Veel bedrijven met SAP-erp-software hanteren een set met bovenmaats kritische rechten. Daarbij worden applicaties en afdelingen die dit controleren handig omzeild. Dit schaadt uiteindelijk het bedrijf en geeft fraudeurs, hackers en malware vrij spel. De oplossing ligt niet in techniek of in een applicatie maar in hoe we met security omgaan. Dit is het laatste en derde deel van een drieluik over de spanningsvelden die ontstaan bij het oplossen van kritische rechten en het politieke spel van het verbergen van rechten.
Zoals in de vorige delen gezegd, zit er een tweedeling in de interpretatie van de resultaten van de segregation of duties (sod)-detectietool. De business heeft er soms alle belang bij om ten koste van alles bepaalde toegang te behouden. Dit is meestal niet eens op onredelijke basis; het gaat dan om efficiëntie of ernstige onderbezetting. Dit betekent dat internal audit omzeild moet worden. Mazen in het toepassen van de bovenstaande opties geven daar de gelegenheid toe. Daarbij ontstaan vaak groteske en absurdistische situaties.
De onderstaande situaties zijn niet hypothetisch, maar komen uit de praktijk.
- Uitwisselen van het wachtwoord / dubbele accounts
Teams zijn soms gesplitst in een A- en B-kant om daarmee bepaalde conflicterende taken te voorkomen. Met het uitwisselen van het wachtwoord is dat effectief te omzeilen. Dit is echter ook totaal onzichtbaar. Het lijkt net of er twee personen aan het werk zijn terwijl dat niet zo is. Een andere manier is twee accounts gebruiken.
- Misbruik van de nooduser
De nooduser wordt op permanente basis gebruikt om extra rechten te krijgen. Er is dus geen sprake meer van een noodsituatie, maar van een operationele situatie waarin op tactische wijze gebruik wordt gemaakt van de nooduser.
- Nieuwe naam
De sod-tool herkent alleen dingen die hij kent. Hij herkent geen bedrijfseigen maatwerk. Dit moet je bekent maken aan de tool. Daarmee kan al een hele sloot aan maatwerk onder de radar van Internal Audit schuiven. Als je een nieuwe SAP transactie maakt dan wordt deze dus initieel niet herkent. Slordigheid en gecalculeerde listigheid voeren beide naar dit punt van niet gedetecteerde SoD’s.
- De ontbrekende architect
Ontbreekt de architect in een organisatie, dan kan alles op een eigen manier gemaakt worden. Zolang maatwerk maar functioneel werkt, zal het door de business geaccepteerd worden. Je kunt dus iets maken wat net twee taken combineert die gescheiden zouden moeten blijven. Dit komt voor bij SAP Fiori applicaties. Bij een goed ontwerp worden functieconflicten in Fiori applicaties net zo goed gedetecteerd als bij normale transacties. De praktijk is dat dit lang niet altijd gebeurt.
Er worden op die manier applicaties gemaakt die functioneel goed werken maar SoD technisch toch een haakje missen of erger een datalek kunnen veroorzaken.
Extra toetsing achteraf
Velen die bepaalde toegang met een frauderisico willen houden, zullen beargumenteren dat het niet gaat om de detectie van de mogelijkheid tot het plegen van fraude, maar de detectie van werkelijke fraude. Met dit argument in de hand worden dan inhoudelijke loggingen opgezet om zo de fraudegevallen te filteren uit de operationele stroom van bewerkingen. Het gaat dan om situaties waarbij zowel functie A als functie B op hetzelfde subject worden uitgevoerd. Als er echter fraude wordt uitgevoerd dan gebeurt dit door die mensen die dit systeem heel goed kennen. Er zijn bijzonder interessante constructies gevonden waarbij de logging uit te schakelen was. Daarbij ontstaat een situatie waarbij een logschaduw van een paar minuten ontstaat. Daarmee ontloop je automatische detectie. Ook zijn er situaties gezien waarbij de logging door ’technische problemen’ niet aanstond net aan het begin van het jaar toen de jaarafsluiting werd gedaan. Dat is inderdaad heel toevallig…
Politiek
Het laatste wapen in het in stand houden van een omgeving met fraude mogelijkheden is politiek. Zoals eerder gesteld, is security altijd ondergeschikt aan het bedrijfsbelang terwijl security juist een van de bedrijfsbelangen zou moeten zijn. Als het om economische winst gaat, legt veiligheid het af. Er zijn documentaires over de Spaceshuttle die het fenomeen van politiek versus risico’s haarfijn uitleggen. Dit wordt bijvoorbeeld gedaan door niet de sod’s te ontkennen maar het risico dat ze vormen. Er bestaan gevallen van geïnstitutioneerde risico-ontkenning die een Teletubbielandschap-waardig is. Gewoon aanhouden van ‘wij zien het risico niet’ – en uiteindelijk wint de retoriek.
Bedrijven die ransomware hadden, hebben de les van de kleine kansen wel geleerd. Een andere manier dan de ontkenning is de acceptatie van het risico en daarmee ook de sod’s voor lief te nemen. Dus alles houden zoals het is en misschien een verzekering afsluiten. Er is inderdaad een ondergrens aan het risico waar je nog iets mee moet. Dat klopt. De politieke manager beheerst daarom de vaardigheid om op het moment waarop het tapijt wordt opgelicht er een aantal extra risico’s onder te vegen. Hoe grotesk de situatie is merk je pas als je het vergelijkt met kruitvaten: ‘Wij hebben hier een kamer met kruitvaten. Maar wij steken de lontjes niet aan, want dat doen wij niet. Als anderen het lontje aansteken dan detecteren wij dat net voordat de boel af gaat.’
Afslag naar ontduiking
Je kunt je afvragen wie er werkelijk gewonnen heeft als de politiek wint? Het punt dat hier gemaakt wordt, is dat als de afslag naar ontduiking gemaakt wordt, je daarmee het enige goede argument naar een oplossing verspeelt.
De oorzaak van functieconflicten is onderbezetting. Door de afslag naar ontduiking te maken, verspeel je de kans daar iets aan te veranderen en blijf je tevens met een onveranderde werkdruk zitten. Gek genoeg is dat vaak een geaccepteerde oplossing. Dit komt omdat dit het referentiekader is: ‘Wij zijn in staat om met deze kritische rechten zorgvuldig om te gaan.’ Dat mag zelfs waar zijn, maar daarbij vergeten wij dat niet alleen wij deze rechten kunnen uitoefenen maar dat botnets en ransomware dat in onze naam ook kunnen doen. Daarnaast hoeft fraude niet op eigen initiatief te gebeuren maar kan ook het gevolg zijn van afpersing. Dus: te veel macht is voor niemand goed. Als de afslag naar internal audit wordt genomen en alle sod-conflicten met al hun gevolgen op tafel komen, dan staat elk conflict direct in verband met een economisch belang. Daar is wel oog voor. Dit betekent of uitbreiding van het aantal mensen of automatisering om het probleem op te lossen. Sod’s zijn in dit geval het wisselgeld om een steeds uitgestelde automatisering te krijgen.
Dat is een werkelijke oplossing en het is er ook een die in het licht staat en niet ondergronds is.