Directieleden onderschatten de risico's van onveilige SAP-systemen. Ze hebben een beperkt inzicht in de risico's en zijn zich te weinig bewust van de gevolgen van bijvoorbeeld een datalek in hun SAP-applicaties. Dat stellen onderzoekers van het Ponemon Instituut dat in opdracht van SAP-beveiliger Onapsis onderzoek uitvoerde.
Van de zeshonderd ondervraagde ict- en informatiebeveiliging-specialisten stelt slechts 21 procent dat hun directie voldoende oog heeft voor de risico’s rond de beveiliging van SAP-systemen. Directies blijken vooral oog te hebben voor de bijdrage die SAP-oplossingen leveren aan het bedrijfsresultaat. 76 procent van de respondenten zegt dat hun management het belang van SAP-installaties voor de winstgevendheid van de onderneming onderkent, maar voorbij gaat aan de beveiligingsrisico´s.
De onderzoekers: ’63 procent van alle directieleden is geneigd tot het onderschatten van de risico´s die gepaard gaan met onveilige SAP-applicaties.’ Volgens de onderzoekers wordt de kloof tussen de perceptie van de directie en de werkelijke situatie vergroot door het beperkte inzicht van organisaties in de beveiliging van SAP-applicaties. Ruim de helft van ondervraagde ict- en informatiebeveiliging-specialisten (56 procent) ziet in dat er een grote kans bestaat dat hun organisatie te maken krijgt met een datalek als gevolg van onveilige SAP-applicaties. Dezelfde groep geeft aan dat er in de afgelopen 24 maanden gemiddeld twee keer is ingebroken in het SAP-platform van hun organisatie.
Larry Ponemon, bestuursvoorzitter en oprichter van het Ponemon Institute: ‘Een van de grote verrassingen van deze enquêteresultaten is dat steeds meer organisaties te maken hebben met stille datalekken. Deze zijn moeilijk te detecteren en van tastbare invloed op bedrijven en de bredere economie.’
‘Zorgwekkend genoeg geven de enquêteresultaten aan dat het aantal datalekken in SAP-systemen naar alle verwachting zal toenemen, maar dat er binnen organisaties geen specifieke teams of personen voor de SAP-beveiliging verantwoordelijk zijn’, aldus Ponemon
‘Kloof dichten’
Volgens Ponemon lijkt het erop dat dit in een niemandsland tussen de SAP-beveiligingsteams en informatiebeveiligingsteams komt te liggen. ‘Organisaties moeten in actie komen, deze kloof dichten en de beveiliging van SAP-applicaties tot een prioriteit maken.’
Mariano Nunez, ceo van Onapsis.: ‘Hoewel de branche oog begint te krijgen voor de gevolgen van datalekken in hun SAP-systemen, groeit het aanvalsoppervlak in razendsnel tempo met de opkomst van nieuwe technologieën zoals IoT, mobiliteit en de cloud. Een duidelijke afbakening van verantwoordelijkheden en het gebruik van tools van externe leveranciers voor het coördineren van de activiteiten van alle teams, het instellen van procedures en het voorkomen en detecteren van kwetsbaarheden in de beveiliging van SAP-systemen zijn belangrijke maatregelen om serieuze economische problemen te voorkomen.’
Opvallende uitkomsten
- 33 procent van de respondenten zegt dat het zeer waarschijnlijk, dan wel waarschijnlijk (42 procent) is dat hun SAP-platforms zijn geïnfecteerd met één of meer vormen van malware.
- De respondenten hebben er weinig vertrouwen in dat een beveiligingsincident rond hun SAP-platform direct of binnen een week tijd wordt gedetecteerd. Bijna 100 procent van de respondenten is zelfs van mening dat ze een SAP-incident niet direct zouden kunnen detecteren. Zelfs een jaar later was 78 procent nog van mening dat ze niet in staat zouden zijn om een datalek in SAP-applicaties te detecteren.
- De respondenten zien het als de verantwoordelijkheid van SAP, en niet hun eigen organisatie, om de beveiliging van zijn applicaties en platforms te waarborgen. 54 procent van alle respondenten is deze mening toegedaan. Het interne SAP-beveiligingsteam wordt maar zelden verantwoordelijk gehouden voor de beveiliging van SAP-systemen. 25 procent van de respondenten zegt dat er geen specifieke functie is die de grootste verantwoordelijkheid voor de SAP-beveiliging draagt, gevolgd door de ict-infrastructuur (21 procent), het SAP-beveiligingsteam (19 procent) en het IPSec-team (18 procent).
- 30 procent van de respondenten zegt dat niemand in het bijzonder verantwoordelijk zou worden gehouden voor een SAP-incident, gevolgd door de cio (26 procent) en de ciso (18 procent).
Grappig, SAP is best een grote organisatie en ze krijgen licentiegelden van de klanten voor het gebruik van hun producten.
Je zou op z’n minst verwachten dat SAP als service contact op zou moeten nemen met de directies, ze wijzen op de risico’s die ze mogelijk lopen en dan hun diensten aanbieden voor het (helpen bij of ondersteunen van de teams die) oplossen van de problemen.
LAAT SAP MAAR WEG uit de geciteerde zin, directieleden onderschatten risicos van IT-systemen over de volle breedte. Het wachten is dus op de digitale twin-towers waarbij het niet de vraag is of, maar wanneer!
Directieleden onderschatten de risico’s van onveilige SAP-systemen. Ze hebben een beperkt inzicht in de risico’s en zijn zich te weinig bewust van de gevolgen van bijvoorbeeld een datalek in hun SAP-applicaties.
Directieleden zien beveiligingssoftware nog als kosten en niet als een verzekering tegen een boete van 8 ton van de Autoriteit Persoonsgegevens of de schade (aan ICT, reputatie, klantverlies etc) ten gevolge van een hack.
Het is alsof je wel een alarminstallatie hebt, deze niet inschakelt, goedgekeurde sloten monteert doch niet afsluit en vervolgens de producent van de alarminstallatie en sloten verantwoordelijk stelt voor incidenten.
De focus van SAP ligt op functionaliteit, niet op veiligheid. Bij de directie van bedrijven is dat niet anders. Voor een gedeelte is dat onwetendheid maar voor het overgrote gedeelte is het gewoon de cultuur. Het moet allemaal zo goedkoop mogelijk om te kunnen blijven concurreren. Bij het outsourcen van IT zijn we vergeten de risico’s mee te verplaatsen.
De data van Nederlandse bedrijven is veel geld waard. Door de kwetsbaarheden in SAP kan die data makkelijk worden opgehaald. Tijd dat we wakker worden.
Dit toont opnieuw aan dat een goed securitybeleid absolute noodzaak is. En uiteraard moet zo’n beleid ook op adequate wijze worden uitgevoerd.
Ik heb de afgelopen tijd meerdere klanten mogen begeleiden in dit soort projecten. En tot en met directieniveau de bewustwording meegenomen.
Wat Gararin al aangeeft: vanuit een directie gaat het vooral om functionaliteit: kunnen mijn mensen doen waar ik ze voor aangenomen heb.
Beheer, incl. beveiliging wordt uitbesteed aan de IT afdeling. Daar zou de directie zich niet mee bezig moeten houden. De uitdaging voor een IT afdeling zit hem in het goed onderbouwen waarom er een bepaald budget nodig is om dit in stand te houden en wat de risico’s zijn indien dit budget er niet is.
Juist dat laatste is een uitdaging. De techneuten weten allemaal wat er fout kan gaan, maar dit vertalen naar iets wat de directie begrijpt en accepteert valt niet altijd mee.