Bezpieczny wtorek ze SNOK: Jak właściwie zabezpieczyć SAP Fiori? 

Bezpieczny wtorek ze SNOK: Jak właściwie zabezpieczyć SAP Fiori? 

Bezpieczny wtorek ze SNOK: Jak właściwie zabezpieczyć SAP Fiori? 

SAP Fiori to technologia interfejsu użytkownika, która od kilku lat jest podstawowym interfejsem systemów SAP S/4HANA, również tymi w wersji chmurowej. Ponad 70% dużych firm korzysta z systemów SAP, co czyni SAP Fiori kluczowym z punktu widzenia bezpieczeństwa. Dane przetwarzane poprzez interfejs SAP Fiori obejmują praktycznie wszelkie obszary systemu, poczynając od zarządzania aktywami, zasobami ludzkimi, finansami, badaniami i rozwojem, sprzedażą, na łańcuchami dostaw kończywszy. Jednak, jak każda technologia, SAP Fiori jest podatna na zagrożenia bezpieczeństwa. Przyjrzyjmy się im bliżej, a także sposobom ich minimalizowania.

Zagrożenia i jak im przeciwdziałać

1) Zabezpieczenia sieciowe

Jednym z głównych sposobów, za pomocą których cyberprzestępcy mogą naruszyć system, jest wykorzystanie niezabezpieczonych protokołów sieciowych.  Interfejs SAP Fiori jest interfejsem wyłącznie webowym, dlatego też wykorzystanie SSL/TLS jest kluczowe, ponieważ zapewnia bezpieczny sposób dostępu do platformy, zabezpieczając dane przesyłane między użytkownikiem a serwerem. Bezpieczeństwo witryny można potwierdzić, sprawdzając, czy na pasku URL widnieje kłódka. Ważne jest również śledzenie daty ważności certyfikatu SSL, aby można było go odnowić na czas.

2) Zabezpieczenie danych

Ransomware jest jednym z największych zagrożeń obecnych czasów – SAP Fiori również nie jest na niego odporny. W przypadku ataku ransomware dane zostają zaszyfrowane, gdzie czasem wystarczy nawet częściowe zaszyfrowanie, aby utracić działanie całego systemu. W takim wypadku regularne tworzenie kopii zapasowych w formule 3-2-1 (3 kopie danych, na 2 nośnikach i z 1 off-site backup) jest niezbędne. Duże organizacje powinny również rozważyć użycie infrastruktury klucza publicznego (PKI). Ponadto, wprowadzenie polityki zarządzania urządzeniami mobilnymi dla pracowników jest kolejnym elementem ochrony danych.

3) Uwierzytelnianie użytkowników

Tradycyjne hasła, szczególnie te krótkie i słownikowe są kolejnym słabym punktem w zabezpieczeniach. SAP Fiori umożliwia silniejsze uwierzytelnianie, mogąc do tego wykorzystywać tokeny RSA, metody biometryczne metody, na przykład odciski palców (w urządzeniach mobilnych). Wybór odpowiedniego mechanizmu zależy od konfiguracji klienta SAP Fiori i wykorzystanego narzędzia pomagającemu zabezpieczyć ten element połączenia, jak np. SAP Cloud Platform mobile service.

W przypadku kont administracyjnych zalecane jest stosowanie wieloskładnikowego uwierzytelniania (MFA), które wykorzystuje co najmniej dwa mechanizmy uwierzytelniania do potwierdzenia tożsamości użytkownika.

4) Dostęp do urządzeń

Wiele systemów SAP wykorzystujących SAP Fiori jest obsługiwanych z poziomu urządzeń mobilnych. Zdarza się nawet, że organizacje prowadzą strategie BYOD – Bring Your Own Device (Wykorzystanie urządzenia prywatnego do celów służbowych).  Urządzenia te z kolei posiadają wbudowane kamery, oprogramowanie zaś zawiera książki kontaktowe, a nawet otwarty dostęp do social media.  Może to zostać wykorzystane do przeprowadzania ataków socjotechnicznych, które w konsekwencji mogą doprowadzić do przejęcia kontroli nad urządzeniem. Dlatego też dostęp tych urządzeń do systemów SAP powinien być ograniczony tylko do autoryzowanych użytkowników, zaś organizacja powinna prowadzić politykę zarządzania urządzeniami mobilnymi oraz monitorowania ich aktywności sieciowej w czasie rzeczywistym. Można do tego wykorzystać oprogramowanie typu SIEM.

5) Prywatność danych

Ochrona danych powinna być zawsze priorytetem. Firmy muszą sprostać wymogom prawnym przetwarzania danych takimi jak GDPR (General Data Protection Regulation), czy stosowany w Kalifornii CCPA (California Consumer Privacy Act), aby uniknąć kar finansowych, spowodowanych negatywnymi wynikami audytów. SAP Fiori posiada wbudowane funkcjonalności, które pomagają organizacjom przestrzegać tych przepisów. Regularne audyty i oceny zgodności zapewniają, że wszystkie dane są przetwarzane zgodnie z obowiązującymi przepisami.

6) Zabezpieczenie przed clickjackingiem

Clickjacking to atak, w którym użytkownik końcowy klika na link z ukrytym (zaszytym) linkiem „pod spodem”, co prowadzi go do fałszywej witryny. Aby przeciwdziałać clickjackingowi w SAP Fiori, można użyć natywnych mechanizmów platformy SAP NetWeaver do wdrażania zaawansowanych strategii tzw. „white labelingu”.

Wypowiedź eksperta

Jarosław Zdanowski, Partner w SNOK i Architekt Wiodący SAP BASIS oraz Cybersecurity, podkreśla: „Zabezpieczenie SAP Fiori wymaga kompleksowego podejścia, które obejmuje nie tylko techniczne środki zabezpieczeń, ale także edukację użytkowników i regularne audyty. Kluczowym jest, aby nie tylko polegać na technologii, ale także na procesach i szkoleniach, które pomogą w identyfikacji i zapobieganiu zagrożeniom. W SNOK od samego początku kładziemy duży nacisk na holistyczne podejście do bezpieczeństwa, integrując najnowsze technologie z najlepszymi praktykami zarządzania.”

Podsumowanie

Zabezpieczenie SAP Fiori to skomplikowane zadanie, które wymaga połączenia różnych działań. Kluczowe jest wdrożenie solidnych zabezpieczeń sieciowych, stosowanie silnego uwierzytelniania użytkowników, ścisła kontrola dostępu do danych oraz systematyczne monitorowanie i edukacja pracowników. Te działania mogą znacznie zmniejszyć ryzyko potencjalnych naruszeń bezpieczeństwa.

Bezpieczeństwo danych to nie tylko kwestia technologii, ale także odpowiedzialnego zarządzania i ciągłej edukacji. Ważne jest, aby pamiętać, że bezpieczeństwo to proces, który wymaga regularnych audytów, aktualizacji i szkoleń, aby systemy SAP Fiori były bezpieczne.

Artykuł powstał na podstawie materiałów z ERPNews Magazine oraz informacji dostępnych na stronie SecurityBridge na LinkedIn.