Quante volte abbiamo sentito (magari non in maniera così pubblica) abbiamo subito una frode.
Una di quelle frodi che possono essere interne oppure per disattenzione da parte di ognuno di noi verso l'esterno. Uno dei casi più famosi, che sfrutta spesso le tecniche di social engineering è quella della CEO Fraud o truffa dell'amministratore. Ma cosa possiamo fare in SAP per prevenire queste situazioni?
Ne abbiamo parlato anche in questo video. Tuttavia, esiste molta documentazione a riguardo su quali sono i "pre-requisiti" per “l’attivazione” di una frode aziendale ovvero
Una delle più frequenti come citato nel titolo di questo post blog è appunto la truffa del CEO ovvero, solitamente viene richiesto di fare un bonifico molto urgente a nome o per conto del CEO (o altro manager) verso ignoti.
Il tutto può sembrare davvero inverosimile visto da fuori, ma una volta che si è "dentro" il contesto e la situazione, può essere tutto normale.
Va inoltre considerato che solitamente non sono attacchi "mordi e fuggi" ma ci sono attività di preparazione che richiedono tempo, dove viene, tramite tecniche di social engineering, violato un accesso (ad esempio quello della segretaria/o dell'amministratore) di conseguenza l'attaccante può controllare il traffico di mail in diretta e capire quando sia il momento più opportuno per intervenire.
Interessante anche il report dell'ACFE (Association of Certified Fraud Examiners) dove sono mostrare delle statistiche reali per settori, tipologie ed altri dati utili a comprendere il fenomeno.
Ecco qualche punto rilevante dal ACFE report 2022 (dove l'Europa rappresenta l'8% dei casi analizzati) rispetto agli Stati Uniti dove arriviamo al 36%.
Ma perché anche in SAP è importante controllare questi aspetti?
In particolare, il sistema SAP ERP in quanto su questo sistema sono presenti molti dati (personali, aziendali, finanziari) ed è possibile effettuare vere e proprie transazioni di business. Compreso, chiaramente, i pagamenti verso terzi. Non sempre tutti questi processi transitano esclusivamente da SAP, tuttavia questo può non essere sempre un deterrente.
Questi aspetti sono fondamentali sia per le società quotate in borsa sia per quelle che non lo sono in entrambi i casi potrebbero beneficare di meccanismi di controllo per prevenire queste situazioni.
Chiaramente esistono diversi modi:
Questo ultimo punto rappresenta l'argomento principale di questo contenuto. Infatti, sono disponibili sul mercato (oltre alla soluzione SAP chiamata Business Integrity Screening, in passato Fraud Management) diverse soluzioni per effettuare questi controlli in maniera più o meno sofisticata. Uno di questi è chiamato remQ valido sia per i sistemi SAP ECC sia per le soluzioni S/4HANA.
Si tratta di uno strumento (addon SAP, che quindi non richiede hardware dedicato) che possiede nativamente una libreria di controlli su diversi processi, prettamente finanziari (ma è possibile attivare dei controlli personalizzati anche in altri ambiti ad esempio nei settori utility, farmaceutico, assicurativo).
Ognuno di questi controlli ha un meccanismo di rilevazione associato che permette di andare a identificare direttamente nel sistema, tramite l'analisi delle azioni realmente svolte dagli utenti (non quindi il solo utilizzo delle applicazioni o transazioni) se effettivamente è stato generato qualcosa di "non corretto". Alcuni esempi:
Nel caso in cui ci sia una situazione di rischio, lo strumento non solamente intercetta l'azione generando un alert (che può essere soggetta ad approvazione) ma può, eventualmente, effettuare delle azioni di mitigazione automatica. Ovvero, ad esempio, introdurre dei blocchi sul fornitore o sugli oggetti di business per prevenire l'errore o frode.
Contattaci per vedere cosa abbiamo fatto in casi reali e per provare la soluzione.