Monitoring zachowania użytkowników SAP
Lukardi > Blog > Bezpieczeństwo > Monitoring zachowania użytkowników SAP
- Bezpieczeństwo
Zwiększające się wymagania (na przykład pochodzące z regulacji RODO), wymusza na organizacjach wdrożenie takich rozwiązań, które zwiększą poziom bezpieczeństwa systemów przetwarzających dane osobowe. SAP nie jest wyjątkiem. Dzisiejszy artykuł pokaże Wam jak w 3 krokach zwiększyć bezpieczeństwo danych.
Bezpieczeństwo danych to nie tylko autoryzacje
Aby rozłożyć temat na czynniki pierwsze – zacznijmy od podstaw. Każdy użytkownik w SAP ma nadane uprawnienia. To one decydują o tym, czy użytkownik powinien uzyskać dostęp do jakichś partii danych, czy taki dostęp ma zostać zablokowany. Na podstawie przydzielonych ról możemy ograniczyć dostępy. To fakt. Tu natomiast pojawia się dość poważny problem związany z potencjalnym wyciekiem danych poza system.
1. Monitoring wyświetlania danych osobowych
Standardowe rozwiązania SAP ograniczone są do zarządzania autoryzacjami. Standard nie dostarczy czytelnej odpowiedzi na pytania dotyczące tego “kto”, “co” i “kiedy” wyświetlał na swoim ekranie. Obecnie, dysponując zwykłym telefonem komórkowym każdy użytkownik jest w stanie zrobić zdjęcie ekranu, na którym wyświetlone są dane osobowe (bądź zrobić print screen), ślad po tej czynności jest praktycznie żaden. Istotne jest zatem szczegółowe monitorowanie i logowanie ryzykownych operacji użytkowników z większą dokładnością niż dostarczane funkcjonalności w standardzie.
Przykładów potencjalnych nadużyć jest więcej. Na przykład użytkownicy uprzywilejowani (chociażby administratorzy) mają wręcz nieograniczony dostęp do danych zawierających wrażliwe informacje. Nowe wymogi GDPR mówią o tym, by możliwie skutecznie monitorować dostępy do danych. Nie tylko wymogi regulacyjne powinny być tym jedynym czynnikiem, który ma na celu wprowadzenie zmian w procesy dostępu do danych osobowych. Bo przecież sam wyciek danych o płacach może spowodować zakłócenie porządku pomiędzy pracownikami. Dane mogą również zostać przejęte przez konkurencje – a to również biznesowy problem.
Powyżej przedstawiamy istotne elementy logowanie zachowania użytkowników z dokładnością do wyświetlenia danych osobowych, w sposób globalny. Rozdzielczość monitoringu użytkowników powinna być zatem na tyle duża, by precyzyjnie dostarczać informację związaną z dostępem (wyświetleniami) danych SAP HR.
2. Zapisywanie danych do plików
Standardowo system SAP pozwala na globalne włączenie lub wyłączenie możliwości pobierania danych (np. z raportu, do którego użytkownik ma dostęp). Domyślnie logi pozwalają jedynie na informację o tym kiedy i kto ściągnął plik o konkretnej nazwie, do konkretnej ścieżki. W standardzie brak jest jakichkolwiek informacji o zawartości pobieranych plików.
Można zwrócić uwagę na powyższy screen przez pryzmat informacji o potencjalnych naruszeniach:
1 – jakie dane zostały pobrane? Brak informacji
2 – czy w pliku zawarte były krytyczne dane osobowe? Brak informacji
3 – czy jesteśmy w stanie odtworzyć pobrany plik? Nie
Na szczęście (dla bezpieczeństwa danych w SAP) istnieją rozwiązania, które powyższe problemy są w stanie skutecznie rozwiązać. Dostarczając rozszerzonych informacji w logach o konkretnych działaniach, ze zdecydowanie większą rozdzielczością.
Za pomocą zdefiniowanych słów kluczowych, raportów czy rozmiaru plików – administratorzy są w stanie otrzymywać informacje o potencjalnych nadużyciach związanych ze ściągnięciem krytycznych porcji danych. Dodatkowo każde z pobrań jest odkładane (na konkretną ilość czasu), istnieje zatem możliwość całkowitego odtworzenia pobranego pliku
3. Wykorzystywanie transakcji
Zmniejszenie ryzyk związanych z nieuprawnionym dostępem do danych to również dbanie o to, by ograniczać do niezbędnego minimum przyznane uprawnienia. Założenie jest takie – przyznane autoryzacje nie zawsze w 100% odpowiadają wymaganym (często są o wiele większe, niż te, które rzeczywiście pracownik potrzebuje do realizacji swoich codziennych czynności). Należy zatem analizować wykorzystanie transakcji pod kątem ich wykorzystania.
Statystyki znajdują się w ST03N i aktualizowane comiesięcznie. Dzięki temu:
– transakcje niewykorzystywane można usunąć z uprawnień użytkownika
– transakcje niewykorzystywane w roli (przez żadnego z użytkowników) – można z niej usunąć całkowicie
Podsumowanie
Powyższy zestaw trzech elementów monitoringu użytkowników, o który możesz poszerzyć Twój system SAP wspiera procesy związane z zarządzaniem ryzykiem i bezpośrednio podnośni poziom bezpieczeństwa. Taka operacja pozwoli na szybkie uporządkowanie potencjalnych możliwości nadużyć.
Tu warto dodać jeszcze jedną szalenie istotną rzecz z perspektywy monitorowania użytkowników.
Podczas jednego z naszych projektów, po kilku tygodniach od wdrożenia powyższych funkcjonalności, poinformowani zostali użytkownicy o tym, że ich działania są monitorowane. Spadek pobrań danych do pliku spadł o około 63%.
A co robią Twoi użytkownicy w SAP?
Tomasz Jurgielewicz
Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.