Naar inhoud gaan
Beveiligingsmedewerkster

ERP-beveiliging in een wereld van cybercriminaliteit

De beveiligingsfuncties van moderne ERP-systemen evolueren en worden met de dag beter. Waarom voelen bedrijven zich dan kwetsbaarder dan ooit tevoren? Dat is deels te wijten aan de steeds snellere ontwikkelingen op het gebied van digitale en cloudtechnologieën. In 2021 waren er wereldwijd meer dan 10 miljard IoT-apparaten. IDC voorspelt dat dit aantal tegen 2025 zal stijgen tot meer dan 30 miljard en exponentieel zal blijven toenemen. Veel van deze apparaten maken deel uit van het Industrial Internet of Things (IIoT)-netwerk van bedrijven, en als zodanig leveren ze doorgaans gegevens aan een centraal ERP-systeem. Tegenwoordig is een moderne Cloud ERP voor de meeste bedrijven van cruciaal belang om alle bedrijfsactiviteiten in één systeem onder te brengen. Toch kan deze kernfunctie ook een zwak punt zijn als het gaat om cybersecurity. Het is immers één loket voor veel kritische informatie. 

Uitdagingen voor beveiliging van moderne ERP-systemen en software

Traditionele benaderingen van cybersecurity volstaan niet langer. Het idee om een veiligheidszone rond specifieke IT-middelen of databases in te richten en vervolgens de toegang te beperken en te controleren, is niet effectief in een ecosysteem dat met de cloud verbonden is.

 

In een Cloud ERP-omgeving stellen organisaties hun kijk op beveiliging bij door meer verantwoordelijkheid met publiccloudproviders te delen. Ze richten zich daardoor minder op de infrastructuur en meer op de verantwoordelijkheden aan de applicatiekant, die nog steeds hun eigendom is.

 

Ransomware en phishingaanvallen vormen een snelgroeiende uitdaging. Naarmate ERP-systemen in meer afdelingen worden geïntegreerd, zijn er meer gebruikers met toegangsbevoegdheid. Voor hackers betekent dit een grotere 'phishingvijver'. Een bredere operationele ERP-integratie betekent ook een breder scala aan waardevolle gegevens in het ERP-systeem. Dat maakt het voor hackers allemaal weer interessanter. Bovendien zijn bij uitbreiding van de ERP-integratie bij bestaande ERP-systemen vaak bolt-ons en aangepaste coding nodig en dat kan de kwetsbaarheid voor potentiële aanvallen vergroten. Met andere woorden: er zijn meer zwakke plekken op meer plaatsen. Dit wordt nog verergerd door een toename van het aantal telewerkers en zzp'ers, die externe toegangspunten nodig hebben.

 

Cybercriminelen kunnen stelen en afpersen, maar ze kunnen ook essentiële systemen platleggen en hele operaties tot stilstand brengen. Grote organisaties (met name in sectoren als financiën en verzekeringen, productie, zakelijke dienstverlening en gezondheidszorg) vormen al langer een doelwit, maar ook kleine en middelgrote ondernemingen worden steeds vaker aangevallen. Het gebrek aan beveiligingsmiddelen en -expertise ligt hieraan ten grondslag.

Elke 11

s

In 2021 werd een bedrijf door ransomware getroffen

$1,85

miljoen

Gemiddelde kosten voor herstel van een aanval met ransomware

43

%

Van alle datalekken betreft kleine en middelgrote bedrijven

placeholder

Je ERP-systeem upgraden?

Lees onze handleiding over de overstap naar ERP-software in de cloud.

Op wat voor soort ERP-data hebben cybercriminelen het gemunt?

Hackers stelen allerlei soorten gegevens om allerlei redenen. Maar cybercriminelen in het bedrijfsleven zijn meestal uit op gegevens, waaronder ERP-data. ERP-data kunnen namelijk het snelst te gelde worden gemaakt, hetzij door het gedupeerde bedrijf zelf af te persen, hetzij door klanten of personen die in de gestolen gegevens worden genoemd, op te lichten of anderszins schade toe te brengen. Dit kan leiden tot pogingen om rechtstreeks toegang te krijgen tot middelen via misbruik van creditcards of overschrijvingen. Maar aangezien financiële en ERP-databases doorgaans het allerbeste beveiligd zijn, richten hackers eerder schade aan door zich toegang te verschaffen tot andere soorten, meer toegankelijke gegevens.

 

Naast de schade die wordt toegebracht aan winst, reputatie en klanten bestaat er voor bedrijven nog een risicofactor: de kans op collectieve rechtszaken die worden aangespannen door de personen die in de gestolen gegevens worden genoemd. In gevallen waarin deze gegevens gevoelige persoonlijke, juridische of medische informatie bevatten, kunnen rechtszaken onherstelbare schade opleveren.

Dit zijn de 7 grootste ERP-beveiligingsproblemen en zo los je ze op

1. Verouderde software

 

De beste ERP-leveranciers blijven onverminderd strijd voeren tegen nieuwe en opkomende beveiligingsrisico's. Telkens wanneer een dergelijk risico wordt ontdekt, wordt een security patch ontwikkeld en onder klanten verspreid. In het verleden hebben sommige bedrijven de implementatie van deze updates lange tijd genegeerd of uitgesteld. Dat heeft hun systemen kwetsbaar gemaakt. Dit geldt vooral voor oudere ERP-systemen die talrijke aanpassingen en workarounds hebben ondergaan. De implementatie van patches werd zo moeilijker te beheren.

 

Oplossing: updates en security patches moeten regelmatig worden geïmplementeerd, ook al bestaat er kans op uitval en uitvaltijd, omdat er voortdurend nieuwe bedreigingen opduiken. Het toepassen van patches en updates voor on-premise ERP vereist een risicogebaseerde aanpak, waarbij prioriteit wordt gegeven aan die met de grootste veiligheidsimplicaties. Het is geen gemakkelijk proces en ook niet geheel zonder verstoringen. Maar toch is het van groot belang om de risico's te beperken. Dit geldt ook voor bedrijven met een hybride ERP-landschap.

 

Met Cloud ERP-software is de verspreiding en implementatie van patches een naadloos proces dat achter de schermen door de serviceprovider wordt uitgevoerd, zonder enige verstoring van de bedrijfsvoering. Bovendien kan het geautomatiseerde patchbeheer van een Cloud ERP-implementatie ervoor zorgen dat de steeds veranderende regels voor compliance en governance worden nageleefd.

 

2. Bevoegdheidsproblemen

 

In het huidige bedrijfsklimaat worden HR-, IT- en andere teammanagers onder druk gezet om nieuwe gebruikers zo snel mogelijk aan de slag te krijgen. Dit kan leiden tot een zekere laksheid bij het afgeven van ERP-bevoegdheden of zelfs bij het deactiveren ervan wanneer werknemers het bedrijf verlaten. Oudere ERP-systemen lopen in dat opzicht vaak een groter risico. Dat komt door de verouderde functionaliteit voor bevoegdheden en een gebrek aan geautomatiseerde workflows om bevoegdheidsprocedures te ondersteunen.

 

Oplossing: moderne ERP-systemen worden gebouwd met risico's in het achterhoofd, waaronder ingebouwde functionaliteit voor beschikbaarstelling en bevoegdheden en workflows die zowel geavanceerd als eenvoudig te gebruiken zijn. Daarnaast kunnen bedrijven ruimere end-to-endbeveiliging implementeren met behulp van hulpmiddelen voor Identity Access Governance.

 

3. Ontoereikende beveiligingstraining

 

Het laten rondgaan van een trainingsmemo met je officiële phishingbeleid is niet hetzelfde als het coördineren van regelmatige, interactieve leersessies met al je teams. Uit een recent onderzoek bleek zelfs dat 78% van de organisaties die dachten dat hun trainingsmethoden afdoende waren om phishingrisico's uit te sluiten, verrast was dat 31% van hun werknemers niet slaagde voor een basistest over phishing. Zwakke wachtwoorden, gebrek aan kennis over phishing en onvoldoende begrepen beveiligingsprotocollen betekenen dat zelfs de meest loyale en hardwerkende medewerkers je bedrijf ongewild in gevaar kunnen brengen.

 

Oplossing: veel werknemers zijn zich gewoon niet bewust van de manieren waarop hun onschuldige handelingen risico's of schade kunnen veroorzaken. Laat cybersecuritytraining niet over aan de verkeerde mensen en zet dit punt niet laag op de agenda ten opzichte van andere prioriteiten. Voer samen met een professional een risicoaudit in je bedrijf uit en stel vast wat de zwakste schakels in de beveiliging zijn. Stel samen met je teamleiders plannen op voor regelmatige trainingen, afgestemd op hun specifieke behoeften. Implementeer geautomatiseerde roosters voor elke afdeling, met testdatums, verlengingen van certificaten en bijscholingscursussen.

 

4. Tekort aan ervaren ERP-beveiligingspersoneel

 

Bij bedrijven met oudere ERP-software moeten IT-teams zich volledig bewust zijn van de specifieke en talloze ERP-beveiligingsrisico's die daarmee samenhangen. Ze moeten in staat zijn om eersteklas beveiligingsmethodieken uit te voeren en te implementeren.  Dit omvat: het in kaart brengen van bedreigingen, het uitvoeren van kwetsbaarheidsscans en penetratietests, het opstellen van plannen voor incidentrespons en het integreren van de nieuwste bewakingstools voor cybersecurity in verouderde systemen. Onder de huidige omstandigheden is het niet alleen moeilijk om bekwame professionals te vinden en te behouden. Het is ook kostbaar en tijdrovend om het groeiende aantal trainingssessies in te passen dat nodig is om ervoor te zorgen dat IT-teams gelijke tred houden met de razendsnelle ontwikkelingen op het gebied van digitale beveiliging.

 

Oplossing: Cloud ERP biedt een enorme verlichting voor deze groeiende zorg. De zware beveiligingsfuncties zoals permanente bewaking en herstel bij calamiteiten worden allemaal door de leverancier afgehandeld; naadloos en in de cloud. Bovendien kunnen de dagelijkse en meer tijdrovende IT-taken, zoals patchbeheer, testen en upgrades, ook in de cloud worden geautomatiseerd en zonder merkbare onderbreking plaatsvinden.

 

5. Normen voor beveiliging en governance niet naleven

 

Naarmate ERP-systemen in steeds meer afdelingen worden geïntegreerd, wordt het beeld van kwetsbare gegevens steeds diverser. Denk hierbij aan zaken als veilige productinformatie, medische dossiers of intellectuele eigendom. Hoe gevoeliger de gegevens (bijvoorbeeld van financiële, medische of juridische aard), des te waarschijnlijker is het dat ze hun eigen unieke beveiligings- en opslagprotocollen hebben. Als van deze protocollen wordt afgeweken of wanneer ze niet bekend zijn, kan dit niet alleen leiden tot mogelijk lekken van deze gegevens, maar ook tot sancties en zelfs juridische gevolgen bij afwijking.

 

Oplossing: tegenwoordig kunnen de beste ERP-systemen, met gebruik van moderne databases, de gecentraliseerde automatisering en controle van een reeks complianceprotocollen voor een breed scala aan datatypen faciliteren. Dit houdt in dat IT-teams kunnen samenwerken met vakspecialisten uit het hele bedrijf om allereerst de juiste beveiligingsnormen te bepalen. Vervolgens automatiseren ze samen de systemen en gebruikersdashboards, om ervoor te zorgen dat voortaan de juiste protocollen worden gevolgd.

 

6. Enkelvoudige verificatie

 

Enkelvoudige verificatie (één wachtwoord of toegangscode) is gewoon niet genoeg. Hoewel de meeste bedrijven zich hiervan tegenwoordig bewust zijn, verzuimt meer dan 40% van de organisaties nog steeds om tweestapsverificatie te gebruiken voor alle potentiële ERP-invoerpunten. Met andere woorden, het heeft geen zin om je meest cruciale gegevens te beschermen met tweestapsverificatie (2FA) als andere, daaraan gekoppelde zaken zoals IoT-apparaten of afdelingsapplicaties, kwetsbaar blijven omdat daarvoor nog enkelvoudige verificatie wordt gebruikt.

 

Oplossing: het is van het grootste belang voor bedrijven van elke omvang om onmiddellijk 2FA-protocollen (inclusief beveiligingstokens of biometrische scans) te implementeren op alle potentiële ERP-invoerpunten. Dit is een eenvoudige en goedkope maar uitermate belangrijke oplossing.

 

7. Gegevensexport

 

Ondanks officiële protocollen zetten gebruikers graag informatie in spreadsheets of slaan ze deze op in andere formaten. Zo vormen de risico's van gegevensexport nog steeds een probleem voor bedrijven.

 

Oplossing: bedrijven kunnen dit probleem enigszins in de hand houden door downloads van Excelbestanden te blokkeren of door gebruikersacties in de database te volgen. Maar uiteindelijk is de beste bescherming tegen gegevensexport het beperken van het aantal mensen dat toegang heeft tot kwetsbare gegevens. Bij een modern ERP-systeem kunnen afdelingshoofden eenvoudig bepalen en instellen wie wat te zien krijgt, maar ook wie toegang heeft tot welke elementen van een dataset en deze mag bekijken. In tegenstelling tot bestaande systemen zijn bij Cloud ERP-systemen beveiligingsfuncties geïntegreerd. Deze kunnen zo worden geautomatiseerd dat ze meldingen verzenden en ongeautoriseerde opdrachten, zoals downloads of gegevensexport, voorkomen.  

placeholder

Ontdek moderne Cloud ERP-software

Kies voor een Cloud ERP-systeem met wereldwijde beveiligingsnormen die je gegevens beschermen.

Best practices voor ERP-cyberbeveiliging

Veel van de problemen en oplossingen die we hebben besproken, hebben betrekking op bredere beveiligingsstrategieën om je personele en technologische middelen in een wereld van cybercriminaliteit te optimaliseren. Hieronder staan enkele aanvullende basisprincipes van best practices om je maximaal te laten profiteren van de diensten en voordelen van beveiligingsfuncties en -kenmerken van Cloud ERP:

  • Zorg ervoor dat er Service Level Agreements zijn, voor bedrijfscontinuïteit, herstel bij calamiteiten en uptimemogelijkheden. Tools op cloudbasis kunnen helpen om deze overeenkomsten op één plaats te integreren, voor wereldwijde activiteiten, en om updates te automatiseren. 
  • Laat een hyperscaler audits uitvoeren. Deze onafhankelijke audits door derden zijn essentieel om bedrijfsoverkoepelende compliance in elke fase te waarborgen en om zaken als Cybersecurity Maturity Model Certification (CMMC) en Zero Trust-inspanningen te ondersteunen.
  • Versleutel al je gegevens en concentreer je op het versterken van processen, protocollen en projectmanagement voor alle teams die betrokken zijn bij ERP-beveiliging. Dit geldt met name voor patchbeheer, beveiligingsconfiguratie, het scannen op kwetsbaarheden en risicobeheer.
  • Investeer wat nodig is in advisering door de beste externe cybersecurityexperts en zorg ervoor dat al je teams goed op de hoogte zijn van hun rollen en verantwoordelijkheden op het gebied van risicobeperking.
  • Wees er zeker van dat permanente bewaking en een proactief beveiligingsbeheer in je hele bedrijf zijn geïmplementeerd. Zo verbeter je de reactie op incidenten. Dit geldt niet alleen voor je ERP-systeem, maar voor alle systemen, apparaten of IoT-middelen waarvandaan een hacker toegang kan krijgen.
  • Gebruik een domeingebaseerde ERP-testaanpak voor een consistent en repliceerbaar testproces om veelvoorkomende actorvectoren over de hele linie aan te pakken.

Volgende stappen naar een betere ERP-beveiliging

Cybercriminaliteit raakt ons allemaal en als bedrijven de strijd ermee willen aangaan, moeten ze een veelzijdige aanpak hanteren. Cloud ERP-technologieën zijn een geweldig beginpunt. Ze bieden bedrijven een uniform uitgangspunt om een krachtige en effectieve verdediging te coördineren en te automatiseren.

 

Maar uiteindelijk staan of vallen je inspanningen voor cybersecurity met je mensen. Je teamleiders en werknemers zijn onderdeel van de oplossing, maar je kunt niet van hen verwachten dat ze het allemaal zelf uitzoeken. Een goede eerste stap in je ERP-cyberbeveiligingstraject is om communicatie- en opleidingsplannen op te stellen met boeiende deskundigen, leren in de praktijk, visuele en praktische lesplannen en zelfs enkele voorbeelden uit de praktijk van wat er kan gebeuren als het fout gaat. Specifieke opleiding en certificering zijn belangrijk. Nog belangrijker is het om iedereen van het onderwerp bewust te maken en belangstelling ervoor op te wekken.

 

Digitale veiligheid speelt tegenwoordig een belangrijke rol in het leven van ons allemaal. Waarom zouden we van het leren over cybersecurity dan geen boeiende en intrigerende ervaring maken?

placeholder

ERP-beveiliging: het zit allemaal in de cloud 

Ga naar het SAP Trust Center voor meer informatie over onze aanpak van beveiliging wereldwijd. 

SAP Insights nieuwsbrief

placeholder
Meld je vandaag nog aan

Meld je aan voor onze nieuwsbrief en krijg belangrijke inzichten.

Lees meer

Terug naar boven