Lukardi

Jak zadbać o bezpieczeństwo SAP w trzech krokach?

Udostępnij

Na początku rozwiejmy wątpliwości – nie ma bezpiecznego sytemu informatycznego. W każdym systemie może wystąpić usterka, a próba jej rozwiązania może wiązać się z usterką na innej płaszczyźnie. Różne są też wymagania co do funkcjonalności systemu, nie zawsze ze sobą zbieżne. Architekt projektujący system ma inne spojrzenie na funkcjonalność niż programista, a ten inne niż użytkownik biznesowy systemu.

Dlatego właśnie zarządzanie bezpieczeństwem to proces ciągły, a przygotowanie bezpiecznego systemu to nie jednorazowe działania.

Zagrożenia stanowią zarówno techniczne aspekty systemów (podatność na włamania), jak i użytkownicy systemu (zbyt wielkie uprawnienia dają możliwość mniej lub bardziej świadomego nadużycia).

System SAP ze względu na swoją elastyczność oraz szerokie możliwości – jest zmieniany równolegle do zmieniających się potrzeb. Nowe programy klienckie rozszerzające funkcjonalności standardowe to odpowiednio przeprowadzony projekt, który nierzadko zakłada współpracę kilku grup użytkowników (programista, użytkownik biznesowy, ekspert modułowy). Bezpieczeństwo SAP jest tematem niezwykle zatem złożonym.

Każdy z takich użytkowników posiada uprawnienia (nabyte, bądź dostarczone w ramach konkretnych działań). Pojawia się zatem bardzo istotne pytanie

Czy Twoi użytkownicy posiadają uprawnienia SAP_ALL?

Uprawnienia SAP_ALL umożliwiają użytkownikom na wręcz nieograniczone możliwości zmian w systemie, bez względu na posiadane przez organizacje moduły systemu. Takie uprawnienia to z jednej strony wygoda, z drugiej – zagrożenie. Czy zatem monitorujesz działania tych użytkowników w ramach tak dużych uprawnień? Czy jesteś w stanie wskazać jaki użytkownik dokonał jakich zmian, i czy były one związane z konkretnym prowadzonym projektem? Jak wygląda  bezpieczeństwo SAP w Twojej organizacji.

Jakie ryzyka są związane z powyższym procesem?

1 – ryzyko związane z nadużyciem uprawnień

2 – ryzyko związane ze zmianami struktur systemu poza kontrolą odpowiednich służb

3 – ryzyko związane z nieświadomym złym użyciem swoich uprawnień

4 – ryzyko nieprzejścia audytu zewnętrznego

Istotne jest zatem, by:

1 – wiedzieć o posiadanych uprawnieniach Twoich użytkowników,

2 – wyłączyć te uprawnienia, które są nadane niepotrzebnie (tutaj oprócz tematu bezpieczeństwa istnieje również temat związany z posiadaniem licencji użytkowników, których de facto nie potrzebujemy,

3 – dostarczać uprawnienia SAP_ALL tylko dla konkretnych użytkowników, tylko dla konkretnych przypadków

4 – monitorować ich działania w ramach prowadzonych prac.

Jak zatem zorganizować optymalny proces zmniejszający ryzyka w trzech krokach?

Po pierwsze – wyczyszczenie zbędnych uprawnień SAP_ALL. Nie bójmy się stwierdzenia, że zbyt duże uprawnienia użytkowników to problem. A problemy trzeba rozwiązywać. Zatem zabierzmy uprawniania SAP_ALL wszystkim (!) użytkownikom.

Do drugie – zadbajmy o to, by dostarczać funkcjonalności tylko tym użytkownikom, których działania wewnątrz organizacji rzeczywiście wymagają tego typu uprawnień. Bo przecież nie możemy całkowicie zrezygnować z tych uprawnień.

Po trzecie – przypiszmy audytora, który będzie akceptował przyznanie uprawnień i weryfikował rzeczywiste działania na systemie. Każde działanie, które w ramach przyznanych uprawnień będzie zrealizowane pozostawi ślad. Należy ocenić, czy zmiany rzeczywiście były konieczne.

Tak przeprowadzony proces pozwala na znaczne zmniejszenie ryzyk, bo to jest kwintesencją zarządzania bezpieczeństwem danych w systemie SAP, na którym nierzadko oparty jest w całości biznes wielu organizacji, nie tylko w Polsce ale i na całym świecie.

Dla jaśniejszego spojrzenia na tematykę załączam screeny z przebiegu nowego procesu dostarczania uprawnień SAP_ALL.

Poniżej przedstawiono otrzymanie odpowiedzi pozytywnej na request użytkownika DSIKORSKI o uprawnienia SAP_ALL (emergency user). W popupie “Enter session token” użytkownik wprowadził unikalny token pozwalający mu na dostęp do użytkownika PL_EMERG_1 posiadającego uprawnienia SAP_ALL

Poniżej przedstawiono raport, który otrzymuje audytor użytkownika PL_EMERG_1. Widnieją na nim wszystkie szczegółowe informacje odnośnie działań DSIKORSKI w ramach otrzymanych uprawnień. Audytor weryfikuje na tej podstawie zasadność zrealizowanych zmian.

Chcesz wiedzieć więcej o zmniejszeniu ryzyk i zwiększeniu bezpieczeństwa Twojego systemu SAP? Skontaktuj się z nami.

Tomasz Jurgielewicz

Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.