Moderna ERP-säkerhetsfunktioner utvecklas och förbättras för varje dag. Så varför känner sig företag mer utsatta än någonsin tidigare? Det beror delvis på den snabba accelerationen av digital teknik och molnteknik. År 2025 förutspår IDC att antalet IoT-enheter kommer att stiga till över 30 miljarder– och fortsätta växa exponentiellt. Många av dessa enheter är en del av företagens IIoT-nätverk (Industrial Internet of Things) – och som sådana matar de vanligtvis in data i ett centralt ERP-system. Idag är ett modernt affärssystem i molnet av avgörande betydelse för de flesta företag och bidrar till att förena all affärsverksamhet under ett enda system. Men denna centrala funktion kan också vara en svaghet när det gäller cybersäkerhet, vilket gör det till en enda portal i en hel del kritisk information.

Moderna säkerhetsutmaningar för ERP och programvara

Traditionella strategier för cybersäkerhet är inte längre tillräckliga. Idén att bygga en säker omkrets kring specifika IT-tillgångar eller databaser, och sedan begränsa och kontrollera åtkomsten, är inte effektiv i ett molnanslutet ekosystem.

I en molnbaserad ERP-miljö omkalibrerar organisationer sin säkerhetsstrategi eftersom de delar mer ansvar med offentliga molnleverantörer, och fokuserar därför mindre på infrastrukturen och mer på det ansvar de fortsätter att äga på applikationssidan.

Ransomware och phishing-attacker innebär en snabbt växande utmaning. Eftersom ERP är integrerade över fler avdelningar finns det fler användare med auktoriserad åtkomst som – för hackare – innebär en rikare jaktplats för nätfiskemål. Bredare operativ ERP-integration innebär också en bredare omfattning och ett större utbud av värdefulla data som ingår i affärssystemet – vilket också höjer dess värde som ett hackningsmål. Dessutom, med gamla ERP-system, försök att utöka ERP-integration till nya avdelningar kräver ofta bolt-ons och anpassad kodning som kan bidra till att öka den potentiella attackytan. Med andra ord: det finns fler svaga fläckar på fler ställen. Detta förvärras av en ökning av distansarbetare och gig-arbetare som behöver externa åtkomstpunkter.

Cyberbrottslingar kan stjäla och utrota, men de kan också stänga av viktiga system och slipa hela verksamheter till ett stopp. Stora organisationer (särskilt inom sektorer som finans och försäkring, tillverkning, företagstjänster och hälso- och sjukvård) har länge varit ett mål, även om små och medelstora företag i allt högre grad attackeras – ofta på grund av deras brist på säkerhetsresurser och expertis.

Vilka typer av ERP-data riktar sig cyberbrottslingar till?

Hackare stjäl alla typer av data av alla möjliga skäl. Men för det mesta är cyberbrottslingar i företag efter data, inklusive ERP-data, som snabbast kan tjäna pengar, antingen genom att pressa ut det drabbade företaget självt eller genom att svindla – eller på annat sätt skada – kunder eller individer som namnges i de stulna uppgifterna. Detta kan leda till försök att direkt få tillgång till medel genom kreditkortsintrång eller penningöverföringar. Men eftersom finansiella databaser och ERP-databaser tenderar att vara några av de mest väl säkrade, orsakar hackare vanligtvis förödelse genom att komma åt andra typer av mer tillgängliga data.

En ytterligare risknivå för företag kommer inte bara i den skada som uppstått på deras vinster, rykte och kunder – utan också på risken för grupptalan från de personer som nämns i de stulna uppgifterna. I de fall då dessa uppgifter inkluderar personers känsliga personuppgifter, juridiska eller medicinska information kan skadan från rättstvister vara irreparabel.

Topp 7 ERP-säkerhetsproblem och hur du åtgärdar dem

1. Inaktuell programvara

De bästa ERP-leverantörerna är obevekliga i sin kamp mot nya och framväxande säkerhetsrisker. När en sådan risk identifieras utvecklas och distribueras en säkerhetskorrigering till kunderna. Tidigare har vissa företag ignorerat eller försenat genomförandet av dessa uppdateringar under lång tid, vilket har gjort deras system sårbara. Detta gäller särskilt för äldre ERP som har genomgått många anpassningar och lösningar, vilket gör patch implementering mer problematisk att hantera.

Fix: Uppdateringar och säkerhetskorrigeringar måste implementeras regelbundet – trots risken för avbrott och driftstopp – eftersom nya hot uppstår hela tiden. Att applicera patchar och uppdateringar för on-premise-ERP kräver en riskbaserad metod för att prioritera de som har mest säkerhetskonsekvenser och även om det inte är en enkel eller icke-störande process, är det avgörande för att minska riskerna. Detta gäller även för de företag som har ett hybrid-ERP-landskap.

Med molnbaserad ERP-mjukvara är patch-distribution och implementering en sömlös process som pågår bakom kulisserna av tjänsteleverantören utan avbrott i verksamheten. Dessutom kan automatiserad patchhantering som kommer med en molnbaserad ERP-implementering bidra till att säkerställa efterlevnad av ständigt föränderliga efterlevnads- och styrningsregler.

2. Behörighetsproblem

I dagens affärsklimat pressas HR-chefer, IT-chefer och andra gruppchefer att få nya användare att komma igång så snabbt som möjligt, vilket kan leda till bristande stringens när ERP-behörigheter delas ut, eller till och med inaktiveras när anställda lämnar företaget. Gamla ERP-system löper ofta större risk för denna situation på grund av föråldrade autentiseringsfunktioner och brist på automatiserade arbetsflöden som stöder auktorisering.

Fix: Moderna ERP-system är byggda med risk i åtanke inklusive inbyggda provisionerings- och autentiseringsfunktioner och arbetsflöden som är sofistikerade men enkla att använda. Dessutom kan företag implementera mer omfattande säkerhet från början till slut med hjälp av verktyg för identitetsåtkomststyrning.

3. Otillräcklig säkerhetsutbildning

Att cirkulera ett utbildningsmeddelande med din officiella nätfiskepolicy är inte samma sak som att koordinera regelbundna, interaktiva utbildningssessioner med alla dina team. Faktum är att 78 procent av de organisationer som ansåg att deras utbildningsmetoder var tillräckliga för att eliminera phishing-risker i en undersökning nyligen - förvånades över att 31 procent av deras anställda inte klarade av ett grundläggande phishing-test. Svaga lösenord, brist på nätfiske kunnig och dåligt förstådda säkerhetsprotokoll, innebär att även dina mest lojala och flitiga medarbetare ofrivilligt kan utsätta din verksamhet för risker.

Fixa: Många anställda saknar helt enkelt kunskap om hur deras oskyldiga handlingar kan orsaka risker eller skador. Lämna inte cybersäkerhetsutbildning till fel personer, inte heller sätta det lågt på agendan mot andra prioriteringar. Arbeta med en professionell för att utföra en riskrevision i hela din verksamhet för att ta reda på var de svagaste säkerhetslänkarna kan vara gömda. Arbeta med dina teamledare för att ta fram regelbundna utbildningsplaner som tillgodoser deras särskilda behov. Implementera automatiserade scheman för varje avdelning, med testdatum, förnyade certifikat och fortbildningskurser.

4. Brist på erfaren ERP-säkerhetspersonal

För företag som använder äldre ERP-programvara måste IT-teamet förstå sina specifika och otaliga ERP-säkerhetsrisker fullt ut – och kunna köra och implementera förstklassiga säkerhetsrutiner. Detta inkluderar att identifiera hot, genomföra sårbarhetsgenomsökningar och penetrationstester, skapa incidentplaner och integrera de senaste cybersäkerhetsövervakningsverktygen i föråldrade system. I dagens klimat är det inte bara svårt att hitta och behålla skickliga proffs, det är också dyrt och tidskrävande att passa in i det växande antalet träningspass som krävs för att hålla IT-team i takt med den blixtsnabba utvecklingen av digital säkerhet.

Fix: Cloud ERP ger enorm lättnad för denna växande oro. De tunga säkerhetsfunktionerna som 24/7 övervakning och katastrofåterställning hanteras alla av leverantören – sömlöst, i molnet. Dessutom kan de dagliga och mer tidskrävande IT-uppgifterna som patchhantering, testning och uppgraderingar automatiseras i molnet och ske utan märkbara avbrott.

5. Underlåtenhet att följa säkerhets- och styrningsstandarder

I takt med att ERP-system integreras över fler och fler avdelningar, blir omfattningen av sårbara data allt mer diversifierad, inklusive saker som säker produktinformation, journaler eller immateriella rättigheter. Ju känsligare data (finansiella, medicinska eller juridiska till exempel) desto mer sannolikt är det att ha sina egna unika säkerhets- och lagringsprotokoll. Underlåtenhet att hålla sig till – eller vara medveten om – dessa protokoll, kan leda inte bara till potentiella överträdelser av dessa uppgifter, utan också till påföljder och till och med rättsliga återverkningar för bristande efterlevnad.

Fix: Idag kan de bästa ERP:erna – med moderna databaser – underlätta centraliserad automatisering och kontroll av en rad efterlevnadsprotokoll för en mängd olika datatyper. Det innebär att IT-team kan arbeta med ämnesspecialister i hela verksamheten för att till en början fastställa rätt säkerhetsstandarder, och sedan automatisera system och användarinstrumentpaneler för att säkerställa att rätt protokoll följs framöver.

6. Enfaktorsautentisering

En faktor (ett enda lösenord eller lösenkod) är helt enkelt inte tillräckligt. I dag är de flesta företag medvetna om detta faktum, men mer än 40 % av organisationerna använder fortfarande inte tvåstegsautentisering på alla potentiella ERP-ingångspunkter. Med andra ord är det ingen idé att skydda dina mest uppenbart avgörande data med tvåfaktorsautentisering (2FA) om andra anslutna saker som IoT-enheter eller avdelningsapplikationer lämnas sårbara med enstegslösenord.

Fix: Det är viktigt för företag av alla storlekar att omedelbart implementera 2FA-protokoll (inklusive säkerhetstoken eller biometriska skanningar) över alla potentiella ERP-ingångspunkter. Det här är en enkel, billig fix som är oerhört viktig.

7. Dataexport

Trots officiella protokoll, användare gillar att sätta saker i kalkylblad eller spara dem i andra format och data export risker är fortfarande ett problem för företag.

Korrigering: Företag kan styra detta något genom att blockera Excel-nedladdningar eller spåra användaraktiviteter i databasen. Men i slutändan är det bästa sättet att skydda mot dataexport att begränsa antalet personer som har tillgång till sårbara uppgifter. Med ett modernt affärssystem kan avdelningschefer enkelt bestämma och ställa in inte bara vem som får se vad, utan vilka element i en datauppsättning de kan komma åt och visa. Till skillnad från gamla system har molnbaserade ERP integrerade säkerhetsfunktioner som kan automatiseras för att skicka aviseringar och förhindra obehöriga kommandon, till exempel nedladdningar eller dataexporter.

Bästa praxis för cybersäkerhet i ERP

Många av de frågor och lösningar som vi har diskuterat handlar om bredare säkerhetsstrategier för att optimera dina mänskliga och tekniska resurser i en cyberbrottsvärld. Följande är några andra grundläggande bästa praxis för att hjälpa dig att få ut mesta möjliga av de tjänster och fördelar som är förknippade med säkerhetsfunktioner och funktioner för affärssystem i molnet:

• Se till att servicenivåavtal finns för driftskontinuitet, katastrofåterställning och drifttid. Molnbaserade verktyg kan hjälpa till att integrera dessa avtal på ett ställe, i hela den globala verksamheten, och automatisera uppdateringar.
• Utför hyperscaler, tredjepartsrevisioner. Dessa oberoende tredjepartsrevisioner är nödvändiga för att säkerställa tvärvillkor i alla skeden och för att stödja saker som Cybersecurity Maturity Model Certification (CMMC) och Zero Trust.
• Kryptera alla dina data och fokusera på att stärka processer, protokoll och projektstyrning för alla team som är involverade i ERP-säkerhetsrutiner. Särskilt inom patch-hantering, säkerhetskonfiguration, sårbarhetsskanning och hothantering.
• Gör den nödvändiga konsultinvesteringen i externa cybersäkerhetsexperter i världsklass för att säkerställa att alla dina team är väl insatta i sina roller och ansvarsområden inom riskreducering.
• Säkerställ att övervakning dygnet runt och proaktiv säkerhetshantering har implementerats i hela din verksamhet för att förbättra incidentens reaktionsförmåga. Detta inkluderar ERP och alla system, enheter eller IoT-tillgångar som en hacker kan få åtkomst till.
• Använd en domänbaserad ERP-testmetod för att tillhandahålla en konsekvent och replikerbar testprocess för att hantera vanliga aktörsvektorer över hela attackytan.

Nästa steg för bättre ERP-säkerhet

Cyberbrottsligheten påverkar oss alla och om företagen ska kunna bekämpa den måste de inta en mångfasetterad strategi. Molnbaserade ERP-teknologier är ett bra ställe att börja på – vilket ger företag en enhetlig bas för att samordna och automatisera ett kraftfullt och effektivt försvar.

Men i slutändan börjar och slutar dina cybersäkerhetsinsatser med ditt folk. Dina teamledare och medarbetare är en del av lösningen men de kan inte förväntas räkna ut det på egen hand. Ett bra första steg på din cybersäkerhetsresa med ERP är att bygga upp kommunikations- och utbildningsplaner som involverar intressanta experter, praktisk inlärning, visuella och praktiska lektionsplaner, och till och med några verkliga exempel på vad som kan hända när det går fel. Särskilda utbildnings- och certifieringsåtgärder är viktiga, men det fungerar också bäst för att öka den allmänna medvetenheten och intresset för ämnet.

Digital säkerhet är nu en stor del av alla våra liv, så varför inte göra lärande om cybersäkerhet till en engagerande och intrigerande upplevelse?