Czy zbyt duże uprawnienia dla użytkownika SAP stanowią zagrożenie?
Lukardi > Blog > Bezpieczeństwo > Czy zbyt duże uprawnienia dla użytkownika SAP stanowią zagrożenie?
- Bezpieczeństwo
Wydawać by się mogło, że – na pewno – każdy administrator systemu, jak również – co najmniej – użytkownicy reprezentujący top management doskonale zdają sobie sprawę, jakie uprawnienia dostępowe do systemu posiada każdy z nich.
NIC BARDZIEJ MYLNEGO!
Praktyka w zakresie wykonywania audytów systemu SAP pokazała, że tak nie jest.
Na co zwrócić uwagę przy nadawaniu uprawnień?
Często zdarza się, że nadawane uprawnienia dla użytkownika SAP są zbyt obszerne. Nawet jeśli mają świadomość zakresu swoich uprawnień, to już w przypadku zagrożenia jakie może się wiązać z ich posiadaniem – tej świadomości brakuje.
Administratorzy z kolei nie mając możliwości monitorowania zagrożeń, nie posiadając dokumentacji działań krytycznych, nie mają też szansy na przedsięwzięcie środków zaradczych.
Jakie zagrożenie wynika ze zbyt dużych uprawnień?
Myślę, że najbardziej jaskrawym przykładem (szczególnie dla osób pełniących funkcje zarządcze w obszarze finansów, np. dla dyrektorów finansowych) będzie sytuacja kiedy użytkownik (niech to będzie konsultant) posiada konto pozwalające mu na tworzenie i modyfikację dokumentów finansowych.
Czy takie uprawnienia są temu użytkownikowi potrzebne?
Dyrektor Finansowy powie – Niemożliwe! A jednak! Takie sytuacje mają miejsce bardzo często, i tak naprawdę są pułapką dla osoby je posiadającej, ponieważ zwiększają ryzyko omyłkowej ingerencji (nie zakładam celowego działania) w dokumenty, do których posiadają dostęp, a użytkownikom z działu finansowego przysparzają dodatkowej – niepotrzebnej – pracy związanej z korygowaniem tych działań.
Najczęściej pojawiające się przykłady zagrożeń
Tym razem niech to będzie administrator modułu SAP BASIS. Bardzo częstym zjawiskiem jest posiadanie przez użytkowników tego typu następujących uprawnień:
- dostęp do transakcji biznesowych,
- możliwość wpływania na te dane,
- tworzenie użytkowników,
- przypisywanie im określonych ról czy też edycji programów.
Łatwo się domyślić, że użytkownik z takimi uprawnieniami posiada również dostęp i możliwość modyfikacji danych w Księdze Głównej.
Co to oznacza?
Może dokonać zmian w planie kont, a dalej – wszystkich zdarzeniach biznesowych istotnych dla firmy/organizacji.
Czy administrator potrzebuje takich uprawnień? Odpowiedź brzmi – NIE.
Dlaczego?
Ponieważ taki wachlarz uprawnień u danej osoby (użytkownika) stwarza realne zagrożenie dla bezpieczeństwa systemu.
PODSUMOWANIE
Reasumując: mój kolega, który jest absolutnie najlepszym administratorem systemu SAP, jakiego znam, mawia:
„Użytkownik produkcji posiadający klucz developerski jest Bogiem”.
I zdecydowanie wie, co mówi. Osoba posiadająca taki klucz/uprawnienie może dokonać wszelkich zmian na systemie produkcyjnym.
Przykład: może napisać program kasujący, modyfikujący, itd.
Pomyśl – niemożliwe, żeby takie sytuacje się zdarzały!
Uwierz na słowo – sytuacje z niewłaściwie przypisanymi uprawnieniami zdarzają się bardzo często!
Jeśli zarządzanie i kontrola uprawnień stanowią dla Ciebie wyzwanie napisz do nas!
Tomasz Jurgielewicz
Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.