ARNOUD ROEBERS Bestuurslid VNSG & Sr. Solution Architect Rabobank
Voordat ik begin lijkt het mij –als nieuw lid van het bestuur van de VNSG- goed dat ik mezelf kort voorstel. Ik ben werkzaam als Senior SAP Solution Architect bij de Rabobank, mijn vrouw Anke en ik hebben drie dochters en wij wonen in Best. Een gezamenlijke passie die wij als gezin hebben is paardrijden, een hobby die wel eens als gevaarlijk wordt betiteld. Op de Spoed Eisende Hulp (SEH) index staat paardrijden op nummer drie, maar moet je het dan niet gaan doen, of welk risico accepteer je eigenlijk?
De VNSG heeft in de IT Trends enquête vragen gesteld over security. Heel kort samengevat blijkt dat de leden security als een belangrijk topic zien. Onze leden verwachten van de leverancier (SAP) dat security bedreigingen serieus worden aangepakt, maar zien het wel als een gezamenlijk topic (een gedeelde verantwoordelijkheid dus). Bij gezamenlijke verantwoordelijkheid is het wel zaak goed vinger aan de pols te houden en niet te wachten tot de andere partij tot actie overgaat.
Bij IT systemen kunnen hackers aanzienlijk schade berokkenen, maar je hébt een systeem nodig. Je accepteert dan –zij het impliciet- een bepaald risico. Dit geaccepteerde risico is niet altijd bij iedereen duidelijk, laat staan geaccepteerd. Informatie die op straat komt te liggen vindt men –terecht- onacceptabel. Maar het zou een keer kunnen gebeuren en wat heb je dan gedaan om dit te voorkomen?
In de SAP wereld is het écht goed beveiligen van het systeem onderbelicht gebleven. We zaten immers altijd lekker veilig achter een firewall die de gevaren prima kon weer staan. Wat is er dan veranderd en is er sowieso wel een probleem?

Arnoud Roebers

Ik denk het wel; waarom? De focus op SAP beveiliging is tot op heden meestal op het niveau van functiescheiding geweest, met andere woorden het juist instellen van autorisaties. Maar er is meer dan een juiste instelling van autorisaties. Er is ook een andere soort van beveiliging; deze zit in een lastige en erg technische hoek. Niet veel mensen beheersen dit. Maar dat er een gevaar is, is wel duidelijk.
Er zijn ook een aantal mythes rond security:
• SAP systemen zijn alleen op het eigen netwerk benaderbaar, dus we hebben geen probleem.
• SAP staat gelijk aan Duitse degelijkheid en moet dus wel veilig zijn.
• SAP Security is toch alleen maar inrichting van segregation of duties?
• SAP systemen worden niet door hackers aangevallen, want deze zijn te specifiek.
• SAP Security is SAP zijn probleem. We zijn compliant, dus veilig.
Wat moet je dan nu doen?
Patch regelmatig alle componenten. Gebruik tools. Lees en implementeer de relevante SAP Security Guides en Whitepapers . Beveilig op zijn minst de RFC koppelingen en verander de standaard wachtwoorden. Controleer regelmatig je landschap, eventueel via open source of commerciële tools. Zorg voor voldoende logging; mocht het fout zijn gegaan, dan heb je tenminste nog iets om op terug te vallen.
En als je er niet uitkomt: huur specialisten in!
Laat het je nachtrust niet verstoren en kom in actie zou ik zeggen, stil zitten is nooit een optie.
Ik wens je veel leesplezier
Arnoud Roebers