Vi ricordate il primo virus scoperto su SAP R/3 nel lontano 2002?
Si chiamava SAPvir e conteneva appena 24 linee di codice sfruttando l’Advanced Business Application Programming (ABAP), il linguaggio integrato in SAP R/3.
Non vi siete più preoccupati di tale vicenda a quasi 20 anni di distanza?
Peccato dovreste vedere cosa avviene oggi nel modo delle frodi e del Data Breach sui vostri sistemi.
Vulnerabilità rilevate in SAP R/3
Nel 2015 le vulnerabilità riscontrate in SAP erano più di 3500 in tutti i prodotti e circa 350 solo nella versione ECC.
Cosa significa tutto questo? Che i vostri dati non erano e non sono sicuri nemmeno oggi ed è necessario calcolare il rischio o magari i danni subiti dalla vostra organizzazione.
Secondo ACFE Association Certified Fraud Examiner le frodi complessive commesse nelle organizzazioni attraverso l’utilizzo improprio degli strumenti informatici, ammontano mediamente ad un 7% del fatturato complessivo dell’azienda.
Vulnerabilità e Missing Authorization
Le maggiori vulnerabilità riscontrate in SAP sono basate sulle “Missing Authorization”. Queste sono la mancanza di autorizzazioni in SAP che permettono agli utenti di compiere indisturbati l’inserimento di fatture fornitori false, la loro approvazione ed il relativo pagamento senza controlli.
Questo determina una situazione nella quale tali soggetti si portano a casa uno stipendio integrativo ogni mese. E’ necessario riflettere sull’implementazione delle misure idonee al contenimento di questi fenomeni.
Penetration Test e Red Flag
Le migliori metodologie per prevenire tali problematiche sono basate sull’implementazione di un piano di Cybersecurity integrato che comprenda differenti attività tra cui i Penetration test.
Esistono inoltre i cosiddetti “red flag”, letteralmente bandierine rosse, che in combinazione con i Penetration test ed altri strumenti investigativi aiutano a ridurre o intercettare tali fenomeni fraudolenti.
Fraud Risk Assestment e Progetti investigativi integrati
In conclusione è sempre meglio rivolgersi a professionisti con un approccio olistico al problema. Devono essere in grado di mettere in campo competenze nel settore IT, conoscere le investigazioni aziendali e verificare il corretto comportamento dei dipendenti soprattutto quelli apicali. Questo si può raggiungere anche attraverso piani di Fraud Risk Assestment e progetti investigativi integrati.
