ERP-systemen zijn gevoelig voor fraude en diefstal

Veel bedrijfsprocessen worden tegenwoordig samengevoegd in één allesomvattend systeem, het zogenoemde erp-systeem (enterprise resource planning). Dat is op zich goed nieuws, maar fraudeurs en ‘verduisteringsspecialisten' zien steeds vaker mogelijkheden om via deze systemen een grote slag te slaan. Dat is volgens Henk van der Heijden meestal toe te schrijven aan onwetendheid en nalatigheid van de beheerders. Hij legt uit wat je hier tegen kunt doen.

Fraudeurs en ‘verduisteringsspecialisten' maken steeds vaker misbruik van gaten in en gebrekkige beveiliging van erp-systemen. Deze gaten ontstaan doordat er aan een aantal basiseisen niet wordt voldaan. Zo is er vaak sprake van gebrekkige autorisaties, geen helder taakonderscheid, hanteren van onjuiste beleidsregels enprocedures, amateuristisch ontwerp van de database en slecht onderhoud van deze vaak gevoelige data. Het identificeren en blijvend controleren hiervan verlaagt echter het risico op misbruik van gegevens aanzienlijk.

Fraude en verduistering zijn het gevolg van druk om te frauderen, kwaadwillende bedoeling en gelegenheid. Alleen deze laatste factor is door een bedrijf te beïnvloeden. Het gaat dan vooral om de mate van beheer van informatiesystemen en de aanwezige controlemechanismen.

Gegevens op waarde schatten

De overstap naar een erp-omgeving betekent meestal de samenvoeging van verschillende ‘legacy'-systemen die gevoelige data beheren, zoals bankgegevens en betalingsvoorwaarden. Al deze data wordt steeds vaker beheerd in één systeem met één database. De overstap hiernaartoe is complex en verloopt in drie stappen: het exporteren van de data uit systeem X, het verbeteren van de gegevens en het importeren in het erp-systeem.

Wanneer gedurende een van deze drie stadia de data onvoldoende is beveiligd, is de kans aanwezig dat deze opzettelijk wordt gewijzigd of in verkeerde handen valt. Bedrijven moeten daarom als eerste gevoelige data identificeren en met regelmaat controles uitvoeren op de integriteit van de data en het onderhoud ervan.

Controle en systeembeheer

De implementatie van een veilig erp-systeem staat of valt met het invoeren van controlemechanismen en het juiste systeembeheer. Hoewel de informatie in een dergelijk systeem, zoals gegevens over klanten, medewerkers, leveranciers en resultaten, zeer gevoelig kan zijn, krijgen medewerkers vaak bredere toegang dan noodzakelijk om het systeem gebruiksvriendelijker te maken. Onjuiste autorisaties vergroten echter het risico op fraude en verduistering.

Erp-systemen zijn zeer complex en er zijn verschillende mogelijkheden om brede autorisatie te krijgen. In SAP-systemen is gebruikersbeheer bijvoorbeeld gebaseerd op gebruikersprofielen, -regels en -objecten. Een gebruiker kan dus toegangsrechten krijgen op basis van een onjuist profiel, kan verkeerde regels toegewezen krijgen of gecompromitteerde objecten ontvangen. Het aanscherpen van deze autorisaties is echter een tijdrovend, complex proces.

Taakverdeling en audits

Bedrijfsgebeurtenissen worden door erp-systemen in realtime geregistreerd. Hierdoor wordt de preventie en het ontdekken van fraude lastiger. Als iemand bijvoorbeeld een voorraadlijst steelt en vervolgens direct de voorraadtoepassing in het erp-systeem aanpast, is de verduistering nauwelijks te ontdekken. Het uitvoeren van audits kan dit voorkomen.

Erp-systemen werken via een database. Dit versnelt de informatiestroom en procesintegratie en maakt het mogelijk om de meeste bedrijfsprocessen binnen één systeem te beheren. Wanneer een bedrijf dus geen duidelijk taakonderscheid heeft aangebracht, is misbruik van toegangsrechten waarschijnlijk al regelmatig gebeurd. Verschillende verduisteringen hadden voorkomen kunnen worden door een heldere taakverdeling te maken.

Automatisering van autorisatie

Aanpak

Henk van der Heijden, Comsec