Zamanın her dönem üzerine bir etkisi vardır. Günümüzdeki etkisi de dijitalleşmek ve sanallaştırmak. Dijital alt yapıların tekrar kullanımına verdiği fırsatla sağladığı kontrol, tasarruf, kolay erişilebilirlik ve raporlama fırsatları insanın elinin değdiği her alını dijitalleştirme tutkusuna doğru dönüşmeye başlamıştır.
Geçtiğimiz on yılda her alanda olduğu gibi ticarette artık fazlasıyla dijital ve her geçen gün bu dijital altyapılar elektronik dönüşümleri beraberinde getirmiştir. Özel sektörün bu dijitalliği daha önceden yakalamış ve işlerin vazgeçilmezi olan ERP sistemleriyle büyük hacimli iş süreçlerini kontrol edebilmektedirler. İnternet alt yapısının da gelişmesiyle artık ERP sistemlerimiz her yerden her cihazdan erişilebilir hale gelmiştir.
Her şeyin e-dönüşüme girip internet üzerinden kontrol edilebilir hale gelmesi güvenlik ve gizlilik problemlerini de beraberinde getirmektedir. Hali hazırda internetin kendisinin gizlilik ve güvenlik problemleri çözülmemişken yeni süreçlerin internet üzerine taşıması bu alandaki zafiyetleri artırmaktadır. Bu riskleri fark eden firmalar ciddi güvenlik alt yapısı yatırımları yapmaktadırlar.
Günümüzde özellikle siber tehditler ve kaynakları çok heterojen olabildiği kadar hedeflerde çok çeşitli olabilmektedir. Saldırıdan önce tedbir almak ve hazırlıklı olmak sosyal ve ekonomik zararların önüne geçilmesinde hayati önem taşımaktadır. Siber saldırılara hedef olabilen ERP sisteminin güvenliği işletmeler için tehdit oluşturmaktadır. Saldırılar yayıldıkça her işletme benim ERP sistemim ne kadar güvenli sorusunu sormaya başlamaktadır. ERP sisteminin kapsamını genişletmek, daha önemlisi güvenlik risklerinin belirlemek ve sistemimizi bu risklerden arındırmak gerekmektedir.
İşletmelerde eski sürüm ya da desteği çekilmiş yazılım kullanma güvenlik zafiyetleri oluşturmaktadır. Yazılım firmaları yazılımın güvenlik açıkları ve altyapı problemlerine göre yeni sürümler ve yeni ürünler çıkarmaktadır. İşletmeler güncelleme ve yeni sürümler için kaynak ayırmak istememekte yazılım firmaları ise geleneksel ERP yükseltme zor olmasından dolayı yazılım güncellemesi yerine ürün değişikliğine gitmektedir. Araştırmalarda şirketlerin % 66 kendi ERP sistemi en güncel sürümü üzerinde çalışmamaktadır. Firmalara yeni maliyetler çıkaran bu güncellemelere karşı direnmeleri ciddi güvenlik açıkları oluşturmaktadır. Saldırganlar özellikle yayınlanan güncelleri inceleyerek önceki sürümdeki hataları ters mühendislikle tespit edip düşük sürümdeki yazılım kullanan firmaları hedef olarak seçmektedir. Aynı şekilde yazılım firmaları ürünlerden desteklerini çektiği durumda sisteme hiçbir zaman güncelleme yapılamamakta yazılımlar ciddi güvenlik zafiyetleri oluşturmaktadır.
Gerçek bir işletme yazılımı güvenliği için bütünsel bir yaklaşım takip edilmelidir. ERP yazılımının güvenliği, üzerinde çalıştığı işletim sisteminin güvenliği, sunucunun fiziksel güvenliği, ağın güvenliği, son kullanıcıların güvenliği gibi konuları sorgulanmalıdır. Güncel olmayan bir işletim sistemin üzerinde çalışan ERP’nin güncel olması sistemin güvenli olduğunu göstermemektedir. Eski ürünleri kullanan müşterilerin böyle bir durumda oluşan açıklara yapılacak saldırılara doğrudan maruz kalmaktadırlar. Bunun en kötü örneği endüstride Windows XP işletim sistemi ile yaşanmaktadır. Şu an yapılan araştırmalarda Windows XP kullanımı dünyada genel kullanımda %20 lik payı vardır, işletmelerde kullanılan işletim sistemleri oranına bakıldıgında %60 lara yaklaşmaktadır. Güvenlik açıkları olan işletim sistemleri kullanmak bilgisayar korsanları için aktif ve pasif saldırılara çok açık olduğu için ciddi güvenlik riskleri oluşturmaktadır.
Yetersiz raporlama yeteneği dış raporlama yol açabilir ve veri denetimi kaybı da veri güvenliğini doğrudan etkileyen bir unsurdur. Yeni nesil ERP sistemlerinin çözdüğü raporlama araçları sistemin doğru ve güvenli çalışmasının kontrolü için hayati veriler üretirler. Bu verilerinde üretildikten sonra canlı sistemden hariç güvenli bir yerde tutulmasını gerekmektedir. Bir veri sistemi için en tehlikeli komut güncellemedir. Kabiliyetsiz raporlama araçları ile verilen raporların en büyük problemi verinin geriye dönük kontrolü ve zaman içerisinde değişmiş verideki değişimi gösteremiyor olmasından kaynaklanmaktadır. Geriye dönük verilerdeki güncellemeler tespiti çok zor ve telafisi mümkün olmayan sonuçlar doğurabilir.
Veri denetimi kaybolmuş bir ERP sisteminde dış raporlama ihtiyaçları doğmaktadır. Özellikle kritik verilerin dışarıya aktarmasına Access ve Excel gibi kullanıcı dostu ara sistemlere izin verilmektedir. Verinin başka bir hedefe açılması yalnızca ana sistemin güvenliği ile değil verinin açıldığı alt hedef sistemlerin de güvenli olmasını gerektirmektedir. Veri dışarı aktarıldıktan sonra taşınması kopyalanması ve bunun kontrol edilememesi ciddi güvenlik zafiyetleri doğurmaktadır. Daha güvenli, kabiliyetli ve merkezi kontrol edilebilen raporlama araçları tercih edilmelidir. ERP sistemlerinde işletmenin vereceği beyanlardan veriler önemine göre sınıflandırılmalıdır. Veri denetimi ve yetkilendirme artırılmalı dışarıya aktarılırken verinin sınıflarına göre izinler verilmelidir. Ancak bu noktada güvenlik protokolleri şeffaf olmasına önem verilmeli kullanıcının çalışmasını engelleyecek zorlaştıracak uygulamalardan uzak durulmalıdır. Güvenlik ve çalışabilirlik arasındaki denge devamlı saha testleri ile kontrol edilmelidir.
Haklı olarak birçok işletme dışarıdan gelebilecek tehditlere, veri merkezlerinin fiziksel güvenliğine ve son kullanıcı güvenliği konusuna odaklanır. Ancak işletmeler için dışarıdan bir bilgisayar korsanı saldırısı alma ihtimali içeride bir teknik personel veya sistem sağlayıcılar erişim ve değiştirme yetkilerini hatalı ya da kötüye kullanmasından daha düşük bir ihtimaldir. İşletmenin çalışanlarının işletmelere verebileceği zarar dış tehditlerin vereceği zarardan daha yüksek olarak görünmektedir. Elbette dış tehdit için alınan tedbirler önemli ancak kullanıcılarında doğru yetkilendirilmesi ve bu yetki kullanımlarının kontrol edilmesi ve düzenli yedekleme yapılması gerekmektedir. Özellikle takibi artırmak için her kullanıcıya bir hesap açılmalı ve bu hesapların güçlü şifrelerle korunması ve şifrelerin paylaşılmaması konusundan çalışanlar bilgilendirilmelidir. Sosyal mühendislik ataklarına karşı çalışanlar bilgilendirmeli, habersiz tatbikatlar yapılmalı sonuçları çalışanlara sunulmalıdır.
Sonuç olarak bir ERP sisteminin güvenliği işletmenin fiziksel ve dijital olarak güvenliği ile doğrudan ilişkilidir. Yazılım firmaları ve işletmeler üzerine düşen tedbirleri ivedilikle almalıdır. Güvenlik maliyetlerinden ziyade saldırı senaryolarındaki zarar maliyetleri üzerinde durulmalıdır. Zincir en zayıf halkası kadar güçlü olduğu unutulmamalıdır. Siber güvenliğin en zayıf halkası kullanıcılardır. Kullanıcılara düzenli olarak güvenlik eğitimleri verilmelidir. Güvenlik protokollerinin kullanıcılarının iş süreçlerini yavaşlatmayacak şekilde şeffaf olarak hazırlanması gerekmektedir. Dünyanın her yerinden standartlaşma ve hukuksal süreçlerle ile ilgili gelişme haberleri gelirken ülkemizin de bu konuda çalışmalar yaptığı işletmelerin iş güvenlik uzmanları gibi yazılımların da siber güvenlik uzmanlarının denetimine sokulması kulislerde konuşulmaktadır. Standartları ve yeni hukuksal sorumlulukları zaman gösterecektir. Profesyonellerden destek alınmalı, sistemin güvenlik testleri yaptırılmalı tedbir alınacak alanları belirlemek için risk haritaları çıkarılmalıdır.
ERP güvenliğine dikkat çekmek için hazırladığım bu yazıda bahsedilen riskler ve tedbirler bu kısa yazıya sığmayacak kadar fazladır. Bize düşen ERP ile yönettiğimiz potansiyelimizi korumalı, siber tehditlere karşı tedbirleri daha saldırılar gerçekleşmeden almaya çalışmalıyız.
