Zamanın her dönem üzerine bir etkisi vardır. Günümüzdeki etkisi de dijitalleşmek ve sanallaşmaktır. Dijital alt yapıların kullanıma sunduğu imkân ve sağladığı kontrol, tasarruf, kolay erişilebilirlik ve raporlama tekniği ve fırsatı ile insanın elinin değdiği her alan, dijitalleştirme tutkusuna dönüşmeye başlamıştır.
Geçtiğimiz on yılda her alanda olduğu gibi ticarette de dijital altyapılar elektronik dönüşümleri beraberinde getirmiştir. Özel sektör, dijital gelişmeleri daha önceden yakalamış ve büyük hacimli iş süreçlerini ERP sistemleriyle kontrol etmeye başlamıştır. İnternet alt yapısının da gelişmesiyle artık ERP sistemleri, her yerden ve her cihazdan erişilebilir hâle gelmiştir.
Günümüzde özellikle siber tehditler ve kaynakları çok heterojen; hedefler ise çok çeşitli olabilmektedir. Saldırıdan önce tedbir almak ve hazırlıklı olmak, sosyal ve ekonomik zararların önüne geçilmesinde hayatî önem taşımaktadır. Siber saldırılara hedef olan ERP sisteminin güvenliği, işletmeler için bir nevi tehdit oluşturmaktadır.
İşletmelerde eski sürüm ya da desteği çekilmiş yazılım kullanma, güvenlik zafiyetleri oluşturmaktadır. Yazılım firmaları, yazılımın güvenlik açıkları ve altyapı problemlerine göre yeni sürümler ve yeni ürünler çıkarmaktadır. İşletmeler, güncelleme ve yeni sürümler için kaynak ayırmakta yazılım firmaları ise geleneksel ERP yükseltme zor olduğundan dolayı ürün değişikliğine gitmektedir.
Araştırmalar şirketlerin %66’sının güncellenmiş ERP sürümlerini kullanmadığını gösteriyor. Firmaların ilâve maliyetler çıkaran güncellemelere karşı direnmeleri ciddi güvenlik açıkları oluşturmaktadır. Saldırganlar özellikle yayınlanan güncellemeleri inceleyerek önceki sürümdeki hataları ters mühendislikle tespit edip, düşük sürümde yazılım kullanan firmaları hedef olarak seçmektedir.
Gerçek bir işletme yazılımı güvenliği için bütünsel bir yaklaşım takip edilmelidir. ERP ’de yazılımın güvenliği, üzerinde çalıştığı işletim sisteminin güvenliği, sunucunun fiziksel güvenliği, ağın güvenliği, son kullanıcıların güvenliği gibi konular sorgulanmalıdır. Güncel olmayan bir işletim sisteminin üzerinde çalışan ERP’nin güncellenmesi, sistemin güvenli olduğunu göstermemektedir. Eski ürünleri kullanan müşteriler böyle bir durumda oluşan açıklara yapılacak saldırılara maruz kalmaktadırlar. Bunun en kötü örneği endüstride Windows XP işletim sistemi ile yaşanmaktadır. Yeni yapılan araştırmalarda Windows XP kullananların oranı %20’dir. İşletmelerde kullanılan işletim sistemleri oranına bakıldığında %60’lara yaklaşmaktadır. Bu durum, güvenlik açıkları olan işletim sistemleri, aktif ve pasif saldırılara çok açık olduğundan ciddi güvenlik riskleri oluşturmaktadır.
Yetersiz raporlama yeteneği yeniden dış raporlara yol açabilir. Veri denetimi kaybı da veri güvenliğini doğrudan etkileyen bir unsurdur. Yeni nesil ERP sistemlerinin çözdüğü raporlama araçları, sistemin doğru ve güvenli çalışmasının kontrolü için hayatî veriler üretirler. Bu verilerin de üretildikten sonra canlı sistemden hariçte, güvenli bir yerde tutulması gerekmektedir. Bir veri sistemi için en tehlikeli komut güncellemedir. Kabiliyetsiz raporlama araçları ile verilen raporların en büyük problemi, verinin geriye dönük kontrolü ve zaman içerisinde değişmiş verideki değişimi gösteremiyor olmasıdır. Geriye dönük verilerdeki güncellemeler, tespiti çok zor ve telafisi mümkün olmayan sonuçlar doğurabilir.
Veri denetimi kaybolmuş bir ERP sisteminde dış raporlama ihtiyaçları doğmaktadır. Özellikle kritik verilerin dışarıya aktarılmasına Access ve Excel gibi kullanıcı dostu ara sistemlerde izin verilmektedir. Verinin başka bir hedefe açılması, yalnızca ana sistemin güvenliği ile değil verinin açıldığı alt hedef sistemlerin de güvenli olmasını gerektirmektedir. Veri dışarı aktarıldıktan sonra taşınması, kopyalanması ve bunun kontrol edilememesi ciddi güvenlik zafiyetleri doğurmaktadır. Daha güvenli, kabiliyetli ve merkezi olarak yapılabilen raporlama araçları tercih edilmelidir. ERP sistemlerinde işletmenin vereceği beyanlardan yola çıkılarak veriler önemine göre sınıflandırılmalıdır. Veri denetimi ve yetkilendirme artırılmalı, dışarıya aktarılırken verinin sınıflarına göre tanzimi yapılmalıdır. Ancak bu noktada güvenlik protokollerinin şeffaf olmasına önem verilmeli, kullanıcının çalışmasını engelleyecek, zorlaştıracak uygulamalardan uzak durulmalıdır. Güvenlik ve çalışabilirlik arasındaki hassas denge devamlı saha testleri ile kontrol edilmelidir.
Haklı olarak birçok işletme, dışarıdan gelebilecek tehditlere, veri merkezlerinin fiziksel güvenliğine ve son kullanıcı güvenliği konusuna odaklanır. Ancak işletmeler için dışarıdan bir bilgisayar korsanı saldırısına uğrama ihtimali, içeride ki bir teknik personelin veya sistem sağlayıcıların erişim ve değiştirme yetkilerini hatalı ya da kötüye kullanmasından daha düşük bir ihtimaldir. İşletme çalışanlarının işletmelere verebileceği zarar, dış tehditlerin vereceği zararlardan daha yüksek olarak görünmektedir.
Sonuç olarak bir ERP sisteminin güvenliği, işletmenin fiziksel ve dijital güvenliği ile doğrudan ilişkilidir. Yazılım firmaları ve işletmeler, üzerine düşen tedbirleri ivedilikle almalıdır. Güvenlik maliyetlerinden ziyade, saldırı senaryolarındaki zarar maliyetleri üzerinde durulmalıdır. Bu hususun bir zincirin en zayıf halkası kadar güçlü olduğu unutulmamalıdır. Siber güvenliğin en zayıf halkası, kullanıcılardır. Kullanıcılara düzenli olarak güvenlik eğitimleri verilmelidir. Güvenlik protokollerinin, kullanıcıların iş süreçlerini yavaşlatmayacak şekilde şeffaf olarak hazırlanması gerekmektedir. Profesyonellerden destek alınmalı, sistemin güvenlik testleri yaptırılmalı, tedbir alınacak alanları belirlemek için risk haritaları çıkarılmalıdır.
ERP güvenliğine dikkat çekmek için hazırladığım bu yazıda bahsedilen riskler ve tedbirler, bu kısa yazıya sığmayacak kadar fazladır. Bize düşen en birinci görev, ERP ile yönettiğimiz potansiyelimizi korumak, siber tehditlere karşı tedbirleri, daha saldırılar gerçekleşmeden almaya çalışmaktır.
