Beskyttelsen af virksomhedens intellektuelle ejendom bliver vigtigere og vigtigere i tider med cyberkriminalitet. Eftersom intellektuel ejendom lagres i virksomhedernes IT-systemer, har netværks- og IT-systemer i dag brug for omfattende beskyttelse. Dette er stadig et evigt kapløb mod de konstant nye angrebsvektorer. Ud over virksomhedernes intellektuelle rettigheder er især persondata et andet vigtigt område inden for følsomme data. Disse oplysninger skal ikke kun beskyttes mod uautoriseret adgang udefra, men også indefra.

Vertikaler som hospitaler skal beskytte adgangen til patientdata, banker og forsikringsselskaber og alle andre vertikaler skal beskytte følsomme data mod uautoriseret adgang. EU’s databeskyttelseslov understøtter dette og indeholder bl.a. sanktioner for manglende overholdelse eller manglende beskyttelsesforanstaltninger i forbindelse med behandling af personoplysninger. Læseadgang til følsomme data skal logges. Sidst men ikke mindst er intellektuelle rettigheder og personoplysninger tilgængelige i SAP®-systemer. SAP tilbyder sine kunder den såkaldte SAP-læseadgangslog som et middel til at logge adgang til følsomme data.

Konfigurationen af SAP-systemer og deres læseadgangslog giver dog virksomhederne store udfordringer.

  • Hvor er de relevante og personlige data?
  • Hvordan konfigureres læseadgangsloggen?
  • Hvilke transaktioner og input- og outputfelter er vigtige for logningen?
  • Hvordan udtrækkes læseadgangslogge?
  • Hvordan evalueres læseadgangsloggen i sidste ende?
  • Og hvordan kan der genereres en alarm?

De SAP-læseadgangslogge, der opnås gennem konfiguration, skal derefter overvåges i såkaldte Security Log Management- eller SIEM-løsninger (Security Information and Event Management). Her overvåges læseadgangslogge for alle de tilsluttede SAP-systemer centralt. Kundefordelen er markant

  • Central, automatiseret overvågning af læseadgangslogge i forbindelse med mistænkelig adgang til personoplysninger fra en uautoriseret brugergruppe
  • Overvågning af et stort antal adgange for én bruger
  • Et revisionsspor over læseadgang til efterfølgende analyse
  • Alle tilsluttede SAP-systemer er samlet i én datavask
  • Ad hoc-rapporter og
  • regelbaseret evaluering af logge i form af alarmer
  • Sammenhæng mellem læseadgangslog-data og oplysninger fra netværket (detektion af datalækage)

Overvågning af misbrug af personoplysninger ved hjælp af SAP®-læseadgangslog

SAP-læseadgangslogge lagrer læse- og skriveadgang til specifikke områder af transaktioner, rapporter eller programmer, hvilket er en meget vigtig komponent for at opfylde forpligtelserne i henhold til EU’s databeskyttelsesforordning (GDPR eller DS-GVO) – logning af adgangen til personoplysninger. Nedenstående skitserer nogle eksempler på, hvordan persondata kan udnyttes og misbruges i et SAP-system

  • CPR-numre eller forsikringsnumre er vigtige og meget personlige oplysninger i mange lande, og mange af disse lagres i SAP-systemer, f.eks. hos offentlige myndigheder. Uautoriseret adgang til disse oplysninger kan nemt resultere i, at disse data downloades fra SAP-systemet og sendes ud til en privat e-mailkonto
  • Skattemyndighederne har oplysninger om skattesnydere i SAP-systemerne. Specialister instrueres i at bruge søgehjælpefunktioner i SAP-systemet til kun at søge efter bestemte personer med restriktioner og søgeord, f.eks. for at undgå at indlæse hele listen med skattesnydere. Anvendelse af SAP-inputhjælp med jokertegnet “*” kan resultere i, at der vises et stort antal skattesnydere i systemet. Eksport og download af denne liste er et enkelt trin i SAP. Det er allerede sket, at en sådan liste er blevet sendt til pressen sammen med oplysninger om kendisskattesnydere. Uden læseadgangsloggen, der er konfigureret for disse væsentlige områder, står skattemyndighederne eksempelvis over for uløselige problemer, nemlig sporbarheden af misbruget af SAP-inputhjælpen.
  • Oplysninger om løn eller pensionsindbetaling kan udskrives fra SAP-systemer og kan efterlades på en printer eller et offentligt sted. Følsomme data kræver naturligvis fortrolighed. En udskrift i sig selv er allerede en overtrædelse, og videregivelse af sådanne data er bestemt et misbrug. Hvordan fastlægges det, hvem der har haft adgang til disse oplysninger? Hvilke konti er blevet tilgået i løbet af de seneste par dage, og hvem har udskrevet dataene?
  • I virksomheder hilser man jobrotation velkommen. Hvert 3. år kan medarbejdere f.eks. have forskellige stillinger i forskellige forretningsenheder eller afdelinger. Det er tvivlsomt, om disse medarbejderes SAP-konti og deres autorisationer altid justeres, eller om de nødvendige roller for den nye afdeling og den nødvendige adgang blot tilføjes. Det kan derfor meget vel forholde sig sådan, at et skift fra HR til den juridiske afdeling eller omvendt resulterer i interessante kombinationer af rettigheder Det kan være, at de gamle eller nyerhvervede SAP-roller bliver udnyttet til at tilgå følsomme data, velvidende at de flytter fra én afdeling til en anden. Eksempelvis kan en person fra en computer og en konto få adgang til forskellige konti og de tilhørende følsomme oplysninger om medarbejdere, selvom denne person faktisk ikke længere skal have adgang til disse oplysninger.

Disse eller lignende misbrug af persondata kan forekomme i SAP-systemer. Konfigurationen af læseadgangslogge og deres evaluering er et væsentligt element i SAPSecurity Monitoring, ikke mindst i denne GDPR-tid. Ved hjælp af denne log kan der som minimum genereres logge over adgange til SAP, de kan udtrækkes fra SAP og samles centralt og i bedste fald overvåges automatisk med passende regler.

Ved hjælp af en Security Log Management Solutions- eller SIEM-løsning (Security Information and Event Management) indsamles en lang række logge, som automatisk overvåges af regler eller stilles til rådighed som en rapport. Integration af SAP-logge i sådanne systemer har ikke kun den fordel, at det er muligt at konfigurere overvågning specifikt for SAP, men også at korrelere SAP-logge med oplysninger fra netværket. Det nævnte scenarie med at vise, downloade og sende oplysninger, der er hentet fra SAP, til en privat e-mailkonto kan gennemføres ved at korrelere SAP®-logge samt logge fra e-mailgateways og VPN-adgang.

 

 

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews