Skyddet av företags immateriella egendom blir allt viktigare i tider av cyberbrottslighet. Eftersom immateriell egendom lagras i företagens IT-system behöver nätverk och IT-system i dag ett heltäckande skydd. Detta förblir en evig kamp mot ständigt nya attackvektorer. Utöver företagens immateriella egendom är personuppgifter i synnerhet ett annat viktigt område med känsliga uppgifter. Dessa behöver inte bara skyddas mot obehörig åtkomst utifrån utan även inifrån företaget.

Vertikaler som sjukhus måste skydda åtkomsten till patientuppgifter, banker och försäkringsbolag behöver skydd tvärs över alla vertikaler och organisationer måste skydda känslig information från obehörig åtkomst. EU:s dataskyddsförordning stödjer och föreskriver bland annat påföljder för bristande efterlevnad eller underlåtenhet att vidta skyddsåtgärder vid behandling av personuppgifter. Läsbehörighet till känsliga data måste loggas. Sist men inte minst finns immateriell egendom och personuppgifter tillgängliga i SAP®-system. SAP erbjuder sina kunder en s.k. ”SAP Read Access Log” som ett sätt att registrera åtkomst till känsliga data.

Konfigurationen av ett SAP-system och åtkomstloggen innebär dock stora utmaningar för företag.

  • Var finns de relevanta och personliga uppgifterna?
  • Hur konfigurerar man åtkomstloggen?
  • Vilka transaktioner och in- och utdatafält är viktiga för loggning?
  • Hur kan åtkomstloggar extraheras?
  • Hur utvärderas åtkomstloggen slutligen?
  • Och hur kan ett larm genereras?

SAP Read Access-loggar som erhållits genom konfiguration bör sedan övervakas i så kallade Security Log Management- eller SIEM-lösningar (Security Information and Event Management). Här övervakas åtkomstloggarna för alla anslutna SAP-system centralt. Kundnyttan är uppenbar

  • Central automatiserad övervakning av åtkomstloggar med avseende på misstänkt åtkomst till personuppgifter från obehöriga användargrupper
  • Övervakning av ett stort antal åtkomster från en användare
  • Behålla en verifieringskedja för läsåtkomst för analys efter misstänkt aktivitet
  • Alla anslutna SAP-system kombineras i ett enda datalager
  • Ad hoc-rapporter och
  • regelbaserad utvärdering av loggarna i form av larm
  • Korrelering mellan åtkomstloggdata och information från nätverket (identifiering av dataläckage)

Övervakning av missbruk av personuppgifter med hjälp av SAP® Read Access Log

SAP Read Access Log lagrar läs- och skrivåtkomst till specifika fält i transaktioner, rapporter eller program, vilket är en mycket viktig komponent för att uppfylla skyldigheterna enligt EU:s dataskyddsförordning (GDPR eller DS-GVO) – loggning av åtkomst till personuppgifter. Nedan beskrivs några exempel på hur personuppgifter i ett SAP-system kan missbrukas.

  • Person- eller försäkringsnummer är viktiga och högst personliga uppgifter i många länder och många av dessa lagras i SAP-system, till exempel hos myndigheter. Obehörig åtkomst till denna information kan enkelt leda till att dessa data laddas ned från SAP-systemet och skickas till ett privat e-postkonto
  • Skattemyndigheter har information om skattesmitare i sina SAP-system. Specialister instrueras att använda sökhjälpen i SAP-systemet för att söka efter vissa personer med restriktioner och söktermer, till exempel för att undvika att läsa in hela listan med skattesmitare. Användning av SAP inmatningshjälp med ett jokertecken av typen ”*” kan leda till att ett stort antal skattesmitare visas i systemet. Exportering och nedladdning är ett enkelt steg i SAP. Överlämning av en sådan lista till pressen med information om kändisskattesmitare är en tänkbar incident som redan har skett. Utan en åtkomstlogg som är konfigurerad för dessa viktiga fält, ställs skattemyndigheter till exempel inför olösliga problem, nämligen spårbarheten av missbruk av SAP inmatningshjälp.
  • Information om löne- eller pensionsutbetalningar kan skrivas ut från SAP-system och kan lämnas i en skrivare eller på en allmän plats. Känsliga uppgifter kräver naturligtvis sekretess. En utskrift i sig är redan en överträdelse och att lämna ut sådana uppgifter är definitivt missbruk. Hur fastställs vem som haft åtkomst till denna information? Vilka konton har använts under de senaste dagarna och vem har skrivit ut uppgifterna?
  • I företag är arbetsrotation välkommet. Vart tredje år kan till exempel medarbetare ha olika befattningar inom olika affärsenheter eller avdelningar. Det är tveksamt om SAP-kontona för dessa anställda och deras behörigheter alltid justeras, eller om de nödvändiga rollerna för den nya avdelningen och den nödvändiga åtkomsten helt enkelt läggs till. Så det kan mycket väl vara så att om en medarbetare från HR-avdelningen omplaceras till den juridiska avdelningen eller vice versa så kan intressanta behörighetskombinationer uppstå. Det kan vara så att de gamla eller nya SAP-rollerna utnyttjas för att få åtkomst till känslig information, i och med vetskapen om att de flyttar från en avdelning till en annan. Med hjälp av en dator och ett konto kan man alltså få tillgång till olika konton och deras känsliga uppgifter om anställda, av personer som faktiskt inte längre borde ha åtkomst till dessa uppgifter.

Sådant eller liknande missbruk av personuppgifter kan förekomma i SAP-system. Konfigurationen av åtkomstloggarna och deras utvärdering är en viktig del av SAP säkerhetsövervakning, inte minst med hänsyn till GDPR. Med hjälp av denna logg kan åtminstone loggar över åtkomst till SAP genereras, extraheras från SAP och samlas in centralt och idealiskt sett övervakas automatiskt med lämpliga regler.

Genom att använda en lösning för hantering av säkerhetsloggar eller SIEM (Security Information and Event Management) samlas en mängd olika loggar in och övervakas automatiskt med hjälp av regler eller görs tillgängliga som en rapport. Integrering av SAP-loggar i sådana system har inte bara fördelen att det går att konfigurera övervakning specifikt för SAP – SAP-loggarna kan även korreleras med information från nätverket. Det nämnda scenariot med visning, nedladdning och sändning av information som erhållits från SAP till ett privat e-postkonto kan möjliggöras genom korrelering mellan SAP®-loggar, loggar från e-post-gateway och VPN-åtkomst.

 

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews