terug
Hoe kan het dat een bedrijf bij toeval ontdekt dat er geen 4 ogen principe op het wijzigen van het bankrekeningnummer in SAP van toepassing is?
Het wijzigen van het crediteuren bankrekeningnummer is een zeer kritieke actie. Als het gewijzigd wordt in een frauduleus rekeningnummer dan wordt een legitieme betaling aan een legitieme crediteur afgebogen naar de fraudeur. Om die reden hebben zeer weinig mensen in SAP toegang tot het wijzigen van crediteuren. Daar naast bestaat er doorgaans nog een extra veiligheid waarbij een gewijzigde crediteur eerst door iemand anders bevestigd moet worden. Dit wordt het 4 ogen principe genoemd. Dit samen levert dit een hele redelijke beveiliging van het crediteuren bankrekeningnummer op. Maar je moet het wel aanzetten.
Het 4 ogen principe is customizing en heeft niets met autorisatie te maken. Software die onderzoekt wie kritieke rechten in SAP heeft, zoals SAP GRC, kijkt naar autorisatie. Als er iemand toegang krijgt en daarmee een functiescheidingsconflict veroorzaakt dan wordt dit gezien.
Als er iemand de rechten voor het wijzigen van crediteuren krijgt en dit is niet de bedoeling dan wordt dit ook gezien. Maar het uit zetten van bepaalde veiligheidsmaatregelen in de customizing of systeemparameters wordt door standaard GRC software doorgaans niet gezien.
Dat kan ook niet want customizing is een keuze die je maakt en GRC software beschermt doorgaans niet tegen slechte keuzen die gemaakt worden.
Zo kwam het dus dat deze beveiliging uit stond en dit voor het bedrijf in kwestie een complete verassing was. De crediteuren werden in een ander non-SAP systeem onderhouden. Men was wel vergeten de autorisatie in SAP in te trekken of was van menig dat dit toch nog nodig was.
Het gat wat hierbij ontstond was zo groot dat dit voor een hacker een groot feest geweest zou zijn.
De boodschap die ik wil geven is dat GRC software veel kan doen om je te beschermen tegen risico’s, maar tegen niet alles. Dit alles geeft alleen maar meer aan dat er een noodzaak bestaat om een SAP autorisatiemodel te hebben waar de rechten in balans zijn met de noodzaak en waar onbalans vanzelf opvalt.
Zie ook onze SAP Security workshop - klik hier 9 jaren geleden
SAP Autorisaties en Security - Niemand zag het aankomen!
Niemand zag het aankomen…Hoe kan het dat een bedrijf bij toeval ontdekt dat er geen 4 ogen principe op het wijzigen van het bankrekeningnummer in SAP van toepassing is?
Het wijzigen van het crediteuren bankrekeningnummer is een zeer kritieke actie. Als het gewijzigd wordt in een frauduleus rekeningnummer dan wordt een legitieme betaling aan een legitieme crediteur afgebogen naar de fraudeur. Om die reden hebben zeer weinig mensen in SAP toegang tot het wijzigen van crediteuren. Daar naast bestaat er doorgaans nog een extra veiligheid waarbij een gewijzigde crediteur eerst door iemand anders bevestigd moet worden. Dit wordt het 4 ogen principe genoemd. Dit samen levert dit een hele redelijke beveiliging van het crediteuren bankrekeningnummer op. Maar je moet het wel aanzetten.
Het 4 ogen principe is customizing en heeft niets met autorisatie te maken. Software die onderzoekt wie kritieke rechten in SAP heeft, zoals SAP GRC, kijkt naar autorisatie. Als er iemand toegang krijgt en daarmee een functiescheidingsconflict veroorzaakt dan wordt dit gezien.
Als er iemand de rechten voor het wijzigen van crediteuren krijgt en dit is niet de bedoeling dan wordt dit ook gezien. Maar het uit zetten van bepaalde veiligheidsmaatregelen in de customizing of systeemparameters wordt door standaard GRC software doorgaans niet gezien.
Dat kan ook niet want customizing is een keuze die je maakt en GRC software beschermt doorgaans niet tegen slechte keuzen die gemaakt worden.
Zo kwam het dus dat deze beveiliging uit stond en dit voor het bedrijf in kwestie een complete verassing was. De crediteuren werden in een ander non-SAP systeem onderhouden. Men was wel vergeten de autorisatie in SAP in te trekken of was van menig dat dit toch nog nodig was.
Het gat wat hierbij ontstond was zo groot dat dit voor een hacker een groot feest geweest zou zijn.
De boodschap die ik wil geven is dat GRC software veel kan doen om je te beschermen tegen risico’s, maar tegen niet alles. Dit alles geeft alleen maar meer aan dat er een noodzaak bestaat om een SAP autorisatiemodel te hebben waar de rechten in balans zijn met de noodzaak en waar onbalans vanzelf opvalt.
Zie ook onze SAP Security workshop - klik hier 9 jaren geleden
Deel: