App-Sikkerhed

Har du tænkt over sikkerheden, når du downloader apps til din Business Central? Hvis vi fortæller dig, at sikkerheden i Google Play og Apple App Store er højere end for AppSource til Business Central, vil det nok komme bag på de fleste.

AppSource giver nye og fantastiske muligheder for at finde og tilkøbe udvidelser til Business Central, som vi ikke tidligere har haft. Herudover giver det mulighed for, at du som virksomhed og bruger af Business Central i højere grad selv, og uden involvering af konsulenter, kan udvide funktionaliteten, så den bedre passer til netop dine behov. Alt sammen positivt og en god udvikling.

Der er dog grund til at være varsom med, hvem i din virksomhed der kan downloade og installere apps, og der er grund til at overveje, hvilken udbyder der står bag den app, du gerne vil installere.

I Business Central ligger en række fortrolige oplysninger, såsom dit kunderegister, dine virksomhedsoplysninger, dine indtjeningsforhold, dine leverandører – inklusive betalingsoplysninger, der anvendes, når du overfører penge fra dine egne til andres bankkonti.

Alt sammen fortrolige og forretningskritiske data, du ikke ønsker at dele med andre.

Hvem kan udbyde apps på AppSource, og hvilke krav og kontrol fører Microsoft?

Den der udbyder apps skal være registreret hos Microsoft for at kunne blive en godkendt udbyder. Det kræver, at der udarbejdes nogle formelle dokumenter, nemlig Slutbruger Licens Aftale og en Politik for Privatlivsbeskyttelse, der skal være tilgængelig via AppSource.

Derudover skal udstederen have et såkaldt kode-signeringscertifikat, som fortæller, hvilket firma der har skrevet koden. Certifikatet skal være udstedt af en autoriseret certifikatudbyder (f.eks. GlobalSign). Det er ikke høje krav, og der er ingen formel kontrol af udbyderens kompetencer eller hensigter, så det er forholdsvis let at blive godkendt som app-udbyder.

Den kode, der ligger i apps på AppSource, er ikke grundigt gennemlæst og kontrolleret af Microsoft.

Microsoft foretager formel og maskinel kontrol af koden i apps, der sikrer, at den ikke indeholder ulovlige komponenter eller mønstre – og for at kontrollere, om appen opfylder en række formelle krav, som lidt fortegnet kan sammenlignes med lige margin, højre margin og stavekontrol.

Microsoft tjekker ikke for bevidst “ond” kode eller ubevidst og utilsigtet ødelæggende kode. En kode kan være ødelæggende i sig selv, men den kan også være i konflikt med hele – eller dele af – standard Business Central eller i konflikt med andre apps, der er installeret i samme database.

En bevidst ”ond” kode kan anvendes til at sende kundeoplysninger, ændre betalingsoplysninger osv., der i sidste ende kan true din virksomheds overlevelse.

Bevidst og utilsigtet ødelæggende kode kan f.eks. betyde, at den ønskede funktionalitet ikke virker eller kan være helt eller delvist blokerende for at løse andre opgaver i Business Central.


Hvad giver du adgang til, når du downloader en app?

Alt, er det korte svar. Den kode, der findes i apps, har direkte adgang til hele din Business Central database og de data, der findes heri. Den vil også have en internetforbindelse til rådighed.

Ved download af apps til din telefon er du vant til at blive stillet en række rettighedsspørgsmål omkring adgang til dine kontakter, dine lokalitetsoplysninger, dine billeder eller dit kamera. Du vil ikke blive mødt af tilsvarende ved installation af en app til Business Central. Det framework, der udvikles i, indeholder ikke et rettighedsværktøj, der begrænser udvikleres adgang til relevante områder for den pågældende app. Og der findes tilsvarende ikke værktøjer, der synliggør overfor brugeren, hvilke områder af Business Central koden læser eller ændrer.

Dette betyder i praksis, at en app – f.eks. en app til at sende transportoplysninger på dine vareforsendelser – kan ændre din virksomheds bankoplysninger og fiske din kundeliste, uden at du bliver gjort opmærksom på, at appen er uden for sit relevante domæne.

Den ”onde” kode kan afvikles ved installation, men også ved efterfølgende opdateringer – når som helst – gennem daglig brug eller sågar ved afinstallation.


Hvad kan du gøre for at øge sikkerheden?

Der kan være mange gode og vigtige argumenter for at anvende apps til forbedring af processerne i Business Central, men for at minimere risikoen for bevidste og utilsigtede hændelser, anbefaler vi, at der udarbejdes en intern politik for installation af nye apps.

Det bør som minimum indeholde:

  • Regler for, hvem der har adgang til at downloade og installere nye apps i Business Central.
  • En rettighedsmæssig blokering for installation af apps for andre brugere, end de der er givet rettigheder til at downloade og installere.
  • Et baggrundstjek af udbyder: Er det en kendt og anerkendt Business Central-forhandler? Er de tilgængelige for support, og har de givet korrekte og fungerende kontaktoplysninger?
  • Test af den ønskede app i en isoleret testdatabase inden publicering til driften.

Din sædvanlige Business Central-konsulent kan være behjælpelig med testdatabase og i et vist omfang også med branchekendskab til udbydere – men da koden i en app ikke nødvendigvis er tilgængelig for andre end udbyder, er en test af appen vigtig. Særligt hvis udbyder er mindre kendt i markedet.


Kontakt Ecodel