Moderne ERP-sikkerhedsfunktioner udvikler sig og forbedres i løbet af dagen. Så hvorfor føler virksomhederne sig mere udsatte end nogensinde før? Til dels skyldes det den hurtige acceleration af digitale teknologier og cloud-teknologier. I 2025 forudsiger IDC, at antallet af IoT-enheder vil stige til over 30 milliarder– og fortsætte med at vokse eksponentielt. Mange af disse enheder er en del af virksomhedernes IIoT (Industrial Internet of Things) netværk – og som sådan sender de typisk data ind i et centralt ERP-system. I disse dage er en moderne cloud-ERP missionskritisk for de fleste virksomheder, hvilket hjælper med at forene alle forretningsaktiviteter under et enkelt system. Men denne kernefunktion kan også være en svaghed, når det kommer til cybersikkerhed, hvilket gør det til en one-stop-portal til en masse kritiske oplysninger.

Moderne udfordringer inden for ERP og softwaresikkerhed

Traditionelle tilgange til cybersikkerhed er ikke længere tilstrækkelige. Idéen om at opbygge en sikker omkreds af specifikke it-aktiver eller -databaser og derefter begrænse og kontrollere adgangen er ikke effektiv i et cloud-forbundet økosystem.

I et cloud-ERP-miljø omkalibrerer organisationer deres tilgang til sikkerhed, da de deler mere ansvar med offentlige cloud-udbydere, og derfor fokuserer mindre på infrastrukturen og mere på det ansvar på applikationssiden, de fortsat ejer.

Ransomware og phishing-angreb udgør en hastigt voksende udfordring. Da ERP'er er integreret på tværs af flere afdelinger, er der et større antal brugere med autoriseret adgang, hvilket – for hackere – betyder et rigere jagtområde for phishing-mål. Bredere operationel ERP-integration betyder også et bredere omfang og et bredere udvalg af værdifulde data, der er indeholdt i ERP – hvilket også øger dens værdi som et hackingmål. Desuden kræver forsøg på at udvide ERP-integrationen i nye afdelinger med ældre ERP-systemer ofte bolt-ons og brugerdefineret kodning, som kan bruges til at øge den potentielle angrebsoverflade. Med andre ord: Der er flere svage punkter flere steder. Dette forstærkes af en stigning i antallet af fjern- og gig-arbejdere, der har brug for eksterne adgangspunkter.

Cyberkriminelle kan stjaele og afpresse, men de kan også lukke ned for essentielle systemer og slibe hele operationer til standsning. Store organisationer (især i sektorer som finans og forsikring, produktion, forretningsservice og sundhedspleje) har længe været et mål, men små og mellemstore virksomheder bliver i stigende grad angrebet – ofte på grund af deres manglende sikkerhedsressourcer og ekspertise.

Hvilke typer ERP-data går cyberkriminelle efter?

Hackere stjæler alle former for data af alle mulige årsager. Men for størstedelens vedkommende er cyberkriminelle efter data, herunder ERP-data, der hurtigst kan tjene penge, hvad enten det er ved at udbrede den ofre virksomhed selv eller ved at svindle – eller på anden måde skade – kunder eller personer, der er navngivet i de stjålne data. Dette kan resultere i forsøg på at få direkte adgang til midler gennem kreditkortbrud eller pengeoverførsler. Men da finansielle databaser og ERP-databaser har tendens til at være nogle af de mest velsikrede, forårsager hackere typisk ravage ved at få adgang til andre typer af mere tilgængelige data.

Et ekstra lag af risiko for virksomheder kommer ikke kun i den skade, der er sket på deres fortjeneste, omdømme og kunder – men fra risikoen for gruppesøgsmål anlagt af de personer, der er nævnt i de stjålne data. I tilfælde, hvor disse data omfatter personfølsomme, juridiske eller medicinske oplysninger, kan skaden fra retssager være uoprettelig.

Top 7 ERP-sikkerhedsproblemer, og hvordan du løser dem

1. Forældet software

De bedste ERP-udbydere er utrættelige i deres kamp mod nye og nye sikkerhedsrisici. Når en sådan risiko identificeres, udvikles og distribueres en sikkerhedsrettelse til kunderne. Tidligere har nogle virksomheder ignoreret eller forsinket gennemførelsen af disse opdateringer i lang tid, hvilket har gjort deres systemer sårbare. Dette gælder især for ældre ERP'er, der har gennemgået mange tilpasninger og løsninger, hvilket gør implementering af programrettelser mere problematisk at håndtere.

Fix: Opdateringer og sikkerhedsrettelser skal implementeres regelmæssigt – på trods af risikoen for afbrydelser og nedetid – fordi der hele tiden dukker nye trusler op. Anvendelse af patches og opdateringer til on-premise-ERP kræver en risikobaseret tilgang til at prioritere dem, der har de fleste sikkerhedsmæssige implikationer, og selv om det ikke er en nem eller ikke-forstyrrende proces, er nøglen til at reducere risiciene. Dette gælder også for de virksomheder, der har et hybridt ERP-landskab.

Med Cloud ERP-software er patch-distribution og implementering en problemfri proces, der foregår bag kulisserne af tjenesteudbyderen uden afbrydelser af forretningen. Desuden kan automatiseret patch-styring, der leveres med en Cloud ERP-implementering, hjælpe med at sikre overholdelse af stadig skiftende regler for overholdelse og styring.

2. Autorisationsproblemer

I dagens forretningsklima presses HR, IT og andre teamledere til at få nye brugere op at køre så hurtigt som muligt, hvilket kan føre til manglende strenghed, når de udleverer ERP-autorisationer, eller ligefrem deaktiverer dem, når medarbejderne forlader virksomheden. Gamle ERP-systemer er ofte i større risiko for denne situation på grund af forældede godkendelsesfunktioner og mangel på automatiserede arbejdsprocesser, der understøtter autorisation.

Fix: Moderne ERP-systemer er bygget med risiko i tankerne, herunder iboende provisionering og autentificeringsfunktioner og arbejdsgange, der er sofistikerede, men ligetil at bruge. Derudover kan virksomheder implementere mere bred end-to-end-sikkerhed ved hjælp af værktøjer til identitetsadgang.

3. Utilstrækkelig sikkerhedsuddannelse

Cirkulering af et træningsnotat med din officielle phishing-politik er ikke det samme som at koordinere regelmæssige, interaktive læringssessioner med alle dine teams. Faktisk, i en nylig undersøgelse, 78% procent af organisationer, der følte, at deres uddannelse metoder var tilstrækkelige til at eliminere phishing-risici – blev overrasket over at finde ud af, at 31% af deres medarbejdere fejlede en grundlæggende phishing-test. Svage adgangskoder, mangel på phishing-kyndige og dårligt forståede sikkerhedsprotokoller betyder, at selv dine mest loyale og flittige medarbejdere ubevidst kan bringe din virksomhed i fare.

Fix: Mange medarbejdere mangler simpelthen opmaerksomhed om, hvordan deres uskyldige handlinger kan medføre risiko eller skade. Overlad ikke cybersikkerhedstræning til de forkerte mennesker, og sæt den heller ikke lavt på dagsordenen i forhold til andre prioriteter. Arbejd sammen med en professionel om at udføre en risikorevision på tværs af din virksomhed for at finde ud af, hvor de svageste sikkerhedslinks kan gemme sig. Arbejd sammen med dine teamledere om at opbygge regelmæssige uddannelsesplaner, der imødekommer deres særlige behov. Implementer automatiserede tidsplaner for hver afdeling med testdatoer, certifikatfornyelser og genopfriskningskurser.

4. Underdækning af erfarne ERP-sikkerhedspersonale

For virksomheder, der kører ældre ERP-software, skal IT-teams fuldt ud forstå deres specifikke og utallige ERP-sikkerhedsrisici – og være i stand til at køre og implementere klassens bedste sikkerhedspraksis. Dette omfatter identificering af trusler, udførelse af sårbarhedsscanninger og gennemtrængningstest, oprettelse af beredskabsplaner for hændelser og integration af de nyeste værktøjer til overvågning af cybersikkerhed i forældede systemer. I nutidens klima er det ikke kun svært at finde og fastholde dygtige fagfolk, det er også dyrt og tidskrævende at passe ind i det stigende antal træningssessioner, der kræves for at holde it-teams opdateret med den lynhurtige digitale sikkerhedsudvikling.

Fix: Cloud ERP giver enorm lettelse for denne voksende bekymring. De tunge sikkerhedsfunktioner som 24/7-overvågning og katastrofeberedskab håndteres alle af leverandøren – problemfrit i skyen. Desuden kan de daglige og mere tidskrævende it-opgaver såsom patch-styring, test og opgraderinger også automatiseres i skyen og finde sted uden mærkbare afbrydelser.

5. Manglende overholdelse af sikkerheds- og ledelsesstandarder

Da ERP-systemer er integreret på tværs af flere og flere afdelinger, vokser omfanget af sårbare data stadig mere forskelligartet, herunder ting som sikker produktinformation, patientjournaler eller intellektuel ejendomsret. Jo mere følsomme dataene (f.eks. finansielle, medicinske eller juridiske) er, jo mere sandsynligt er det, at de har sine egne unikke sikkerheds- og opbevaringsprotokoller. Manglende overholdelse af – eller være opmærksom på – disse protokoller kan føre ikke kun til potentielle overtrædelser af disse data, men også til sanktioner og endda juridiske konsekvenser for manglende overholdelse.

Fix: I dag kan de bedste ERP'er – med moderne databaser – lette den centraliserede automatisering og kontrol af en række overholdelsesprotokoller for en bred vifte af datatyper. Det betyder, at IT-teams kan samarbejde med fagspecialister i hele virksomheden om i første omgang at fastlægge de korrekte sikkerhedsstandarder og derefter automatisere systemer og brugerdashboards for at sikre, at de korrekte protokoller overholdes fremadrettet.

6. Enfaktorgodkendelse

En faktor (en enkelt adgangskode eller adgangskode) er simpelthen ikke nok. Mens de fleste virksomheder i disse dage er klar over dette, undlader mere end 40 % af organisationerne stadig at bruge totrinsgodkendelse på alle potentielle ERP-startpunkter. Med andre ord er det intet formål at beskytte dine tydeligst afgørende data med tofaktorgodkendelse (2FA), hvis andre forbundne ting som IoT-enheder eller afdelingsapplikationer efterlades sårbare med ettrins adgangskoder.

Fix: Det er vigtigt for virksomheder i alle størrelser at straks implementere 2FA-protokoller (herunder sikkerhedstokens eller biometriske scanninger) på tværs af alle potentielle ERP-adgangspunkter. Dette er en enkel, billig løsning, der er yderst vigtig.

7. Dataeksport

På trods af officielle protokoller er det fortsat et problem for virksomhederne, at brugerne sætter ting i regneark eller gemmer dem i andre formater, og at der er risiko for dataeksport.

Fix: Virksomheder kan styre dette noget ved at blokere Excel-downloads eller spore brugerhandlinger i databasen. Men i sidste ende, den bedste måde at beskytte mod dataeksport, er at begrænse antallet af mennesker, der har adgang til sårbare data. Med en moderne ERP kan afdelingschefer nemt bestemme og indstille ikke kun, hvem der får at se hvad, men hvilke elementer i et datasæt de kan få adgang til og se. Og i modsætning til ældre systemer har cloud ERP'er integrerede sikkerhedsfunktioner, der kan automatiseres til at sende meddelelser og forhindre uautoriserede kommandoer, såsom downloads eller dataeksporter.

Bedste praksis for cyber-ERP-sikkerhed

Mange af de problemer og rettelser, som vi har diskuteret, vedrører bredere sikkerhedsstrategier til optimering af dine menneskelige og teknologiske ressourcer i en cyberkriminalitetsverden. Følgende er nogle yderligere grundlæggende bedste praksis for at hjælpe dig med at få mest muligt ud af de tjenester og fordele, der er forbundet med Cloud ERP-sikkerhedsfunktioner og -funktioner:

• Sørg for, at der er indgået serviceniveauaftaler med henblik på forretningskontinuitet, katastrofeberedskab og oppetidsmuligheder. Cloud-baserede værktøjer kan hjælpe med at integrere disse aftaler på ét sted på tværs af globale operationer og automatisere opdateringer.
• Udfør hyperscaler, tredjepartskontroller. Disse uafhængige tredjepartsrevisioner er afgørende for at sikre overholdelse på tværs af virksomheder i alle faser og for at understøtte ting som Cybersecurity Maturity Model Certification (CMMC) og Zero Trust indsats.
• Krypter alle dine data, og fokusér på at styrke processer, protokoller og projektstyring for alle teams, der er involveret i ERP-sikkerhedspraksis. Især inden for patch-håndtering, sikkerhedskonfiguration, sårbarhedsscanning og trusselsstyring.
• Foretag den nødvendige konsulentinvestering i eksterne cybersikkerhedseksperter i verdensklasse for at sikre, at alle dine teams er velbevandrede i deres roller og ansvar inden for risikoreduktion.
• Sørg for, at der er implementeret 24/7-overvågning og proaktiv sikkerhedsstyring på tværs af din virksomhed for at forbedre reaktionsevnen på hændelser. Dette omfatter din ERP og alle systemer, enheder eller IoT-aktiver, som en hacker kan få adgang til.
• Brug en domænebaseret ERP-testtilgang til at levere en konsistent og replikerbar testproces til håndtering af almindelige aktorvektorer på tværs af hele angrebsoverfladen.

Næste skridt til bedre ERP-sikkerhed

It-kriminalitet påvirker os alle, og hvis virksomhederne skal bekæmpe den, skal de anlægge en flerstrenget tilgang. Cloud ERP-teknologier er et godt sted at starte – og giver virksomheder en samlet base, hvorfra de kan koordinere og automatisere et kraftfuldt og effektivt forsvar.

Men i sidste ende begynder og slutter din cybersikkerhedsindsats med dine folk. Dine teamledere og medarbejdere er en del af løsningen, men de kan ikke forventes at finde ud af det alene. Et godt første skridt på din ERP-cybersikkerhedsrejse er at opbygge kommunikations- og uddannelsesplaner, der involverer interessante eksperter, praktisk læring, visuelle og praktiske lektionsplaner og endda nogle virkelige eksempler på, hvad der kan ske, når det går galt. Specifikke uddannelses- og certificeringsforanstaltninger er vigtige, men det fungerer også bedst for at øge den generelle bevidsthed om og interesse for emnet.

Digital sikkerhed er nu en stor del af hele vores liv, så hvorfor ikke gøre læring om cybersikkerhed til en engagerende og spændende oplevelse?