SAP Mail, in SAP tutti leggono le mail di chiunque?

Sono quelle aree che spesso vengono poco presidiate, tuttavia quando si inviano delle mail, queste potrebbero contenere nel corpo della mail o negli allegati dei dati sensibili o personali.

In SAP esiste una funzionalità per vedere tutte le mail in uscita da SAP, anche in termini di contenuto.

Vediamo in cosa consiste e perché viene spesso sottovalutata in termini di security.

Come inviare mail da SAP?

Esiste uno specifico modulo che permette di inviare mail in SAP, è chiamato SAP Office.

Tramite la transazione SBWP (SAP Business Workplace), vedi immagine sopra, che spesso viene correttamente inserita nel ruolo di base rilasciato a tutte le utenze SAP, è possibile ricevere e/o inviare dei messaggi di posta. Ne esistono diverse tipologie:

• External Address
• SAP Logon Name
• FAX
• Business Partner
• etc..

Quanto sopra chiaramente rappresenta la modalità da utente finale.

Tuttavia è possibile utilizzare la funzionalità di gestione mail anche tramite programmi. Ad esempio una volta completata (magari eseguita in background) una elaborazione invio una mail di notifica ha chi aveva richiesto quella determinata attività.

Quali sono le transazioni SAP per la gestione delle mail?

Ne esistono diverse le principali sono le seguenti:

• SBWP - SAP Business Workplace
• SOST - SAPconnect Send Requests
• SOSG - Send Request Overview (Groups)
• SOSB - Send Request Overview (Users)
• SCOT - SAPconnect - Administration
• Le transazioni SO1* SO2* SO3* ad esempio:
• SO01 SAPoffice: Inbox
• SO04 SAPoffice: Shared Folders
• SO23 SAPoffice: Distribution Lists

Dalla prima in alto per la gestione da utente finale, è un po' come se fosse l'outlook di Microsoft all'interno di SAP.

Alla gestione da amministratori delle mail, ad esempio la transazione SCOT.

Probabilmente la più sottovalutata è la SOST. Ovvero la possibilità di vedere le mail in uscita da SAP, indipendentemente da chi le ha inviate. Nella colonna Sender è infatti possibile vedere chi ha inviato la mail.

Tramite la selezione della mail e il pulsante degli occhiali è possibile visualizzarne il contenuto.

Cosa può esserci nelle mail?

Il contenuto delle mail può essere il più disparato ad esempio:

• Link approvativi, ovvero premendo sul link si accedere ad un portale di approvazione. Dipende poi se questo portale effettua ulteriori verifiche sull'utente che sta approvando
• Nel corpo della mail. Ovviamente il contenuto effettivo della mail potrebbe contenere dati personali o sensibili per la società che alcune persone non dovrebbero vedere
• In alcuni contesti è possibile trovare soluzioni che inviano mail contenenti password in chiaro. Anche in questo caso l'intercettazione di questi messaggi comporterebbe l'impossessarsi di credenziali che potrebbero essere utilizzate impropriamente
• Gli allegati. Anche se il contenuto della mail potrebbe essere generico ed innocuo l'eventuale allegato potrebbe non esserlo

Immagina infine la presenza di un programma per il calcolo delle scontistiche da applicare o l'invio automatico di dati sensibili ad un numero ristretto di persone.

Il sender in questo caso potrebbe essere una utenza di sistema, ma tramite la SOST potrebbe essere possibile vederne il contenuto.

Come controllare?

Possono essere diverse le verifiche lato audit da fare:

1. Verificare che la transazione SOST non sia assegnata a nessun utente finale.
2. Valutare la segregazione di chi ha la possibilità di inviare mail
3. Analizzare gli oggetti autorizzativi standard per valutare eventuali segregazioni, ad esempio l'oggetto S_OC_ROLE
4. Evita se possibile l'utilizzo dell'attributo di classificazione "sensitivity" in quanto un amministratore comunque potrebbe leggere il contenuto della mail usando le tabelle oi function module

A proposito del caso due sopra, immagina questo scenario:

Un utente, magari di una società esterna, che ha una postazione senza mail aziendale ma con accesso a SAP.

Quest'ultimo potrebbe inviare mail all'esterno sfruttando la mail SAP in mancanza di quella aziendale.