VNSG Themadag
“Security in the new world”
valt in goede aarde
‘Dit helpt beveiliging op de agenda te krijgen’
Interview & Tekst Teus Molenaar

Het VNSG Security Event van dinsdag 13 juni bleek in een mum van tijd over ingetekend. De grote belangstelling blijkt eveneens tijdens de dag zelf waar de deelnemers gretig alle informatie tot zich nemen. “Deze ervaring en kennis helpt om het onderwerp bij het management op de agenda te krijgen”, zegt één van de deelnemers na afloop.

Op een donderdagmorgen zijn de uitnodigingen voor de bijeenkomst in het SAP-gebouw te Den Bosch verstuurd; de volgende dag zijn er al veertig aanmeldingen, zo vertelt Hans de Kiewit, secretaris van de focusgroep Security & Access Management (SAM). Uiteindelijk komen 150 mensen naar het evenement, met nog eens 20 mensen op een wachtlijst.
Hij toont zich ingenomen met het verloop van deze themadag. “Het is lastig om goede sprekers te krijgen”, legt hij uit. “Wij willen het liefst de verhalen horen van onze leden. De ervaringen van mensen die met de benen in de modder staan, die vertellen hoe het er in de praktijk aan toe gaat. Maar dat valt niet mee, omdat de meesten geen toestemming krijgen van hun meerderen om te vertellen hoe zij hun beveiliging op orde hebben gebracht. Ze willen niemand op slechte gedachten brengen. En dat is ook wel begrijpelijk”, aldus De Kiewit.

Niettemin ziet hij terug op een geslaagde dag. Vooral de presentatie van Ümit Özdurmus weet hem te boeien. Özdurmus is Global Head SAP Security Practice, is de eerstaangewezene als het om beveiliging gaat bij de softwarefabrikant. “Hij weet hoe je moet presenteren. Hoe je mensen enthousiast moet maken. Hij komt met anekdotes, maar weet ook te relativeren.”
De boodschap van de ‘veiligheidsbaas’ is dat SAP de zorgen van de gebruikers serieus neemt, maar dat de gebruikers zelf ook actie moeten ondernemen. Niet achterover leunen en wachten tot SAP het allemaal oplost. “Je bepaalt zelf wat je aan security doet”, klinkt het.

Leeft niet
Dat beveiliging niet een loze kreet is, valt op te maken uit wat Joris van de Vis naar voren brengt. Hij is SAP Netweaver & Security specialist bij ERP-SEC. In zijn keynote zegt hij dat Verizon 350 miljoen dollar (op een bod van 4,5 miljard dollar) minder biedt voor Yahoo nadat bekend is geworden dat de laatste bij twee inbraken gevoelige informatie was kwijtgeraakt die twee miljard Yahoo-gebruikers heeft geraakt. Hieruit blijkt dat een goede bescherming van gegevens serieus geld waard is.

Hij geeft aan dat SAP niet stil zit. De onderneming heeft een baseline security document (Inloggen met S-nummer is verplicht, vervolgens gaat het om NOTE 2253549) opgesteld en maandelijks worden SAP Security NOTES gereleased.

Hem is wel opgevallen dat het onderwerp SAP en security niet echt leeft. “Ik heb op Google Trends gekeken hoe het verloop is over de afgelopen zeven jaar van de zoekterm Security. Dan zie je dat hier steeds vaker naar wordt gezocht. Maar als je nagaat hoe het zit met de zoekterm ‘Security en SAP’, dan zie je dat die lijn nauwelijks stijgt. Blijkbaar leeft dit niet.”

Terwijl er toch alle reden is om SAP-data beter te beschermen, meent van De Vis. “Afgaande op 6 jaar lang SAP Security assesments bij klanten blijkt dat de basisbeveiliging van de SAP-systemen in Nederland vaak niet optimaal is. Als je dan ook nog eens bedenkt dat veel organisaties aan de slag gaan met Internet of Things, kunstmatige intelligentie, en dergelijke, dan nemen de risico’s exponentieel toe.”

Hij erkent dat SAP-security daarbij ook nog niet zo simpel is. Des te meer reden om er de volle aandacht aan te geven. Temeer daar in Nederland honderden SAP-systemen rechtstreeks met internet zijn verbonden. Hem is tevens opgevallen dat binnen de SAP-systeem al te vaak de standaard wachtwoorden worden gebruikt.

“Je moet met elkaar afspreken wie verantwoordelijk is voor de beveiliging van SAP-systemen en die persoon/club dan ook de ruimte daarvoor geven. Lees in elk geval de Security NOTES van SAP maandelijks”, geeft hij het publiek mee.
Monitoring
Threat monitoring, ofwel nagaan aan welke bedreigingen een SAP-systeem blootstaat, is nog niet echt ingeburgerd in Nederland. Zo weten Roy Mutsaers, Senior Consultant en Rick van Galen, Consultant, beiden bij KPMG Cyber. Zij houden een verhandeling over dit onderwerp. Is threat monitoring al niet in zwang voor de geautomatiseerde systemen, zij is het zeker niet voor SAP-systemen.

Op zichzelf niet zo vreemd, zo meent het tweetal, omdat de huidige tools veel investeringen vergen. Niet zozeer in geld, alswel in de tijd en kennis die nodig is om het gereedschap fijn te regelen, om het precies af te stemmen op een specifiek systeem. “Er zijn veel tools beschikbaar, zowel preventief als detectief, maar er is nog weinig bekendheid over hoe ermee om te gaan.”

Zij zien wel dat het beter wordt. “Dankzij machine learning worden de monitoring tools steeds intelligenter.”

Voorbij de ‘nee-muur’
Twee bezoekers, beiden werkzaam bij het ministerie van Defensie, spreken van een welbestede dag. “De logistiek was goed, de presentaties waren interessant; we hebben veel kennis opgedaan. Onder andere over de tooling die je kunt gebruiken. Bij dagelijkse gang van zaken heb je meestal geen tijd om bij dit soort zaken stil te staan. Daarom is het goed om een dag als deze te bezoeken. Ook omdat je tips krijgt van mensen die hetzelfde soort werk doen; los van de presentaties dus.”

Ze vinden dat SAP wel wat meer aan security mag doen; zich iets actiever mag opstellen op dit vlak. Bij vraagstukken op dit vlak, nemen ze contact op met SAP. “Maar je moet eerst door die laag heen van menen die standaard ‘nee’ zeggen; je moet vasthoudend zijn. Dan moet je wel bij jezelf nagaan of het die moeite waard is. Wij hadden een security-issue waarbij versleutelde wachtwoorden toch op een bepaalde manier zichtbaar werden. Daar hebben we contact over gehad, maar dat heeft niet tot aanpassingen geleid. We hebben dat maar zo gelaten, maar bij een ander geval zijn we echt doorgegaan, want dat was echt riskant voor ons. Dat is na veel aandringen opgelost.”

Erkenning
Een andere bezoeker is vooral blij met de erkenning die hij op een dag als deze ondervindt. “Je merkt dat je niet de enige bent die met vragen zit. Voor mij sterkt hij me om beveiligingsvraagstukken op de agenda te krijgen bij het management. Dat wil er vooral geen geld aan uitgeven, omdat ze het weggegooid geld vinden, maar met de opmerkingen en voorbeelden die ik hier hoor, kan ik wel uit de voeten om uit te leggen dat het noodzakelijk is. Trouwens, GDPR zet het onderwerp sowieso al op de agenda.”

Hij vindt overigens dat SAP niet veel te verwijten is. “Het ligt toch wel aan de third parties waarmee je zaken doet. Die zijn het eerste aanspreekpunt. En ja, daar mag wel wat meer oog zijn voor security.”