İçeriğe atla
Güvenliği izleyen kadın

Siber suç dünyasında
ERP güvenliği

Modern ERP güvenlik özellikleri gün geçtikçe gelişiyor ve gelişiyor. Peki, işletmeler neden kendilerini daha önce hiç olmadığı kadar görünür hissediyor? Kısmen dijital ve bulut teknolojilerinin hızla hızlanmasından kaynaklanmaktadır. Dünya genelinde 2021 yılında 10 milyardan fazla IoT cihazı bulunuyordu. 2025 yılına kadar, IDC bu sayının 30 milyarın üzerine çıkacağını öngörüyor ve üstelik büyümeye devam ediyor. Bu cihazların çoğu, şirketlerin Endüstriyel Nesnelerin İnterneti (IIoT) ağlarının bir parçasıdır ve bu nedenle genellikle merkezi bir ERP sistemine veri besler. Bu günlerde modern bir bulut ERP'si çoğu işletme için görev açısından kritik öneme sahiptir ve tüm iş operasyonlarının tek bir sistem altında birleştirilmesine yardımcı olur. Yine de, bu çekirdek özelliği siber güvenlik söz konusu olduğunda da bir zayıflık olabilir ve bu da onu birçok kritik bilgiye tek noktadan bir portal haline getirebilir. 

Modern ERP ve yazılım güvenliği zorlukları

Siber güvenliğe geleneksel yaklaşımlar artık yeterli değil. Bulutla bağlantılı bir ekosistemde, belirli BT varlıkları veya veritabanları etrafında güvenli bir çevre oluşturma ve ardından erişimi sınırlama ve kontrol etme fikri etkili değildir.

 

Bulut ERP ortamında kuruluşlar, genel bulut sağlayıcılarıyla daha fazla sorumluluk paylaştıkça güvenliğe yaklaşımlarını yeniden şekillendiriyor ve bu nedenle altyapıya daha az odaklanıyorlar ve daha çok sahip olmaya devam ettikleri uygulama tarafı sorumluluklarına odaklanıyorlar.

 

Ransomware ve fütürleme saldırıları hızla büyüyen bir meydan okuma sunmaktadır. ERP'ler daha fazla departmanda entegre edildiği için, yetkili erişime sahip daha fazla sayıda kullanıcı vardır ve bu da bilgisayar korsanları için, hedefleri değiştirmek için daha zengin bir avlanma alanı anlamına gelir. Daha geniş operasyonel ERP entegrasyonu aynı zamanda hackleme hedefi olarak değerini artıran, ERP'de bulunan daha geniş bir kapsam ve değerli veriler aralığı anlamına da gelir. Buna ek olarak, eski ERP sistemleriyle, ERP entegrasyonunu yeni departmanlara genişletme girişimleri genellikle potansiyel saldırı yüzeyini artırmaya hizmet edebilecek bolt-ons ve özel kodlama gerektirir. Başka bir deyişle: Daha çok yerde daha zayıf noktalar vardır. Bu, uzaktan ve harici erişim noktalarına ihtiyaç duyan büyük işçilerdeki artış ile sınırlıdır.

 

Siber suçlular çalıp gasp edebilirler, fakat aynı zamanda temel sistemleri kapatıp tüm operasyonları durma noktasına getirebilirler. Büyük organizasyonlar (özellikle finans ve sigorta, üretim, işletme hizmetleri ve sağlık hizmetleri gibi sektörlerde) uzun süredir bir hedef olmuştur, ancak küçük ve orta ölçekli işletmeler, çoğu zaman güvenlik kaynakları ve uzmanlığı eksikliğinden dolayı giderek daha fazla saldırıya uğruyor.

Her 11

s

Bir şirkete 2021 yılında fidye yazılımı çarptı.

1.85 $

M

Bir fidye yazılımı saldırısından kurtulmanın ortalama maliyeti

43

%

Tüm veri ihlalleri arasında küçük ve orta ölçekli işletmeler yer alır

placeholder

ERP sisteminiz yükseltiliyor mu?

Bulut tabanlı ERP yazılımına geçiş kılavuzumuzu keşfedin.

Siber suçlular ne tür ERP verilerini hedefliyor?

Korsanlar her türlü sebepten dolayı her türlü veriyi çalar. Ancak çoğu zaman kurumsal siber suçlular, ERP verileri de dahil olmak üzere en hızlı para kazanabilen verilerden, ister mağdur şirketin kendisini gasp ederek ister dolandırarak ister başka bir şekilde zarar vermesiyle olsun, çalınan verilerde adı geçen müşteriler veya kişiler. Bu, kredi kartı ihlalleri veya para transferleri yoluyla fonlara doğrudan erişim girişimlerine neden olabilir. Ancak finansal veritabanları ve ERP veritabanları en iyi güvenlikli veri tabanlarından bazıları olma eğilimindeyken, hackerlar genellikle diğer erişilebilir veri türlerine erişerek havoç geçirirler.

 

İşletmeler için ek bir risk tabakası, sadece kârları, itibarı ve müşterileri üzerinde işlenmiş hasarlarda değil, çalınan verilerde adı geçen bireylerin getirdiği sınıf eylem davaları riskinden kaynaklanmaktadır. Bu verilerin kişilerin hassas kişisel, yasal veya tıbbi bilgilerini içerdiği durumlarda dava sürecindeki zarar giderilemez olabilir.

En önemli 7 ERP güvenlik sorunu ve bunların nasıl düzeltileceği

1. Kullanım dışı yazılım

 

En iyi ERP sağlayıcıları, yeni ve gelişen güvenlik risklerine karşı mücadelesinde acımasızdır. Böyle bir risk tanımlandığında, bir güvenlik yaması geliştirilir ve müşterilere dağıtılır. Geçmişte bazı işletmeler bu güncellemelerin uzun süre uygulanmasını göz ardı etmiş veya geciktirmiş, sistemlerini savunmasız bırakmıştır. Bu özellikle, çok sayıda özelleştirmeye ve geçici çözümlere uğramış eski ERP'ler söz konusu olduğunda geçerlidir ve bu, yama uygulamasını yönetmek için daha sorunlu hale getirir.

 

Düzeltme: Güncellemeler ve güvenlik yamaları, kesinti ve kesinti riskine rağmen sürekli yeni tehditler ortaya çıktığından düzenli olarak uygulanmalıdır. Şirket içi ERP için yamalar ve güncellemeler uygulamak, en fazla güvenlik etkisi olanlara öncelik vermek için risk tabanlı bir yaklaşım gerektirir ve kolay veya kesintiye uğramayan bir süreç olmamakla birlikte, riskleri azaltmada kilit rol oynar. Bu, hibrit ERP altyapısına sahip olan işletmeler için de geçerlidir.

 

Bulut ERP yazılımı ile yama dağıtımı ve uygulaması, hizmet sağlayıcının işletmede herhangi bir aksama yaşamadan perde gerisinde kalan sorunsuz bir süreçtir. Ayrıca, bulut ERP dağıtımı ile birlikte sunulan otomatik yama yönetimi, sürekli değişen uyumluluk ve yönetim kurallarına uyum sağlamaya yardımcı olabilir.

 

2. Yetki sorunları

 

Günümüzün iş ortamında İK, BT ve diğer ekip yöneticilerine, yeni kullanıcıların mümkün olduğunca hızlı bir şekilde çalışmasını sağlamak için baskı yapılır. Bu da ERP yetkilerini teslim ederken güçsüzlüğe yol açabilir ve hatta çalışanlar şirketten ayrıldığında bunları devre dışı bırakabilir. Eski ERP sistemleri, eski kimlik doğrulama özellikleri ve yetkiyi destekleyen otomatik iş akışlarının olmaması nedeniyle bu durum için genellikle daha yüksek risk altındadır.

 

Düzeltme: Modern ERP sistemleri, kapsamlı ancak kullanımı basit olan iş akışları ve içsel tedarik ve kimlik doğrulama özellikleri de dahil olmak üzere riskle oluşturulmuştur. Ayrıca, işletmeler kimlik erişimi yönetim araçlarını kullanarak daha geniş uçtan uca güvenlik uygulayabilirler.

 

3. Yetersiz güvenlik eğitimi

 

Resmi fonlama politikanızla bir eğitim notunu dolaşmak, tüm ekiplerinizle düzenli ve etkileşimli öğrenme oturumlarını koordine etmek ile aynı değildir. Aslında yakın zamanda yapılan bir araştırmada, eğitim yöntemlerinin fütürleşme risklerini ortadan kaldırmak için yeterli olduğunu hisseden organizasyonların yüzde 78’i – çalışanlarının yüzde 31’inin temel bir şifa testinde başarısız olduğunu görünce şaşırdılar. Zayıf şifreler, savurganlık ve kötü anlaşılan güvenlik protokolleri, en sadık ve gayretli çalışanlarınızın bile işinizi riske atması anlamına geliyor.

 

Düzeltme: Birçok çalışan sadece masum eylemlerinin risk veya zarara yol açabilme yolları hakkında farkındalığa sahip değildir. Siber güvenlik eğitimini yanlış kişilere bırakmayın, diğer önceliklere karşı düşük de olsa gündeme getirmeyin. En zayıf güvenlik bağlantılarının nerede saklanabileceğini öğrenmek için işletmenizde risk denetimi gerçekleştirmek üzere bir profesyonelle çalışın. Belirli ihtiyaçlarını karşılayan düzenli eğitim planları oluşturmak için ekip liderlerinizle birlikte çalışın. Test tarihleri, sertifika yenilemeleri ve eğitim kurslarını yenileyerek her bir departman için otomatik çizelgeler uygulayın.

 

4. Deneyimli ERP güvenlik personeli eksikliği

 

Eski ERP yazılımını çalıştıran işletmeler için BT ekipleri kendi özel ve sayısız ERP güvenlik risklerini tam olarak anlamalı ve sınıfının en iyisi güvenlik uygulamalarını çalıştırıp uygulayabilmelidir.  Bu, tehditlerin belirlenmesi, güvenlik açığı taramaları ve penetrasyon testi yapılması, olay tepki planları oluşturulması ve en son siber güvenlik izleme araçlarının eski sistemlere entegre edilmesini içerir. Günümüz ortamında yalnızca yetenekli profesyonelleri bulmak ve korumak zor değil, aynı zamanda BT ekiplerinin dijital güvenlik gelişimlerinin aydınlık hızıyla hızlanmasını sağlamak için gerekli artan eğitim oturumlarına uyum sağlamak da pahalı ve zaman alıcı.

 

Düzeltme: Bulut ERP, büyüyen bu endişe için büyük bir rahatlama sağlıyor. 7/24 izleme ve olağanüstü durum kurtarma gibi ağır görev güvenliği işlevleri satıcı tarafından sorunsuz bir şekilde bulutta ele alınır. Ayrıca yama yönetimi, test etme ve yükseltmeler gibi günlük ve daha fazla zaman alan BT görevleri bulutta da otomatikleştirilebilir ve algılanabilir bir kesinti yaşanmadan gerçekleştirilebilir.

 

5. Güvenlik ve yönetim standartlarına uyulmaması

 

ERP sistemleri daha fazla ve daha fazla departmana entegre edildiğinden, güvenli ürün bilgileri, tıbbi kayıtlar veya fikri mülkiyet gibi şeyler de dahil olmak üzere savunmasız verilerin kapsamı giderek daha fazla çeşitlilik gösterir. Veriler (örneğin mali, tıbbi veya yasal) ne kadar hassas olursa, kendi benzersiz güvenlik ve depolama protokollerine sahip olma olasılığı da o kadar yüksektir. Bu protokollere uyulmaması veya farkında olunmaması, yalnızca söz konusu verilerin olası ihlallerine değil, cezalara ve hatta uyumsuzluğa ilişkin yasal nedenlere de yol açabilir.

 

Düzelt: Bugün, modern veri tabanlarıyla en iyi ERP'ler, çok çeşitli veri türleri için merkezi bir dizi uyumluluk protokolünün otomasyonunu ve kontrolünü kolaylaştırabilir. Bu, BT ekiplerinin başlangıçta doğru güvenlik standartlarını belirlemek ve ardından doğru protokollere bağlı kalınmasını sağlamak için sistemleri ve kullanıcı gösterge tablolarını otomatikleştirmek için işletme genelinde konu uzmanlarıyla birlikte çalışabileceği anlamına gelir.

 

6. Tek faktörlü kimlik doğrulama

 

Tek faktörlü (tek bir parola veya şifre kodu) sadece yeterli değildir. Bu günlerde çoğu işletme bu gerçeğin farkındayken, kuruluşların %40'ından fazlası hâlâ tüm olası ERP giriş noktalarında iki adımlı kimlik doğrulamayı kullanamıyor. Başka bir deyişle, IoT cihazları veya departman uygulamaları gibi diğer bağlantılı şeylerin tek adımlı parolalarla savunmasız kalması durumunda en önemli verilerinizi iki faktörlü (2FA) kimlik doğrulamayla korumanın bir noktası değildir.

 

Sabit: Her büyüklükteki işletmenin, tüm olası ERP giriş noktalarında 2FA protokollerini (güvenlik simgeleri veya biyometrik taramalar dahil) derhal uygulaması önemlidir. Bu son derece önemli olan basit, düşük maliyetli bir düzeltmedir.

 

7. Veri dışa aktarımı

 

Resmi protokollere rağmen, kullanıcılar bir şeyleri elektronik tablolara koymayı veya bunları başka biçimlerde kaydetmeyi ve veri dışa aktarma risklerini işletmeler için sorun olmaya devam ediyor.

 

Düzeltme: Şirketler, Excel indirmelerini engelleyerek veya veritabanındaki kullanıcı işlemlerini izleyerek bunu bir şekilde denetleyebilir. Ancak gün sonunda veri dışa aktarmaya karşı korunmanın en iyi yolu, savunmasız verilere erişimi olan kişi sayısını sınırlamak. Modern bir ERP ile departman başkanları yalnızca kimin ne elde edeceğini değil, veri kümesinin hangi öğelerine erişip görüntüleyebileceğini kolayca belirleyebilir ve ayarlayabilir. Bulut ERP'leri, eski sistemlerden farklı olarak, bildirim göndermek ve yüklemeler veya veri dışa aktarımları gibi yetkisiz komutları önlemek için otomatikleştirilebilen entegre güvenlik özelliklerine sahiptir.  

placeholder

Modern bulut ERP yazılımını
keşfedin

Verilerinizi koruyan küresel güvenlik standartlarına sahip bulut ERP'si edinin.

Siber ERP güvenliği en iyi uygulamaları

Görüştüğümüz konu ve düzeltmelerin birçoğu, siber suç dünyasında insan ve teknolojik kaynaklarınızı optimize etmeye yönelik daha geniş güvenlik stratejileriyle ilgilidir. Bulut ERP güvenlik işlevleri ve özellikleriyle ilişkili hizmetlerden ve avantajlardan en iyi şekilde yararlanmanıza yardımcı olacak bazı ek en iyi uygulama temel öğeleri aşağıda verilmiştir:

  • İş sürekliliği, olağanüstü durum kurtarma ve çalışma süresi özellikleri için hizmet düzeyi anlaşmalarının mevcut olmasını sağlama. Bulut tabanlı araçlar, bu anlaşmaları global operasyonlar genelinde tek bir yerde entegre etmeye ve güncellemeleri otomatikleştirmeye yardımcı olabilir. 
  • Hiperölçekleyici ve üçüncü taraf denetimler gerçekleştirin. Bu bağımsız üçüncü taraf denetimleri, tüm aşamalarda işletmeler arası uyumluluğu sağlamak ve Siber Güvenlik Maturity Model Sertifikasyonu (CMMC) ve Zero Trust eforları gibi şeyleri desteklemek için esastır.
  • Tüm verilerinizi şifreleyin ve ERP güvenlik uygulamalarında yer alan tüm ekipler için süreçleri, protokolleri ve proje yönetimini güçlendirmeye odaklanın. Özellikle yama yönetimi, güvenlik yapılandırması, güvenlik açığı tarama ve tehdit yönetimi alanlarında.
  • Tüm ekiplerinizin risk azaltma alanlarındaki rolleri ve sorumlulukları iyi bir şekilde yerine getirmesini sağlamak için dış, dünya çapında siber güvenlik uzmanlarına gerekli danışmanlık yatırımını yapın.
  • Olaylara yanıt verme hızını artırmak için işletmenizde 7/24 izleme ve proaktif güvenlik yönetiminin uygulandığından emin olun. Buna ERP ve bir bilgisayar korsanının erişim elde edebileceği tüm sistemler, cihazlar veya IoT varlıkları dahildir.
  • Tüm saldırı yüzeyindeki ortak aktör vektörlerini ele almak için tutarlı ve çoğaltılabilir bir test süreci sağlamak için etki alanı tabanlı bir ERP test yaklaşımı kullanın.

Daha iyi ERP güvenliğine sonraki adımlar

Siber suçlar hepimizi etkiliyor ve eğer işletmeler bununla mücadele edecekse çok uzun süreli bir yaklaşım benimsemeleri gerekiyor. Bulut ERP teknolojileri, işletmelere güçlü ve etkili bir savunmayı koordine etmek ve otomatikleştirmek için birleşik bir temel sağlayarak başlamak için harika bir yerdir.

 

Ama sonuçta siber güvenlik çabalarınız halkınızla başlar ve biter. Ekip liderleriniz ve çalışanlarınız çözümün bir parçası olsa da kendi başlarına çözmeleri beklenemez. ERP siber güvenlik yolculuğunuzda iyi bir ilk adım olarak, ilgi çekici uzmanlar, uygulamalı öğrenme, görsel ve pratik ders planları ve hatta yanlış gittiğinde neler olabileceğiyle ilgili bazı gerçek hayatta örnekler içeren iletişim ve eğitim planları oluşturmak. Spesifik eğitim ve sertifikasyon önlemleri önemli olmakla birlikte, konuya genel farkındalık ve ilgi uyandırmak için de en iyi şekilde çalışır.

 

Dijital güvenlik artık tüm hayatlarımızın önemli bir parçası olduğu için neden siber güvenlik hakkında bilgi sahibi ve ilgi çekici bir deneyim haline getirmiyorsunuz?

placeholder

ERP güvenliği: Hepsi bulutta
 

Global güvenlik yaklaşımımızla ilgili daha fazla bilgi için SAP Trust Center'ı ziyaret edin. 

SAP Insights bülteni

placeholder
Bugün abone ol

Bültenimize abone olarak önemli öngörüler elde edin.

Ek okuma

Başa dön