Moderne ERP-sikkerhetsfunksjoner utvikler og forbedrer seg innen dagen. Så hvorfor føler bedrifter seg mer utsatt enn noen gang før? Det er delvis på grunn av den raske akselerasjonen av digitale og skybaserte teknologier. Innen 2025 forutsier IDC at antall IoT-enheter skal stige til over 30 milliarder– og fortsetter å vokse eksponentielt. Mange av disse enhetene er en del av bedriftens Industrial Internet of Things-nettverk (IIoT) – og som sådan mater de vanligvis data inn i et sentralt ERP-system. I disse dager er et moderne skybasert ERP-system virksomhetskritisk for de fleste bedrifter, og bidrar til å forene alle forretningsoperasjoner under ett enkelt system. Likevel kan denne kjernefunksjonen også være en svakhet når det gjelder cybersikkerhet, noe som gjør den til en one-stop portal til mye kritisk informasjon.

Moderne sikkerhetsutfordringer innen ERP og programvare

Tradisjonelle tilnærminger til cybersikkerhet er ikke lenger tilstrekkelig. Ideen om å bygge en sikker omkrets rundt bestemte IT-ressurser eller databaser, og deretter begrense og kontrollere tilgang, er ikke effektiv i et skytilkoblet økosystem.

I et skybasert ERP-miljø rekalibrerer organisasjoner sin tilnærming til sikkerhet ettersom de deler mer ansvar med offentlige skyleverandører, og fokuserer derfor mindre på infrastrukturen og mer på ansvarsområdene på applikasjonssiden de fortsetter å eie.

Ransomware og phishing-angrep gir en raskt voksende utfordring. Ettersom ERP-er er integrert på tvers av flere avdelinger, er det større antall brukere med autorisert tilgang som – for hackere – betyr et rikere jaktområde for phishing-mål. Med bredere operasjonell ERP-integrering menes også et bredere omfang og et bredt spekter av verdifulle data i ERP-systemet – som også øker verdien som et hackingsmål. I tillegg, med eldre ERP-systemer, krever forsøk på å utvide ERP-integrering til nye avdelinger ofte bolt-ons og tilpasset koding som kan tjene til å øke den potensielle angrepsoverflaten. Med andre ord: det er mer svake punkter på flere steder. Dette er sammensatt av en økning i fjerntliggende og gig arbeidere som krever eksterne aksesspunkter.

Cyberkriminelle kan stjele og presse, men de kan også stenge ned essensielle systemer og male hele operasjoner for å stoppe. Store organisasjoner (spesielt i sektorer som finans og forsikring, produksjon, forretningstjenester og helsetjenester) har lenge vært et mål, men små og mellomstore bedrifter blir i økende grad angrepet – ofte på grunn av mangel på sikkerhetsressurser og ekspertise.

Hvilke typer ERP-data er mål for cyberkriminelle?

Hackere stjeler alle typer data for alle slags grunner. Men for det meste er bedriftens nettkriminelle etter data, inkludert ERP-data, som raskt kan tjene penger, enten ved å utvide det victimiserte selskapet selv eller ved å svindle – eller på annen måte skade – kunder eller enkeltpersoner som er navngitt i de stjålne dataene. Dette kan føre til forsøk på å få direkte tilgang til midler gjennom kredittkortbrudd eller pengeoverføringer. Men ettersom finans- og ERP-databaser har en tendens til å være noen av de mest godt sikrede, vil hackere vanligvis skape kaos ved å få tilgang til andre typer mer tilgjengelige data.

Et ekstra lag av risiko for bedrifter kommer ikke bare i skaden på deres fortjeneste, rykte og kunder – men fra risikoen for klassehandlingssøksmål brakt av de personene som er navngitt i de stjålne dataene. I tilfeller der disse dataene inkluderer personers sensitive personlige, juridiske eller medisinske informasjon, kan skaden fra rettstvister være uopprettelig.

Topp 7 ERP-sikkerhetsproblemer og hvordan du løser dem

1. Foreldet programvare

De beste ERP-leverandørene er uten unntak i deres kamp mot nye og nye sikkerhetsrisikoer. Når en slik risiko identifiseres, utvikles og distribueres det et sikkerhetsplaster til kundene. Tidligere har noen bedrifter ignorert eller forsinket implementeringen av disse oppdateringene over lengre tid, slik at systemene deres er sårbare. Dette gjelder spesielt for eldre ERP-er som har gjennomgått en rekke tilpasninger og midlertidige tilpasninger, noe som gjør patchimplementeringen mer problematisk å håndtere.

Løsning: Oppdateringer og sikkerhetsoppdateringer må implementeres regelmessig – til tross for risikoen for avbrudd og nedetid – fordi nye trusler dukker opp hele tiden. Bruk av patcher og oppdateringer for lokal ERP krever en risikobasert tilnærming for å prioritere de med de fleste sikkerhetsmessige implikasjoner, og selv om det ikke er en enkel eller ikke-forstyrrende prosess, er nøkkelen til å redusere risikoene. Dette gjelder også for bedrifter som har et hybrid ERP-miljø.

Med skybasert ERP-programvare er patchdistribusjon og implementering en sømløs prosess som foregår bak kulissene av tjenesteleverandøren uten avbrudd i virksomheten. I tillegg kan automatisert patchadministrasjon som leveres med en skybasert ERP-distribusjon, bidra til å sikre overholdelse av stadig endrede samsvars- og styringsregler.

2. Autorisasjonsproblemer

I dagens forretningsklima er HR, IT og andre teamledere presset på for å få nye brukere opp og kjøre så raskt som mulig, noe som kan føre til manglende strenghet når de håndterer ERP-autorisasjoner, eller til og med deaktiverer dem når medarbeidere forlater foretaket. Gamle ERP-systemer er ofte i større fare for denne situasjonen på grunn av utdaterte autentiseringsfunksjoner og mangel på automatiserte workflower som støtter autorisasjon.

Løsning: Moderne ERP-systemer er bygget med tanke på risiko, inkludert iboende klargjørings- og autentiseringsfunksjoner og arbeidsflyt som er sofistikerte, men likevel enkle å bruke. I tillegg kan bedrifter implementere mer bred ende-til-ende-sikkerhet ved hjelp av styringsverktøy for identitetstilgang.

3. Utilstrekkelig sikkerhetsopplæring

Å sirkulere et treningsnotat med din offisielle phishing-policy er ikke det samme som å koordinere vanlige, interaktive læringsøkter med alle teamene dine. Faktisk, i en nylig undersøkelse, 78% av organisasjonene som følte at deres treningsmetoder var tilstrekkelig til å eliminere phishing-risiko - ble overrasket over å finne at 31% av deres ansatte mislyktes i en grunnleggende phishing-test. Svake passord, mangel på nettfisking og dårlig forståtte sikkerhetsprotokoller betyr at selv de mest lojale og flittige medarbeiderne dine uten tvil kan sette virksomheten i fare.

Løsning: Mange ansatte mangler rett og slett bevissthet om hvordan deres uskyldige handlinger kan forårsake risiko eller skade. Ikke la cybersikkerhetstrening til feil mennesker, og heller ikke sette det lavt på agendaen mot andre prioriteringer. Samarbeid med en profesjonell for å utføre en risikorevisjon på tvers av bedriften din for å finne ut hvor de svakeste sikkerhetslenkene kan gjemme seg. Samarbeid med teamlederne dine for å bygge regelmessige opplæringsplaner som dekker deres spesifikke behov. Implementer automatiserte tidsplaner for hver avdeling, med testdatoer, sertifikatfornyelser og oppfriskningskurs.

4. Mangel på erfarne ERP-sikkerhetspersonale

For bedrifter som kjører eldre ERP-programvare, må IT-teamene forstå deres spesifikke og utallige sikkerhetsrisikoer i ERP fullt ut – og kunne kjøre og implementere førsteklasses sikkerhetspraksis. Dette inkluderer å identifisere trusler, utføre sårbarhetsskanninger og penetrasjonstesting, opprette hendelsesresponsplaner og integrere de nyeste verktøyene for overvåking av cybersikkerhet i utdaterte systemer. I dagens klima er det ikke bare vanskelig å finne og beholde dyktige fagfolk, det er også dyrt og tidkrevende å passe inn i det økende antallet treningsøkter som kreves for å holde IT-teamene i gang med lyntempoet i den digitale sikkerhetsutviklingen.

Løsning: Cloud ERP gir enorm lettelse for denne voksende bekymringen. De kraftige sikkerhetsfunksjonene som 24/7 overvåking og katastrofegjenoppretting blir alle håndtert av leverandøren – sømløst, i skyen. Dessuten kan de daglige og mer tidkrevende IT-oppgavene som patchadministrasjon, testing og oppgraderinger – også automatiseres i skyen og finne sted uten merkbare avbrudd.

5. Unnlatelse av å overholde sikkerhets- og styringsstandarder

Ettersom ERP-systemer er integrert på tvers av flere og flere avdelinger, vokser omfanget av sårbare data i økende grad, inkludert ting som sikker produktinformasjon, medisinske journaler eller intellektuell eiendom. Jo mer sensitive dataene (for eksempel finansielle, medisinske eller juridiske) er, desto mer sannsynlig er det å ha sine egne unike sikkerhets- og lagringsprotokoller. Unnlatelse av å overholde – eller være klar over – disse protokollene, kan ikke bare føre til potensielle brudd på disse dataene, men også til sanksjoner og til og med rettslige konsekvenser for manglende overholdelse.

Fix: I dag kan de beste ERP-ene – med moderne databaser – legge til rette for sentralisert automatisering og kontroll av en rekke samsvarsprotokoller for et bredt spekter av datatyper. Dette betyr at IT-team kan samarbeide med fagspesialister på tvers av virksomheten for å først fastsette de riktige sikkerhetsstandardene, og deretter automatisere systemer og brukerdashboards for å sikre at de riktige protokollene overholdes fremover.

6. Autentisering med én faktor

En faktor (et enkelt passord eller sikkerhetskode) er rett og slett ikke nok. Selv om de fleste bedrifter i disse dager er klar over dette, klarer ikke mer enn 40 % av organisasjonene å bruke totrinnsautentisering på alle potensielle ERP-startpunkt. Med andre ord, det er ikke noe punkt som beskytter dine mest åpenbart viktige data med to-faktor (2FA) autentisering hvis andre tilkoblede ting som IoT-enheter eller avdelingsprogrammer er sårbare med ett-trinns passord.

Løsning: Det er viktig for bedrifter i alle størrelser å umiddelbart implementere 2FA-protokoller (inkludert sikkerhetstoken eller biometriske skanninger) på tvers av alle potensielle ERP-inngangspunkter. Dette er en enkel, billig løsning som er ekstremt viktig.

7. Dataeksport

Til tross for offisielle protokoller, vil brukere som å plassere ting i regneark eller lagre dem i andre formater og dataeksportrisikoer, fortsatt være et problem for bedrifter.

Fix: Bedrifter kan kontrollere dette noe ved å blokkere Excel-nedlastinger eller spore brukerhandlinger i databasen. Men på slutten av dagen, den beste måten å beskytte mot dataeksport, er å begrense antall personer som har tilgang til sårbare data. Med en moderne ERP kan avdelingsledere enkelt bestemme og angi ikke bare hvem som får se hva, men hvilke elementer av et datasett de kan få tilgang til og vise. I motsetning til eldre systemer har skybaserte ERP-er integrerte sikkerhetsfunksjoner som kan automatiseres for å sende meldinger og forhindre uautoriserte kommandoer, for eksempel nedlastinger eller dataeksporter.

Beste praksis for cyber-ERP-sikkerhet

Mange av problemene og reparasjonene som vi har diskutert, er knyttet til bredere sikkerhetsstrategier for å optimalisere menneskelige og teknologiske ressurser i en nettkriminalitetsverden. Følgende er noen ekstra grunnleggende fremgangsmåter for å hjelpe deg med å få mest mulig ut av tjenestene og fordelene knyttet til nettskybaserte ERP-sikkerhetsfunksjoner:

• Sørg for at servicenivåavtaler er på plass for forretningskontinuitet, katastrofegjenoppretting og oppetidsmuligheter. Cloud-baserte verktøy kan bidra til å integrere disse avtalene på ett sted, på tvers av globale operasjoner, og automatisere oppdateringer.
• Utfør hyperscaler, tredjepartsrevisjoner. Disse uavhengige tredjepartsrevisjonene er avgjørende for å sikre samsvar på tvers av virksomheter på alle stadier og for å støtte ting som Cybersecurity Maturity Model Certification (CMMC) og Zero Trust innsats.
• Krypter alle dataene dine og fokuser på å styrke prosesser, protokoller og prosjektstyring for alle team som er involvert i ERP-sikkerhetspraksis. Spesielt innen områder som patchadministrasjon, sikkerhetskonfigurasjon, sårbarhetsskanning og trusselhåndtering.
• Gjør den nødvendige konsulentinvesteringen i eksterne cybersikkerhetseksperter i verdensklasse for å sikre at alle teamene dine er godt bevandret i sine roller og ansvar på områdene risikoreduksjon.
• Sørg for at overvåkning 24/7 og proaktiv sikkerhetsstyring er implementert på tvers av bedriften din for å forbedre svartiden for hendelser. Dette inkluderer ERP og alle systemer, enheter eller IoT-ressurser som en hacker kan få tilgang fra.
• Bruk en domenebasert ERP-testmetode for å gi en konsekvent og replikerbar testprosess for å håndtere vanlige aktørvektorer på tvers av hele angrepsoverflaten.

Neste steg for bedre ERP-sikkerhet

Cyberkriminalitet påvirker oss alle, og hvis bedrifter skal bekjempe det, må de ta en multi-pronged tilnærming. Cloud ERP-teknologier er et flott sted å starte – noe som gir bedrifter en enhetlig base for å koordinere og automatisere et kraftig og effektivt forsvar.

Men til slutt begynner og slutter cybersikkerhetsinnsatsen med dine personer. Teamlederne og medarbeiderne er en del av løsningen, men de kan ikke forventes å finne den ut alene. Et godt første trinn i ERP-cybersikkerhetsreisen, er å utarbeide kommunikasjons- og opplæringsplaner som omfatter interessante eksperter, håndfaste læringsplaner, visuelle og praktiske leksjoner, og til og med noen virkelige eksempler på hva som kan skje når det går galt. Særlige opplærings- og sertifiseringstiltak er viktige, men det virker også best å øke den generelle bevisstheten og interessen for emnet.

Digital sikkerhet er nå en stor del av alle våre liv, så hvorfor ikke gjøre læring om cybersikkerhet til en engasjerende og spennende opplevelse?