phishing en slecht begrepen beveiligingsprotocollen betekenen dat zelfs je meest loyale en ijverige medewerkers onbewust je bedrijf in gevaar kunnen brengen.

Oplossing: Veel werknemers zijn zich niet bewust van de manieren waarop hun onschuldige acties risico's of schade kunnen veroorzaken. Laat cybersecurity-training niet over aan de verkeerde mensen, noch zet het laag op de agenda tegen andere prioriteiten. Werk samen met een professional om een risicocontrole uit te voeren in je hele bedrijf om erachter te komen waar de zwakste beveiligingslinks zich kunnen verbergen. Werk samen met je teamleiders aan regelmatige trainingsplannen die aan hun specifieke behoeften voldoen. Implementeer geautomatiseerde schema's voor elke afdeling, met testdatums, certificaatvernieuwingen en opfriscursussen.

4. Tekort aan ervaren ERP-beveiligingspersoneel

Voor bedrijven die oudere ERP-software gebruiken, is het van belang dat IT-teams volledig inzicht hebben in de specifieke en talloze ERP-beveiligingsrisico's. Bovendien moeten ze de beste beveiligingspraktijken kunnen uitvoeren en implementeren. Dit omvat het identificeren van bedreigingen, het uitvoeren van kwetsbaarheidsscans en penetratietests, het opstellen van incidentresponsplannen en het integreren van de nieuwste tools voor cyberbeveiligingsmonitoring in verouderde systemen. In het huidige klimaat is het niet alleen moeilijk om bekwame professionals te vinden en te behouden, het is ook duur en tijdrovend om het groeiende aantal trainingssessies in te passen die nodig zijn om IT-teams op de hoogte te houden van de razendsnelle ontwikkelingen op het gebied van digitale beveiliging.

Oplossing: cloud-ERP biedt enorme verlichting voor deze groeiende bezorgdheid. De zware beveiligingsfuncties zoals 24/7 monitoring en noodherstel worden allemaal naadloos door de leverancier afgehandeld, in de cloud. Bovendien kunnen de dagelijkse en tijdrovende IT-taken zoals patchbeheer, testen en upgrades ook in de cloud worden geautomatiseerd en zonder enige waarneembare onderbreking plaatsvinden.

5. Normen voor beveiliging en governance niet naleven

Naarmate ERP-systemen in steeds meer afdelingen worden geïntegreerd, wordt de omvang van kwetsbare data steeds diverser, inclusief zaken als veilige productinformatie, medische dossiers of intellectueel eigendom. Hoe gevoeliger de gegevens (bijvoorbeeld financieel, medisch of juridisch) hoe waarschijnlijker het is dat ze hun eigen unieke beveiligings- en opslagprotocollen hebben. Als je je niet houdt aan deze protocollen of je daarvan bewust bent, kan dit niet alleen leiden tot mogelijke inbreuken op die gegevens, maar ook tot sancties en zelfs juridische gevolgen voor niet-naleving.

Oplossing: vandaag de dag kunnen de beste ERP's, met moderne databases, de gecentraliseerde automatisering en controle van een reeks complianceprotocollen voor een breed scala aan datatypen faciliteren. Dit betekent dat IT-teams kunnen samenwerken met vakspecialisten in het hele bedrijf om in eerste instantie de juiste beveiligingsnormen te bepalen en vervolgens systemen en gebruikersdashboards te automatiseren om ervoor te zorgen dat de juiste protocollen worden nageleefd.

6. Enkelvoudige verificatie

Eén factor (één wachtwoord of wachtwoordcode) is eenvoudigweg niet voldoende. Hoewel de meeste bedrijven zich tegenwoordig bewust zijn van dit feit, gebruikt meer dan 40% van de organisaties nog steeds geen tweestapsverificatie op alle potentiële ERP-entrypunten. Met andere woorden, het heeft geen zin om je meest onmisbare gegevens te beschermen met tweefactorauthenticatie (2FA) als andere verbonden zaken zoals IoT-apparaten of afdelingsapplicaties kwetsbaar worden gelaten met wachtwoorden in één stap.

Oplossing: het is essentieel voor bedrijven van elke omvang om onmiddellijk 2FA-protocollen (inclusief beveiligingstokens of biometrische scans) te implementeren op alle potentiële ERP-toegangspunten. Dit is een eenvoudige, goedkope oplossing die uiterst belangrijk is.

7. Gegevensexport

Ondanks officiële protocollen zetten gebruikers graag informatie in spreadsheets of slaan ze deze op in andere formaten. Zo vormen de risico's van gegevensexport nog steeds een probleem voor bedrijven.

Oplossing: bedrijven kunnen dit enigszins controleren door Excel-downloads te blokkeren of gebruikersacties binnen de database te volgen. Maar uiteindelijk is het beperken van het aantal mensen dat toegang heeft tot kwetsbare gegevens de beste manier om te beschermen tegen gegevensexport. Met een modern ERP kunnen afdelingshoofden eenvoudig bepalen en instellen wie wat mag zien, maar ook welke elementen van een dataset ze mogen openen en bekijken. En in tegenstelling tot bestaande systemen hebben cloud-ERP's geïntegreerde beveiligingsfuncties die kunnen worden geautomatiseerd om meldingen te verzenden en onbevoegde opdrachten, zoals downloads of gegevensexport, te voorkomen.

Best practices voor ERP-cyberbeveiliging

Veel van de problemen en oplossingen die we hebben besproken hebben betrekking op bredere beveiligingsstrategieën voor het optimaliseren van je menselijke en technologische resources in een cybercriminaliteitwereld. Hieronder volgen enkele aanvullende basisprincipes van best practices die je helpen optimaal te profiteren van de services en voordelen van beveiligingsfuncties van cloud-ERP:

• Zorg ervoor dat er serviceniveau-overeenkomsten zijn voor bedrijfscontinuïteit, herstel bij calamiteiten en mogelijkheden voor uptime. Cloudgebaseerde tools kunnen helpen om deze overeenkomsten op één plek te integreren, in wereldwijde processen, en updates te automatiseren.
• Hyperscaler, externe audits uitvoeren. Deze onafhankelijke audits van derden zijn essentieel om te zorgen voor bedrijfsoverkoepelende compliance in alle fasen en om zaken als Cybersecurity Maturity Model Certification (CMMC) en Zero Trust-inspanningen te ondersteunen.
• Versleutel al je gegevens en concentreer je op het versterken van processen, protocollen en projectmanagement voor alle teams die betrokken zijn bij ERP-beveiliging. Dit geldt met name voor patchbeheer, beveiligingsconfiguratie, het scannen op kwetsbaarheden en risicobeheer.
• Maak de nodige consultancyinvesteringen in externe cybersecurity-experts van wereldklasse om ervoor te zorgen dat al je teams goed zijn toegerust in hun rollen en verantwoordelijkheden op het gebied van risicovermindering.
• Zorg ervoor dat 24/7 bewaking en proactief beveiligingsbeheer in je hele bedrijf zijn geïmplementeerd om het reactievermogen van incidenten te verbeteren. Dit omvat je ERP en alle systemen, apparaten of IoT-assets waartoe een hacker toegang kan krijgen.
• Gebruik een domeingebaseerde ERP-testaanpak voor een consistent en repliceerbaar testproces om veelvoorkomende actorvectoren over de hele linie aan te pakken.

Volgende stappen naar een betere ERP-beveiliging

Cybercriminaliteit treft ons allemaal en als bedrijven het willen bestrijden, moeten ze een veelomvattende aanpak hanteren. Technologieën voor cloud-ERP zijn een geweldige plek om mee te beginnen. Ze bieden bedrijven een uniforme basis om een krachtige en effectieve verdediging te coördineren en te automatiseren.

Maar uiteindelijk beginnen en eindigen je cybersecurity-inspanningen met je mensen. Je teamleiders en medewerkers maken deel uit van de oplossing, maar van hen kan niet worden verwacht dat ze het zelf uitzoeken. Een goede eerste stap in je ERP-cyberbeveiligingstraject is het bouwen van communicatie- en trainingsplannen waarbij interessante experts betrokken zijn, praktijkgericht leren, visuele en praktische lesplannen en zelfs enkele praktijkvoorbeelden van wat er kan gebeuren als het fout gaat. Specifieke opleidings- en certificeringsmaatregelen zijn belangrijk, maar het werkt ook het beste om het algemene bewustzijn en de belangstelling voor het onderwerp te vergroten.

Digitale veiligheid speelt tegenwoordig een belangrijke rol in het leven van ons allemaal. Waarom zouden we van het leren over cybersecurity dan geen boeiende en intrigerende ervaring maken?