Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Velkommen. I sidste klumme gav Steen og jeg et konceptuelt overblik over, hvad SAP sikkerhed er for en størrelse.
I denne klumme bliver vi mere specifikke.
Denne klumme beskriver derfor både interne og eksterne forhold, som der skal tages højde for.
Men inden vi kommer ind på alle de forholdsregler og funktionaliteter, du skal tænke over, så tillad os at være lidt rudimentære.
Det forholder sig nemlig sådan, at cyberkriminelle – lige som os andre – altid leder efter den mest enkle og dermed mindst energikrævende metodik til at udøve deres virke.
Det forholder sig desværre også sådan, at de mest basale forholdsregler stort set aldrig bliver overholdt. Og gør de ikke det, så risikerer du at blive kompromitteret.
Nogle af de nævnte emner kan virke indlysende, men det er nu engang sådan, det forholder sig. Fakta bekymrer sig ikke om følelser. Og man behøver ikke at tale SAPanese, for at forstå det.
Så hvad er det, du skal være opmærksom på?
De lette og billige, men dem som de fleste glemmer:
Langt de fleste SAP-sikkerhedshændelser opstår, fordi en SAP-bruger glemmer at låse sin skærm eller deler sit SAP-brugerid og password.
Det kan måske virke banalt, men det er nu engang sådan, at det er. De fleste brugere har alt for dårlige passwords.
Ved lidt simpel Google-hacking, er det ikke svært at finde ud af, hvad dine børn/ægtefælle/kæledyr hedder, hvor du har gået i skole, hvilken bil du kører, hvor du bor, hvad dine fritidsinteresser er, hvor du har været på ferie etc.
Og så er det nemt at gætte dit password.
Vi mennesker er ikke særlig sofistikerede. Hvis du kender lidt til internettet, så har du sikkert hørt om en DNS-server (Domain Name System). På dansk kaldes det en navneserver.
DNS-serverens opgave er at oversætte komplicerede 12-cifrede IP-adresser til noget, som mennesker kan forstå. På samme måde er vores opfindsomhed ofte stærkt begrænset, når vi skal finde på passwords.
Det lidt mere krævende, men som ikke er dedideret svært:
Nogle vi påstå, at såkaldte biometriske faktorer er vejen til bedre sikkerhed.
Og det er da også mere sikkert, hvis en del af din identitetsfastslåelse er dit fingertryk, dit ansigt, din iris, din stemme, dit DNA etc.
Men - for der er et men. Biometriske data skal også opbevares, og hvad nu hvis databasen med biometriske data kompromitteres?
Lige så nemt som det er at skifte et kodeord, lige så svært er det at skifte fingeraftryk eller ansigt. Så biometrisk godkendelse kan aldrig stå alene, men skal betragtes som et supplement.
Den såkaldte 2-faktor godkendelse, som er en kombination af et kodeord og biometriske data er vejen frem.
Opdateringer i form af hot-fixes, patches, firmwares og drivere.
SAP frigiver – ligesom mange andre software-huse, opdateringer den 2. tirsdag hver måned på den såkaldte SAP Security Patch Day.
Udfordringen er imidlertid, at langt de fleste er alt for lang tid om at få dem installeret.
Vi ved godt, at meget store virksomheder er lidt konservative med opdateringer, og det kan der være sund fornuft i.
Vi forudser en ny rolle i alle større virksomheder: En updater. Ganske enkelt en eller flere personer, der har ansvaret for, at alle virksomhedens devices er opdateret.
Dette gælder naturligvis ikke blot it-devices og applikationer, men alle devices der har en IP-adresse og dermed er eksponeret mod internettet
De avancerede og krævende, men helt essentielle:
Lines of Code.
SAP’s udviklingsplatform ABAP (Advanced Business Application Programming) består af over 238 millioner linjer kode. Gentager: over 238 millioner linier kode.
Rumfærgens software, som altså fløj ud i rummet og retur, består af ca. 400.000 linjer kode. Et Windows operativsystem har ca. 50 millioner linjer kode, mens MacOS ligger på ca. 86 millioner linjer kode.
Således er risikoen for programmeringsfejl enorm.
Faktisk har alle it-sårbarheder udspring i programmeringsfejl. Fra de helt uskyldige fejl, som kan løses med et ”undskyld” og en øl fredag eftermiddag, til de helt store og meget graverende fejl, der er meget omkostningstunge.
Nogle kan måske huske en vis mobiltelefonproducent, hvis telefoner brød i brand og derfor ikke kunne medtages på flyvninger.
Den programmeringsfejl kostede 17 millliarder amerikanske dollars. Og så er et ”undskyld” og en kvajebajer ikke nok.
Her kommer man til at tænke på offentlige udviklingsprojekter.
Man fristes ofte til at lufte sin indre svinehund, når man hører om offentlige it-projekter, der er slået fejl.
Men her skal man lige synke en ekstra gang og anerkende, at mange af disse projekter er meget komplekse. Dét, kombineret med, at disse er bundet op på et stramt budget.
Alle, der nogensinde har været involveret i softwareprojekter, ved, at disse faktorer er meget svære at forene.Generelt, så er det svært at kode.
Og hvor meget kan et menneske – og dermed en programmør – rent faktisk overskue?
Programmører skal også hente børn, lave aftensmad og gøre rent. Rigtig meget udvikling
foregår med stramme deadlines og dermed arbejde i de sene nattetimer.
Man kan sammenligne dét at arbejde om natten med at køre bil om natten. Man er bare ikke ved sine fulde fem og begår fejl.
Hvis du gerne vil have et grafisk – og meget interessant – overblik over antal kodelinjer i diverse enheder og applikationer, så kan vi anbefale: https://www.informationisbeautiful.net/visualizations/million-lines-of-code/
Der er iøvrigt muligt at foretage automatisk scanning af din kode. Dette forhindrer, at usikker kode forlader udviklingsplatformen.
De fleste SAP-miljøer består af et sandkasse-, et præ-produktions- og et produktionsmiljø.
Det gør de af en grund. Når du skal teste et miljø, så skal det gøres utrolig grundigt. Og det er der altså nogle der gør bedre end andre.
Der findes nemlig flere virksomheder i Danmark, der har medarbejdere med autisme. Autister er rigtig vedholdende, og dermed gode til at opdage og rette fejl i software.
Backup og restore af en SAP-database er en disciplin i sig selv.
Vi hører ofte sætningen ”det er jo ikke raketvidenskab”, og det er egentlig lidt underligt.
Hvis vi skulle sammenligne kompleksiteten mellem SAP backup/restore og det at bygge en raket, så vil vi til enhver tid pege på raketten som den ukomplekse komponent.
Snakker vi om et helt SAP-miljø, så skal man nærmest være Rain Man for at forstå det fra A til Z. Uanset hvad, så skal man aldrig undervurdere hverken vigtigheden eller kompleksiteten i at lave en god backup og kunne genskabe sine SAP-databaser.
SAP-miljøer er næsten altid afhængige af input og output fra andre systemer.
Det er en klassisk sikkerhedsbrist, når it-kriminelle bruger et sekundært eller tertiært system til at få adgang til en SAP-database.
Derfor er det vigtigt, at de såkaldte RFC (Remote Function Call) forbindelser mellem systemer er konfigureret korrekt i forhold til sikkerhed, og de nedlægges når der ikke længere er brug for dem.
SAP Security Governance er en naturlig del af CISO’ens informationssikkerhedsledelsessystem.
Som omtalt i forrige klumme, så er SAP applikationen stor og omfattende. Og det kan have katastrofale konsekvenser hvis denne rammes af alvorlige sikkerhedshændelser.
Derfor er det afgørende, at alle relevante sikkerhedsaspekter i SAP’ Secure Operations Map reference model er adresseret og uddelegeret til de rette ansvarlige i organisationen.
Tænk på SAP Security som Layered Security, hvor flere lag er nødvendige for at opnå passende sikkerhed i et meget komplekst systemlandskab.
Sidst, men ikke mindst, så er det vigtigt at sikre sig, at anvendelsen af udvidede adgangsrettigheder altid er under kontrol.
Således skal der til enhver tid være styr på, hvem der har tildelt ”SAP ALL”-rettigheder eller lignede, herunder såkaldte ”kritiske autorisationer” i hvilke systemer og med hvilket formål og hvor længe.Næste klumme omhandler den eksterne SAP-sikkerhed. For hvad er det lige, at man skal være opmærksom på? Og hvilke sikkerhedshensyn addresseres ikke direkte af SAP?
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.