Ethisch hacken legt lekken in SAP-systemen bloot

Door - in opdracht - de SAP-omgevingen van een multinational te hacken, kwamen cybersecurityexperts van PwC erachter dat het bedrijf zo 'lek als een mandje' was.

Wat was het probleem?

Hoe goed hebben wij onze SAP-systemen beveiligd, waarvan wij dagelijks afhankelijk zijn voor processen, intellectueel eigendom, contracten en allerlei privacygevoelige informatie? Dat was de vraag waarmee een multinational naar de cybersecurityexperts van PwC kwam. Het bedrijf beschikt wereldwijd over tientallen SAP-omgevingen. De lappendeken van systemen is, zoals bij veel multinationals, het resultaat van lokale implementaties, landenorganisaties, businessunits en overnames. De vraag naar de kwetsbaarheid kwam naar voren door nieuws over de impact van cyberaanvallen op SAP-systemen bij andere bedrijven.

Wat was de oplossing?

Twee experts van PwC hebben gedurende dertig dagen SAP-omgevingen van het bedrijf gehackt. Zij gebruikten technieken die kwaadwillende hackers toepassen. De uitslag: bijna alle omgevingen konden ze volledig overnemen of platleggen. Als ze gewild hadden, konden de PwC'ers gegevens wijzigen, kopiëren en vernietigen, en betalingen doen. Volgens de spelregels maakten zij slechts screenshots van informatie om aan te tonen dat ze binnen waren geweest. Na verificatie met de verantwoordelijke systeemmanagers ging de volledige rapportage naar de CIO. De beknopte samenvatting luidde: jullie moeten dit meteen repareren.

Wat was het resultaat?

Het resultaat was vooral een sterk verhoogd gevoel van urgentie bij de multinational. Nadat men bekomen was van de schrik, is de klant samen met PwC het vervolgtraject begonnen. Eerst hebben we de huidige omgevingen beter beveiligd. Zo hebben we de manier van communicatie tussen de systemen verbeterd en de opslag van wachtwoorden beter beveiligd. Met het aanpakken van de top tien aan kwetsbaarheden was de beveiliging al met tachtig procent verbeterd. Daarnaast hebben we een beheerplan gemaakt om de cybersecurity op lange termijn te waarborgen. Zo implementeert het bedrijf nu structureel security notes, het meet periodiek hoe de stand van de cybersecurity is en heeft de verantwoordelijkheden bij de juiste mensen met voldoende kennis neergelegd.

Contact

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Dataprivacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Volg ons