Geçtiğimiz on yılda , dijital altyapılar elektronik dönüşümleri beraberinde getirmiştir.  İnsanın elinin değdiği her alan, dijital ortama  dönüşmeye başlamıştır.  Dijitalleşme iş yaşamının reformu haline gelmiştir. Özel sektör, dijital gelişmeleri önceden yakalamış olarak büyük hacimli iş süreçlerini ERP sistemleriyle kontrol etmeye başlamıştır.

İnternet alt yapısının da gelişmiş olması ERP sistemlerine her ortamdan ve her cihazdan erişebilir hale getirmiştir. Bu durum ERP ‘de Güvenlik konusunu çok önemli hale getirmektedir.

Bilgi güvenliği, önemli bir varlık türü olan bilginin yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanmaktadır.  “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.

Günümüzde siber tehditler çok çeşitli olabilmektedir. Saldırıdan önce tedbir almak ve hazırlıklı olmak, sosyal ve ekonomik zararların önüne geçilmesinde hayati önem taşımaktadır. Bu nedenledir ki ERP sisteminin güvenliği, işletmeler için büyük tehdit oluşturmaktadır.

İşletmelerde eski sürüm ya da desteği çekilmiş yazılım kullanma, güvenlik zafiyetleri oluşturmaktadır. Yazılım firmaları, yazılımın güvenlik açıkları ve altyapı problemlerine göre yeni sürümler ve yeni ürünler çıkarmaktadır. İşletmeler, güncelleme ve yeni sürümler için kaynak ayırmakta yazılım firmaları ise geleneksel ERP yükseltme zor olduğundan dolayı ürün değişikliğine gitmektedir.

Araştırmalar şirketlerin %66’sının güncellenmiş ERP sürümlerini kullanmadığını gösteriyor.

Firmaların ilâve maliyetler çıkaran güncellemelere karşı bütçe sorunları nedeni ile sıcak bakmaması ERP’de güvenlik açıkları oluşturmaktadır. Saldırganlar özellikle yayınlanan güncellemeleri inceleyerek önceki sürümdeki hataları ters mühendislikle tespit edip, düşük sürümde yazılım kullanan firmaları hedef olarak seçmektedir.

ERP’de güvenlik konusunda, üzerinde çalıştığı işletim sisteminin güvenliği, sunucunun fiziksel güvenliği, ağın güvenliği, son kullanıcıların güvenliği gibi konular sorgulanmalıdır. Güncel olmayan bir işletim sisteminin üzerinde çalışan ERP’nin güncellenmesi, sistemin güvenli olduğunu göstermemektedir.

Eski ürünleri kullanan müşteriler böyle bir durumda oluşan açıklara yapılacak saldırılara maruz kalmaktadırlar. Bunun en kötü örneği endüstride Windows XP işletim sistemi ile yaşanmaktadır. Yeni yapılan araştırmalarda Windows XP kullananların oranı %20’dir. İşletmelerde kullanılan eski sürüm desteği kaldırılmış olan bu işletim sistemleri aktif ve pasif saldırılara çok açık olduğundan ciddi güvenlik riskleri oluşturmaktadır.

Genel olarak ERP sistemlerinde karşılaşılan  Bilgi Güvenliği sorunları,

·        ERP sistemlerinin güvenlik parametreleri belirlenirken standartlara uyulmaması,

·        Kullanıcı hesapları açılırken sorumlulukların tanımlanmadan yüksek yetkiler verilmesi,

·        ERP sisteminin bulunduğu veri tabanına erişimde güvenlik açıklarının olması,

·        Verilerin güvenilir olmayacak derecede hatalı bir şekilde sisteme girilmesi,

·        Verilere  sistem dışından yetkisiz kişilerce erişim nedeniyle verilerin değişmesi veya kaybolması,

ERP sistemlerindeki  güvenlik sorunlarına ana başlıklarına değinmek isterim.

 Ağ Katmanı ( Trafik durdurma ve değiştirme)

·        Veri şifreleme yokluğu

·        Açık metin olarak şifre gönderme

·        Şifreleme veya kimlik doğrulama protokollerindeki güvenlik açıkları

·        Eski kimlik doğrulama protokollerinin kullanımını dayatmak

·        Yanlış kimlik doğrulama protokolleri

Protokollerdeki güvenlik açıkları (ör. RFC protokolü -Remote Function Call). RFC çağrısı, bir sistemde bulunan işlevsel bir modülü çağırmayı ve çalıştırmayı sağlayan bir işlevdir. 

İşletim sistemi yazılım güvenlik açıkları:

·        İşletim sistemindeki herhangi bir uzak güvenlik açığı

·        Zayıf işletim sistemi şifreleri

·        Uzaktan şifre kaba zorlama

·        Radmin gibi uzaktan yönetim araçları için boş parolalar ve Güvenli olmayan işletim sistemi ayarları , Zayıf işletim sistemi şifreleri

·        Güvenli olmayan ana bilgisayar ayarları. Güvenilir ana bilgisayarlarda sunucular listelenebilir ve bir saldırgan bunlara kolayca erişebilir.

Uygulama güvenlik açıkları: ERP sistemleri, birçok güvenlik açığı ile web uygulamaları düzeyinde daha fazla işlevsellik aktarır:

·       Web uygulaması güvenlik açıkları (XSS, XSRF, SQL Enjeksiyonu, Yanıt Bölme, Kod Yürütme)

·       Web sunucularında ve uygulama sunucularında (arabellek taşması ve biçim dizesi

·       Erişim için güvensiz ayrıcalıklar

·       ERP sistemlerinde RBAC (Rol Tabanlı Erişim Kontrolü) modeli, kullanıcıların işlem yapmaları ve iş nesnelerine erişim sağlamaları .Modelde, bir kullanıcıya erişim izni verme kararı, kullanıcıların işlevlerine veya rollerine göre verilir. Roller, kullanıcının veya bir grup kullanıcının şirkette gerçekleştirdiği çok sayıda işlemdir. İşlem, bu işlemin gerçekleştirilmesine yardımcı olan sistem verilerini dönüştürme prosedürüdür. Herhangi bir rol için, bir veya daha fazla role sahip birkaç karşılık gelen kullanıcı vardır. Roller hiyerarşik olabilir. Sistemde roller uygulandıktan sonra her role karşılık gelen işlemler nadiren değişir. Yöneticinin rollere kullanıcı eklemesi veya silmesi gerekir. Yönetici, yeni bir kullanıcıya bir veya daha fazla rolde üyelik sağlar.

·       Ayrışma veya görevlerinin ayrılması  SoD olarak da bilinen, bir kullanıcının diğer kullanıcılar olmadan işlem yapamayacağı kavramdır (örneğin, bir kullanıcı yeni bir tedarikçi ekleyemez, bir çek yazamaz veya bir tedarikçiye ödeme yapamaz)

Bazı kulaktan dolma bilgiler ile  ağ/sistem yöneticilerinin bir kısmı ERP ile ilgili olan  bazı  güvenlik sorunlarını görmezden gelirler. Örnek verecek olursam;

·        Dış dünyayla bağlantısı olmadığı için ERP internet kaynaklı saldırılardan etkilenmez

·        ERP üreticisi firma güvenliği zaten sağlar

·        Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz

·        Her kullanıcın yapabilecekleri zaten sınırlı

ERP yazılımınız doğrudan internete veya VPN ile başka bir ofise/fabrikaya bağlı olmayabilir, ama yazılımı kullandığınız ağ internete bağlı ise bu durumda saldırganların ERP yazılımınıza giden bir yol bulması ve bunu kullanarak bu yazılımınızı hedef almaları pekala mümkün olacaktır.

Gelişen iş yapış biçimleri nedeniyle bazı durumlarda uygulamanın doğrudan internete açılması da gerekebilir. Bu durumda ERP yazılımı, internet uygulamalarına karşı gördüğümüz saldırıların tamamından etkilenecektir. İnternet üzerinden erişilebilir durumda olan bir ERP yazılımının kullanıcılarının sosyal mühendislik saldırılarının hedefi olacağını da burada belirtmekte fayda var.

ERP Üreticisi firma güvenliği sağlamasının beklenmesi:

ERP üreticisi güvenliği sağlamıyor. Çoğu lisans anlaşmasında ERP üreticisi firmanın böyle bir sorumluluğu da yok. Yazılım üreticileri teknik aksaklıklar, yazılım ve mimari hataları düzeltmek ve bunlara karşı tedbir almak için sıkı çalışırlar. Ancak bunların dışında kalan aşağıdaki konular büyük ölçüde ERP yazılımını kullananların sorumluluğundadır.

§  Kurulum sırasında yapılan mimari hatalar

§  Fabrika ayarlarında bırakılan konfigürasyonlar / konfigürasyon hataları

§  Kullanıcı hataları

§  Yama ve güncellemelerin yapılması

§  Eksik/yanlış politika ve süreçler

Kısaca ERP yazılımını üreten firma size güvenli bir yazılım teslim etse bile kurulum, konfigürasyon ve kullanım sırasında yapılabilecek hatalar güvenlik zafiyetlerine neden olabilir.

ERP güvenliği için yapılabilecek 5 temel şey sizlere genel ölçüde yol gösterecektir.

1. Güvenli bir ERP yazılımı bulmak: Çoğu üreticinin yazılımları güvenlidir.  Ancak size özel geliştirilen veya sizden başka çok az kullanıcısı olan yazılımlarının güvenliği konusunda endişeleriniz varsa yazılımı almadan önce tarafsız bir şirketten yazılım güvenliğine ve performansına ilişkin testlerin yapılmasını ve bulunan zafiyetlerin giderilmesini talep edebilirsiniz.

2. Güvenli bir kurulum yapmak : Yazılımın kurulacak ağ mimarisinin güvenli olması, yazılımın çalışacağı sunucuların işletim sistemlerinin güvenliği, fabrika çıkışı kullanıcı adları ve parolaların değiştirilmesi, üretici tarafından sunulan ek güvenlik seçenekleri/modülleri varsa bunların devreye alınması gibi konular titizlikle ele alınmalıdır.

3. Yazılımı yönetenlerin eğitimini sağlamak: ERP yazılımı üzerinde hangi değişikliklerin nasıl yapılacağının belirlenmesi, hangi kullanıcıların hangi yetkilerle bu yazılıma erişebileceği, uzaktan erişim şartlarının ne olduğu, kullanıcı davranışlarının ve veri tabanı hareketlerinin nasıl izleneceği gibi konular ele alınmalıdır.

4. Kullanıcı farkındalığının artırılması : Kullanıcıların oltalama saldırıları gibi sosyal mühendislik saldırılarına karşı bilinçlendirilmesi bu saldırılara karşı alınabilecek en etkili tedbirdir. Kullanıcı eğitimlerine bilgi  güvenliği dahil edilmelidir.

5. Süreçlerin sürekli denetlenmesi: ERP yazılımının, kullanıcılarının ve veritabanının sürekli izlenmesi ve saldırgan veya alışılmışın dışında gözlemlenen hareketlerin hızlıca tespit edilip gerekli müdahalelerin yapılması gereklidir.

Sonuç olarak bir ERP sisteminin güvenliği işletmenin fiziksel ve dijital olarak güvenliği ile doğrudan ilişkilidir. Yazılım firmaları ve işletmeler üzerine düşen tedbirleri almalıdır. Güvenlik maliyetlerinden ziyade saldırı senaryolarındaki zarar maliyetleri üzerinde durulmalıdır. Zincir en zayıf halkası kadar güçlü olduğu unutulmamalıdır. Siber güvenliğin en zayıf halkası kullanıcılardır. Kullanıcılara düzenli olarak güvenlik eğitimleri verilmelidir. Profesyonellerden destek alınmalı, sistemin güvenlik testleri yaptırılmalı tedbir alınacak alanları belirlemek için risk haritaları çıkarılmalıdır.

Ayrıca kurumlar teknolojik altyapısını, donanım, yazılım, güvenlik ve bilgiye erişim alanlarını sistematik olarak denetime tabi tutmalıdır.  Bilgi kullanıcıları için üretilen bilginin güvenilirliği, zamanlılığı ve sürekliliği için ERP sistemlerinde sürekli denetim gereklidir. İşletme varlıklarının korunması, veri bütünlüğünün sağlanması için Bilişim Teknolojileri denetimi önemli bir süreçtir.   Sürdürülebilir başarı ve güvenlik için riskleri minimize etmek ve görevler ayrılığı ilkesini benimseyerek güncel sistemleri işletme yapasına entegre etmek ERP sistemleri güvenliği için oldukça önemlidir.

ERP güvenliğine dikkat çekmek için hazırladığım bu yazıda riskler ve tedbirler bu kısa yazıya sığmayacak kadar fazladır.  Bilginin güvenliğini, bütünlüğünü sağlayan ve gerektiğinde yetkili kişilerin bilgiye kolayca ulaşmasına imkan veren BGYS olarak kısaltılmış olan sistem kurulduğunda ve uluslararası ISO 27001:2013 standardın gereklerini yerine getirmekle bir kuruluş, değer varlıklarının başında gelen Bilgi varlıklarının güvenliğini sağlamaya yönelik önemli bir adım atmış ve ERP sistemlerini de güvence altına almıştır.

ISO/IEC 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.

Tüm işletmeler ERP güvenliği için, bilgiyi sistemler sayesinde tesadüfen bırakmadan korumalı, yasalara daima uyumlu olmalı, siber saldırlara karşı tedbirleri almalı ve düzenli olarak iç ve dış denetim yapmalıdır.  

Saygılarımla,

Gülseren Karabulut

ISO 27001:2013 ,  ISO 27701  ,  ISO 20000-1  Baş Denetçi , Danışman

www.agkbt.com , e-mail: gülseren.karabulut@agkbt.com

Kaynaklar  : Normaturk,Wikipedia, cpm.com, cyberthink , internet ortamındaki yazılar , vb.