Hoppa till Innehåll
Kvinnobevakning, säkerhet

ERP-säkerhet i en cyberbrottsvärld

 

Denna webbsida har maskinöversatts för att underlätta för dig. SAP ger inga garantier angående korrektheten eller fullständigheten av maskinöversättningen. Den ursprungliga engelska webbsidan hittar du genom att använda världskartan i det övre högra hörnet på denna sida.

De moderna ERP-säkerhetsfunktionerna utvecklas och förbättras för varje dag som går. Så varför känner sig företagen mer exponerade än någonsin tidigare? Delvis beror det på den snabba accelerationen av digital teknik och molnteknik. Under 2021 fanns det över 10 miljarder IoT-enheter över hela världen. År 2025 förutspår IDC att antalet kommer att stiga till över 30 miljarder – och fortsätta att växa exponentiellt. Många av dessa enheter ingår i företagens nätverk för industriella Internet of Things (IIoT) – och som sådana matar de normalt in data i ett centralt ERP-system. I dag är ett modernt ERP-moln avgörande för de flesta företag, vilket hjälper till att förena all affärsverksamhet inom ett och samma system. Men denna kärnegenskap kan också vara en svaghet när det gäller cybersäkerhet, vilket gör den till en gemensam portal till en massa kritisk information. 

Moderna utmaningar i fråga om ERP-säkerhet och mjukvarusäkerhet

Traditionella strategier för cybersäkerhet är inte längre tillräckliga. Idén om att bygga en säker omkrets kring specifika IT-tillgångar eller databaser, och sedan begränsa och kontrollera åtkomsten, är inte effektiv i ett molnanslutet ekosystem.

 

I en ERP-molnmiljö omkalibrerar organisationer sin säkerhetsstrategi när de delar mer ansvar med offentliga molnleverantörer, och fokuserar därför mindre på infrastrukturen och mer på de ansvarsområden på applikationssidan som de fortsätter att äga.

 

Ransomware och phishing-attacker innebär en snabbt växande utmaning. Eftersom ERP är integrerade över fler avdelningar finns det ett större antal användare med behörigt tillträde vilket – för hackare – innebär en rikare jaktmark för phishing-mål. En bredare operativ ERP-integration innebär också en bredare räckvidd och ett bredare utbud av värdefull data som ingår i ERP-systemet – vilket också höjer dess värde som ett hackningsmål. Med gamla ERP-system kräver dessutom försök att utöka ERP-integrationen till nya avdelningar ofta bolt-ons och anpassad kodning, vilket kan öka den potentiella angreppsytan. Med andra ord: det finns fler svaga punkter på fler ställen. Detta förvärras av en ökning av distansarbetare och gig-medarbetare som behöver externa åtkomstpunkter.

 

Cyberkriminella kan stjäla och utplåna, men de kan också stänga viktiga system och slipa hela verksamheten till ett stopp. Stora organisationer (särskilt inom sektorer som finans och försäkring, tillverkning, företagstjänster och hälso- och sjukvård) har länge varit ett mål, men små och medelstora företag attackeras i allt större utsträckning – ofta på grund av deras brist på säkerhetsresurser och expertis.

Var 11:e

s

Ett företag drabbades av ransomware 2021

1,85 USD

M

Genomsnittlig kostnad för att återhämta sig från ett överfallsattack

43

%

Av alla uppgiftsöverträdelser berör små och medelstora företag

Vill du uppgradera ditt ERP-system?

Utforska vår guide för att växla till molnbaserad ERP-mjukvara.

Vilka typer av ERP-data är målet för cyberbrottslingar?

Hackare stjäl alla typer av data av alla möjliga anledningar. Men för det mesta är cyberbrottslingar från företag efter data, inklusive ERP-data, som snabbast går att få pengar till, antingen genom att utplåna det företag som blivit offer eller genom att skingra – eller på annat sätt skada – kunder eller personer som namnges i de stulna uppgifterna. Detta kan leda till försök att direkt få tillgång till medel genom kreditkortsbrott eller penningöverföringar. Men eftersom ekonomiska databaser och ERP-databaser tenderar att vara några av de mest välsäkrade, råkar hackare i regel ödeläggelse genom att få tillgång till andra typer av mer tillgängliga data.

 

Ytterligare en risknivå för företagen beror inte bara på den skada som deras vinster, anseende och kunder vållats – utan också på risken för grupptalan som väcks av de personer som nämns i de stulna uppgifterna. I de fall då dessa uppgifter inkluderar känsliga personuppgifter, juridiska eller medicinska uppgifter kan skadan från rättstvister vara irreparabel.

Topp 7 ERP-säkerhetsproblem och hur de ska åtgärdas

1. Inaktuell mjukvara

 

De bästa ERP-leverantörerna är obevekliga i sin kamp mot nya och framväxande säkerhetsrisker. Varje gång en sådan risk identifieras utvecklas och distribueras ett säkerhetsplåster till kunderna. Tidigare har vissa företag ignorerat eller försenat genomförandet av dessa uppdateringar under lång tid, vilket har gjort deras system sårbara. Detta gäller särskilt äldre ERP som har genomgått ett stort antal anpassningar och lösningar, vilket gör patch-implementeringen mer problematisk att hantera.

 

Fix: Uppdateringar och säkerhetslappar måste genomföras regelbundet – trots risk för avbrott och stillestånd – eftersom nya hot dyker upp hela tiden. För att kunna tillämpa patchar och uppdateringar för lokal ERP-lösning krävs en riskbaserad metod för att prioritera dem som har mest säkerhetspåverkan, och även om det inte är någon enkel eller icke-störande process är det viktigt för att minska riskerna. Detta gäller även för företag som har ett hybrid-ERP-landskap.

 

Med molnbaserad ERP-mjukvara är patch-distribution och implementering en sömlös process som fortsätter bakom kulisserna av tjänsteleverantören utan avbrott i verksamheten. Dessutom kan automatiserad patch-hantering som följer en molnbaserad ERP-implementering bidra till att säkerställa efterlevnad av ständigt föränderliga regler för regelefterlevnad och styrning.

 

2. Behörighetsproblem

 

I dagens affärsklimat pressas HR-chefer, IT-chefer och andra gruppchefer att få nya användare att komma igång så snabbt som möjligt, vilket kan leda till bristande stringens när ERP-behörigheter delas ut, eller till och med inaktiveras när anställda lämnar företaget. Gamla ERP-system löper ofta större risk för denna situation på grund av föråldrade autentiseringsfunktioner och brist på automatiserade arbetsflöden som stöder auktorisering.

 

Åtgärda: Moderna ERP-system är uppbyggda med risk i åtanke, inklusive inneboende funktioner för anskaffning och autentisering och arbetsflöden som är sofistikerade men lätta att använda. Dessutom kan företag införa en bredare säkerhet från början till slut med hjälp av verktyg för styrning av identitetstillgång.

 

3. Otillräcklig säkerhetsutbildning

 

Att cirkulera ett utbildningsmeddelande med din officiella phishing-policy är inte detsamma som att samordna regelbundna, interaktiva utbildningstillfällen med alla dina team. Faktum är att 78 % av de organisationer som ansåg att deras utbildningsmetoder var tillräckliga för att eliminera falliseringsrisker i en färsk undersökning förvånade sig över att 31 % av deras anställda inte klarade ett grundläggande test. Svaga lösenord, brist på phating savvy och dåligt förstådda säkerhetsprotokoll gör att även dina mest lojala och flitiga medarbetare omedvetet kan utsätta din verksamhet för risker.

 

Fix: Många anställda saknar helt enkelt kunskap om hur deras oskyldiga handlingar kan orsaka risk eller skada. Lämna inte cybersäkerhetsutbildningen till fel personer eller placera den lågt på dagordningen mot andra prioriteringar. Arbeta med en yrkesman för att utföra en riskgranskning i hela företaget för att ta reda på var de svagaste säkerhetsförbindelserna kan gömma sig. Arbeta med dina teamledare för att bygga upp regelbundna träningsplaner som tillgodoser deras särskilda behov. Implementera automatiska scheman för varje avdelning, med testdatum, förnyade certifikat och repetitionskurser.

 

4. Brist på erfaren ERP-säkerhetspersonal

 

För företag som använder äldre ERP-program måste IT-teamen ha full förståelse för sina specifika och enorma säkerhetsrisker i ERP – och kunna köra och implementera bästa säkerhetsrutiner i klassen.  Detta inbegriper identifiering av hot, genomförande av sårbarhetsundersökningar och penetreringstest, upprättande av incidentberedskapsplaner och integrering av de senaste verktygen för cybersäkerhetsövervakning i föråldrade system. I dagens klimat är det inte bara svårt att hitta och behålla kvalificerad personal, utan det är också dyrt och tidskrävande att passa in i det ökande antalet utbildningstillfällen som krävs för att IT-teamen ska kunna hålla jämna steg med den blixtsnabba utvecklingen av den digitala säkerheten.

 

Fix: Ett molnbaserat ERP-system är en enorm lättnad för denna växande oro. De tunga säkerhetsfunktionerna som övervakning dygnet runt och katastrofhantering hanteras alla av leverantören – sömlöst, i molnet. Dessutom kan de dagliga och mer tidskrävande IT-uppgifterna som patch-hantering, test och uppgraderingar – också automatiseras i molnet och ske utan märkbart avbrott.

 

5. Underlåtenhet att följa standarder för säkerhet och styrning

 

I takt med att ERP-system integreras i allt fler avdelningar blir omfattningen av sårbara data allt mer varierande, inklusive saker som säker produktinformation, patientjournaler eller immateriella rättigheter. Ju känsligare uppgifterna är (finansiella, medicinska eller juridiska) desto mer sannolikt är det att de har egna unika säkerhets- och lagringsprotokoll. Underlåtenhet att följa – eller vara medveten om – dessa protokoll kan inte bara leda till potentiella överträdelser av dessa uppgifter, utan även till påföljder och till och med rättsliga återverkningar vid bristande efterlevnad.

 

Fix: I dag kan de bästa ERP:erna – med moderna databaser – underlätta den centraliserade automatiseringen och kontrollen av en rad konformitetsprotokoll för en mängd olika datatyper. Det innebär att IT-teamen kan arbeta med ämnesspecialister över hela verksamheten för att initialt fastställa korrekta säkerhetsstandarder, och sedan automatisera system och användardashboards för att säkerställa att rätt protokoll följs framåt.

 

6. Enfaktorsautentisering

 

En faktor (ett enda lösenord eller en lösenkod) räcker helt enkelt inte. I dag är de flesta företag medvetna om detta, men över 40 % av organisationerna använder fortfarande inte tvåstegsautentisering för alla potentiella ERP-ingångar. Med andra ord är det ingen idé att skydda dina mest uppenbart avgörande data med tvåfaktorsautentisering (2FA) om andra sammankopplade saker som IoT-enheter eller avdelningsapplikationer lämnas sårbara med enstegslösenord.

 

Fix: Det är viktigt för företag av alla storlekar att omedelbart implementera 2FA-protokoll (inklusive säkerhetstoken eller biometriska skanningar) över alla potentiella ERP-ingångar. Det här är en enkel, billig fix som är oerhört viktig.

 

7. Dataexport

 

Trots officiella protokoll är det fortfarande ett problem för företagen att lägga in saker i kalkylblad eller spara dem i andra format och att exportera data.

 

Korrigera: Företag kan styra detta något genom att spärra Excel-nedladdningar eller spåra användaråtgärder i databasen. Men när allt kommer omkring är det bästa sättet att skydda mot dataexport att begränsa antalet personer som har tillgång till utsatta uppgifter. Med ett modernt ERP-system kan avdelningscheferna enkelt bestämma och ställa in inte bara vem som får se vad, utan vilka element i en datauppsättning de kan komma åt och se. Till skillnad från gamla system har molnleverantörer integrerade säkerhetsfunktioner som kan automatiseras för att skicka meddelanden och förhindra obehöriga kommandon, till exempel nedladdningar eller dataexporter.  

Utforska en modern ERP-molnmjukvara

Få ett ERP-moln med globala säkerhetsstandarder som skyddar dina data.

Bästa praxis för cybersäkerhet i ERP

Många av de frågor och rättningar som vi har diskuterat handlar om bredare säkerhetsstrategier för optimering av dina mänskliga och tekniska resurser i en cyberbrottsvärld. Följande är ytterligare grunderna för bästa praxis som hjälper dig att få ut mesta möjliga av de tjänster och fördelar som är kopplade till molnbaserade ERP-säkerhetsfunktioner och -funktioner:

  • Se till att det finns servicenivåavtal för driftskontinuitet, katastrofåterställning och upptidsförmåga. Cloud-baserade verktyg kan hjälpa till att integrera dessa avtal på ett och samma ställe, över globala operationer, och automatisera uppdateringar. 
  • Utför hyperskalering, tredjepartsrevisioner. Dessa oberoende tredjepartsrevisioner är av avgörande betydelse för att säkerställa överensstämmelse mellan företag i alla skeden och för att stödja sådant som CMMC (CyberSecurity Moer Model Certification) och Noll Trust.
  • Kryptera alla dina data och fokusera på att stärka processer, protokoll och projektstyrning för alla team som är involverade i ERP-säkerhetsrutiner. Särskilt inom patch-hantering, säkerhetskonfiguration, sårbarhetsskanning och hothantering.
  • Gör nödvändiga konsultinvesteringar i externa cybersäkerhetsexperter i världsklass för att se till att alla dina team är väl bekanta med sina roller och ansvarsområden inom riskreducering.
  • Säkerställ att övervakning dygnet runt och proaktiv säkerhetshantering har implementerats i hela din verksamhet för att förbättra incidentens reaktionsförmåga. Detta inkluderar ERP och alla system, enheter eller IoT-tillgångar som en hacker kan få åtkomst till.
  • Använd en domänbaserad ERP-testmetod för att tillhandahålla en konsekvent och replikerbar testprocess för att hantera vanliga aktörvektorer över hela anfallsytan.

Nästa steg mot bättre ERP-säkerhet

It-brottsligheten påverkar oss alla, och om företagen ska kunna bekämpa den måste de ha en mångsidig strategi. Den molnbaserade ERP-tekniken är ett bra utgångsläge som ger företagen en enhetlig bas för att samordna och automatisera ett kraftfullt och effektivt försvar.

 

Men i slutändan börjar och slutar era cybersäkerhetsinsatser med ert folk. Dina teamledare och anställda är en del av lösningen, men de kan inte förväntas räkna ut den på egen hand. Ett bra första steg på din cybersäkerhetsresa med ERP är att bygga upp kommunikations- och utbildningsplaner som involverar intressanta experter, praktisk inlärning, visuella och praktiska lektionsplaner och till och med några verkliga exempel på vad som kan hända när det går fel. Särskilda utbildnings- och certifieringsåtgärder är viktiga, men det fungerar också bäst för att öka den allmänna medvetenheten och intresset för ämnet.

 

Digital säkerhet är nu en stor del av alla våra liv, så varför inte göra lärande om cybersäkerhet till en engagerande och intrigerande upplevelse?

ERP-säkerhet: Allt finns i molnet

Besök SAP Trust Center för mer information om vår globala säkerhetsmetod. 

SAP Insights nyhetsbrev

Prenumerera idag

Få viktiga insikter genom att prenumerera på vårt nyhetsbrev.

Ytterligare läsning

Tillbaka till början