Kommentarer til artikkel på digi.no om sikkerhetshull i Visma Business

Digi anklager mandag 01.april Visma for dårlig it-sikkerhet. Ingen av våre kunder skal være urolige for sikkerheten i våre løsninger. Sikkerhet er ekstremt viktig for Visma, og en del av et fortløpende vedlikehold og utviklingsansvar vi har for våre produkter. Vi ønsker derfor å kommentere saken i Digi med noen oppklarende opplysninger til alle våre kunder:

Først og fremst er det viktig for oss å si at de aller fleste av våre kunder har ingen grunn til bekymring. Man kan potensielt ha en sikkerhetsrisiko via måten Visma Business er satt opp på. Sikkerhetsrisikoen handler da om at ansatte eller andre fra innsiden av selskapet kan utnytte et sikkerhetshull som er der på grunn av valgt oppsett. Dette dreier seg altså ikke om en sikkerhetsrisiko knyttet til eksterne aktører. Visma har som en følge av denne saken kommunisert denne mulige risikoen til alle våre partnere, slik at de videre kan følge opp kundene.

Om sikkerheten i Visma Business

Våre produkter kan deles inn i to kategorier: lokalt-installert programvare, og skybasert programvare.

Den ene kategorien er Windows programvare for lokal installasjon i kundens IT-miljø. Her må kunden selv ta ansvar for IT-miljøet som programvaren skal driftes i, enten ved å ha det hos seg selv, eller å benytte en Hosting/ASP partner.

Den andre kategorien er skytjenester hvor Visma tar et helhetlig ansvar for hele leveransen, ikke bare programvaren, men også drift, oppgraderinger, feilretting, backup og ikke minst sikkerhet.

Visma Business tilhører den første kategorien. Vår oppgave er da å sørge for at de tekniske løsningene i Visma Business er sikre, og dokumentere hvordan de skal implementeres. Det gjelder både brukerhåndtering, pålogging, og den underliggende tekniske plattformen. Dette er en kontinuerlig prosess, hvor det gjennom årenes løp har blitt gjort stadige forbedringer. Flere av disse har kommet basert på innspill og tilbakemeldinger fra dyktige IT-ressurser hos våre kunder og partnere. Hvis det oppdages feil eller mangler relatert til sikkerhet, har det høy prioritet. Samtidig er det også over tid endringer i de tekniske kravene, både fra kundene og på grunn av teknologibaserte premisser.

Visma Business er ikke laget med tanke på at kunder selv gjøre implementering og drift, da de fleste av våre kunder ikke har dette som sin kjernevirksomhet. Derfor har vi et landsdekkende partnerapparat og et kontinuerlig kompetanseprogram for å holde det oppdatert, slik at de kan levere sine tjenester på en god måte. Samtidig ser vi at det er kunder med egne IT-ressurser som ønsker å ha et større ansvar relatert til ERP-systemet, og da legger vi til rette for at de kan det gjennom å dele alt vi har av ressurser og tilbud om kurs og kompetanseheving.

Dette er saken Digi skriver om

I januar i år startet en av våre kunders IT-ansvarlig en diskusjon i Visma Community, om det kunden mente var et sikkerhetshull i Visma Business. Kunden ba om en kommentar fra Visma på dette, og lurte på om Visma hadde noen “beste praksis” på hvordan vi jobber med sikkerhet. Etter dialog mellom oss og kunden, ble det konkludert med at det var et sikkerhetshull, og årsaken er om man har et oppsett som ikke er i tråd med vår anbefaling som ble innført i 2003. Med økt fokus på sikkerhet, blant annet i forbindelse med innføringen av GDPR i 2018, ble våre anbefalinger på nytt publisert og kommunisert til alle våre kunder.

Kunden mente likevel at på tross av at man er på gammel/utdatert versjon, bør det ikke bør være mulig å sette opp løsningen feil. Vi er enig med kunden i dette, og videreførte derfor denne saken til vår utviklingsavdeling. Vi besluttet da å implementere en ny løsning til Visma Business versjon 13.10.2 og versjon 14, hvor standard-oppsettet er i henhold til vår anbefaling. Det betyr at når kunder installerer denne versjonen, vil vi sjekke at kryptering er aktivert, og hvis den ikke er aktivert vil installasjonsprogrammet gjøre dette. For alle våre Visma Business kunder som kjører eldre versjoner, kan denne krypteringsfunksjonen aktiveres manuelt. Dette gjøres ved hjelp av en administratorfunksjon i Visma Business. Dersom kundene våre og deres partnere sørger for å følge våre anbefalinger, vil det dermed ikke være noe sikkerhetshull i Visma Business.

Mer om det tekniske

Visma Business benytter Microsoft SQL Server som database for å lagre sine data. For å lese/skrive data til databasen må Visma Business-programmet ha tilgang til SQL-Serveren.

Vår beste praksis er at en administrator oppretter en dedikert SQL-bruker til dette formålet, og setter opp Visma Business til å benytte denne brukeren, med et sterkt passord. Videre så anbefaler vi at det i Visma Business aktiveres kryptering av dette passordet. Dette passordet lagres i Windows registeret hos alle brukere av Visma Business.

Dyktige Windows teknikere benytter i tillegg forskjellige mekanismer for å hindre innsyn i Windows registret og Visma Business filområder, og mulighetene varierer avhengig av miljø og plattform. Det betyr at hvis Visma Business benyttes med ukryptert passord, har ikke brukere tilgang på den informasjonen.

I verste fall – hva er konsekvensene?

Hva er konsekvensene hvis en ansatt får tilgang til SQL-server brukernavn og passordet som Visma Business benytter?

Dette er først og fremst en internrisiko, det vil si at konsekvensene først vil være til stede hvis man har en kombinasjon av en ansatt med onde hensikter, i kombinasjon med teknisk kompetanse til å koble seg til SQL-Serveren og kunnskap om hvilke data og hvordan de skal manipuleres. Da har vi en situasjon med høy risiko.

Hvis disse forutsetningene er til stede vil det typisk være to type handlinger som er aktuelle.

Den ene er et ønske om å skade, og det vil kunne gjøres ved å slette deler eller hele databasen. Vedkommende vil ikke uten videre ha tilgang til back-upper av den grunn.

Den andre handlingen er økonomisk vinning. Typisk å legge inn leverandørfakturaer til utbetaling, eller manipulere kontonummeret på allerede registrerte transaksjoner som ikke er utbetalt ennå. Tilgangen til dataene gir ikke tilgang til å faktisk gjøre en utbetaling, men kun manipulasjon av grunnlaget. Hvis bedriften bruker en tjeneste som Autopay, vil Autopay varsle om kontonummer er endret, og denne informasjonen vil gis til den som gjør endelig godkjenning av utbetaling til bank. I praksis vil en bruker som har tilegnet seg en ulovlig tilgang til Visma Business som vanlig bruker med riktige rettigheter kunne gjøre akkurat det samme. I forbindelse med denne saken så har det aktuelle kunden fremstilt dette som et sikkerhetshull i Autopay. Det er Visma ikke enige i. Som eksempel, hvis kunden ikke benytter Autopay, men derimot laster opp betalingsfiler til sin nettbank direkte, så vil heller ikke banken stoppe disse manipulerte transaksjonene. Kan det da omtales som et sikkerhetshull i banken? Vi mener det ikke er grunnlag for å gjøre det.

Det er ikke dermed sagt at Visma ikke kan gjøre enda mer for å hindre svindel. Blant annet jobber vi med smart overvåking av Autopay for nettopp å detektere svindelforsøk og andre avvik som har oppstått i andre systemer, for å få enda flere sikkerhetsmekanismer. Vi bygger også inn overvåking på et tidligere tidspunkt, nemlig før fakturamottak. Nye og spennende muligheter utvikles nå i AutoInvoice for å stoppe svindelforsøk også på et tidligere tidspunkt. Dette er en del av en kontinuerlig utvikling med nye funksjoner og forbedringer i alle våre produkter og løsninger.

En trygg hverdag med Visma og Visma Business

Visma Business er Norges mest brukte ERP-system for mellomstore bedrifter med flere tusen installasjoner og titusenvis av brukere. Visma Business benyttes på tvers av svært mange forskjellige bransjer, alt fra regnskapskontorer til handel, bank og forsikring. Sikkerhet er ekstremt viktig for Visma, og sikkerhet er en del av et fortløpende vedlikehold og utviklingsansvar vi har for våre produkter, også Visma Business. Det skal våre kunder alltid være trygge på.

Har du spørsmål? Vi svarer deg gjerne. Ta kontakt med din partner eller oss på kundesenteret@visma.no