Şirketlerin tüm kritik iş süreçlerini yönetebildikleri, en değerli varlıkları olan verilerini işledikleri ve sakladıkları bir kurumsal kaynak planlama (ERP) uygulama platformu sunuyor SAP. Özellikle üretim ağırlıklı çalışan işletmeler tarafından birinci sırada tercih edilen SAP’nin Dünya genelinde yüz binlerce müşterisi mevcut. Tüm süreçlerini dijitalleştirerek en kritiklerini SAP ERP çözümü içerisinde yöneten şirketlerin varlıkları, doğal olarak ERP uygulamasının ne kadar düzgün, performanslı ve kesintisiz çalıştığı ile doğrudan ilişkili hale gelmiştir.
“Şirketiniz için ERP uygulaması ne kadar kritik?” Ya da şöyle soralım. “Şirketiniz ERP uygulaması olmadan ne kadar süre çalışabilir?”
5 Dakika, 1 Saat, 12 Saat, 24 Saat, 48 Saat?
İş sürekliliği ve felaket kurtarma projelerinde sorulan ilk sorudur. Uygulamalar ve sistemler olmadan şirketler manuel süreçlerle hayatlarına ne kadar devam edebilirler. Buradan elde edilen dayanma süresine göre geri dönüş senaryoları, felaket kurtarma merkezlerine kurulacak yedek sistem konfigürasyonları, veri replikasyon yöntemleri… belirlenerek iş sürekliliği ve felaket kurtarma planları oluşturulur ve yatırımlar yapılır.
Bu dayanma sürelerinde SAP uygulamasının çalıştırılamaması durumu bir çok şirket için telafisi mümkün olmayan hasarlar oluşturabilir, hatta şirketlerin iflaslarına neden olabilir!
Bu durumda şirketlerin Bilgi Teknolojilerinden sorumlu yöneticilerin ve ekiplerin en önemli hatta operasyonel anlamda belki de tek sorumlulukları SAP uygulamasının performanslı ve kesintisiz çalışmasını garanti altına almak veya alınmasını sağlamaktır diyebiliriz.
SAP ERP uygulamasının modüler ve kompleks bir yapısı olması, işletimi ve yönetimi özel bir uzmanlık gerektirmesi sebebi ile bir çok kurum bu konuda yönetilen hizmetler almaktadır. Dış kaynak kullanım modelinde kurum ve BT ekibi SAP uygulamasının yönetim ve işletim sorumluluğunu tedarikçisine devretmiş olsa da asıl sorumluluk hala BT ekibindedir. Bir sorun olduğunda şirket üst yönetimine hesap verecek kişi BT yöneticisidir.
SAP’nin kesintisiz çalışmasını etkileyecek kritik faktörler nelerdir?
SAP ERP uygulamasının önemi ve kritikliğine paralel olarak uygulamaların performanslı ve sorunsuz çalışabilmesi için önemli bir yatırım yapılır yada bu konuda hizmet veren şirketlerden hizmet alınır. Bu kapsamda altyapı teknolojilerinin sunucu, veri depolama sistemlerinin sürekliliği ve erişilebilirliği çok yüksek olması, bulut teknolojilerinin yaygınlaşması ile birlikte yedek sistemlerin çok hızla devreye alınabilmesi sebebi ile burada olabilecek sorunların çok hızlı çözülebileceği düşüncesiyle çok detaya girmeyeceğiz.
Bizim kontrolümüzde görünen, ancak gerekli süreç, teknoloji ve yetkinliği tam anlamı ile bulundurmadığımız konularda karşılaştığımız sorunlar çok can sıkıcı hal alabiliyor. Siber güvenlik bu konuların en önünde geliyor. Yapılan araştırmalarda elde edilen tespitler de kurumların bu konuya yeteri kadar gerekli ilgiyi göstermediği yönünde. Bu konuda karşılaşabileceğimiz risklerin en kritik olanları şunlar;
- SAP uygulaması güvenlik zafiyetleri ve sıfırıncı gün saldırıları: Teknoloji doğası gereği zafiyet barındırıyor. Onapsis’in SAP ile birlikte yayınladığı bir raporda SAP’nin bir güvenlik zafiyetini duyurduğu andan itibaren 24 saat içerisinde zafiyet bulunan SAP sistemlerinin taranmaya başlandığını ve 72 saat içerisinde de hackerların ilgili zafiyeti istismar edecek zararlı yazılımları geliştirdiklerini ve zafiyet bulunan sistemlere sızmaya başladıklarını belirtiyor. Bunun anlamı SAP’nin yayınlamış olduğu bir zafiyetin kapatılması için en fazla 72 saat gibi bir sürenizin olduğudur. Eğer bu zaman içinde ilgili zafiyet için bir önlem almazsanız büyük bir ihtimalle kendinizi Ransomware saldırganları ile fidye pazarlığı içerisinde bulabilirsiniz.
- Güvenlik zafiyeti içeren ABAP kodları: SAP kullanan şirketlerde ortalama iki milyon satır Z’li kod bulunduğu ve bu kodlarda ortalama 2.500 adet zafiyet bulunduğu belirtiliyor! Yüksek bir oran! Genel gözlemimiz şirketlerin SAP uygulamasının internete açık olmaması sebebi ile bu konuya gereken önemi vermedikleri yönünde. SAP uygulaması ne kadar kapalı olsa dahi saldırganlar kurum içindeki bir kullanıcı bilgisayarına sızarak oradan SAP uygulamasına saldırabileceklerini unutmamak gerekir. Diğer önemli bir kanalda iş ortakları ve tedarikçiler. Eğer SAP uygulamanızı kapalı da olsa bir tedarikçinizin erişimine açmışsanız saldırganların o tedarikçi üzerinden SAP uygulamanıza erişebileceğini unutmayın!
- Konfigürasyon eksiklikleri: SAP uygulaması ve sistemleri oldukça kompleks bir yapıya sahip. İlk kurulum sırasında ve sonrasında yüzlerce konfigürasyon parametresinin sağlıklı bir şekilde yapılandırılmış olması gerekiyor ki SAP düzgün ve güvenli çalışabilsin. SAP uygulama ve sistemlerinde yapılan değişikliklerin öncelikle SAP’nin belirlemiş olduğu standartlara ve şirketinizin tabii olduğu regülasyonlar ve kurallara uygun olarak yapılandırılmış olması oldukça kritik bir öneme sahip. Bir SAP ortamında ayda ortalama 250 değişiklik (transport) yapıldığı düşünülürse düzgün yönetilmediği takdirde bu değişikliklerin sistemin genel işleyişini etkileme olasılığının oldukça yüksek olduğunu söyleyebiliriz. 2019 yılında ortaya çıkan 10KBlaze isimli bir zararlının SAP Gateway ve Messenger servisi konfigürasyon eksiklikleri istismar ederek bu zafiyete sahip SAP ortamındaki tüm dataları silebileceği belirtiliyor! Dünya genelinde SAP kullanan 50 binden fazla şirketin %90’ının bu zararlının saldırı riskine maruz kaldığı belirtiliyor.
- Zamanında yapılmayan güvenlik yamaları: Özellikle SAP tarafından yayınlanan yamaların düzenli takip edilmesi, öncelikle test edildikten sonra canlı sistemler üzerinde uygulanması oldukça kritik. Burada bir dilemma yaşanır genelde. Şirketler işlerinin aksamaması için SAP uygulamasının durmamasını isterler ancak yama yönetimi gibi kritik süreçlerde bu yamaların sistemlerde uygulanabilmesi için SAP sistemlerinde kesinti yapmak gerekir. Unutmayın kritik yamalar için 74 saatiniz var! Saat işliyor…
Belirttiğimiz gibi SAP uygulama ortamları oldukça kompleks farklı sistemlerle entegre ve SAP uygulama sürekliliğini etkileyecek yüzlerce konu ve parametre var. Biz siber güvenlik özelinde en çok öne çıkan bazı konuların altını çizdik.
SAP ortamınızın kesintisiz çalışmasını sağlamak için öncelikle aşağıdaki soruların cevaplarına sahip olmanız gerekir:
- SAP güvenlik politikalarımız mevcut, güncel ve kullanılabilir durumda mı?
- Uyguladığınız güvenlik prosedürleri güvenlik standartları ve iş ihtiyaçlarınız ile uyumlu mu?
- Kritik SAP uygulama altyapıları ile diğer iş destek uygulamaları arasında yeterli izolasyon mevcut mu?
- Siber saldırganlar SAP uygulamasına hangi yollardan erişebilirler bunları belirleyerek önlemler aldınız mı?
- Olası siber saldırıların tespitini gerçekleştirmek için 7×24 çalışan bir ekip ile izleme sistemleri mevcut ve etkin çalışıyor mu?
Öncelikle alınması gereken aksiyonlar:
- Sıfırıncı gün zafiyetleri ve anlık siber saldırılara karşı SAP ortamınızın 7×24 güvenlik perspektifi ile izlenmesi ve elde edilen bulguların anında raporlanması.
- Bu sürecin şirket içinde varsa SOC/SIEM sistemlerine ve sürecine entegrasyonu önemli.
- Konfigürasyon yönetimi, Zafiyet yönetimi ve Yama yönetimi sürecinin kurgulanması ve etkin olarak işletilmesi.
- Z’li ABAP kodlarının güvenlik zafiyetlerinin yapılması ve olan zafiyetlerin giderildikten sonra canlı sistemlere alınması.
Bu konuda ITSS olarak sizlere nasıl yardımcı olabiliriz?
Yönetilen Hizmetler kapsamında SAP ortamlarının güvenliğine yönelik çözümlerimiz ile sizlere yardımcı olabiliriz.
Bu kapsamda yer alan çözümlerimiz:
Detaylı sunum ve demo talepleriniz için bizimle iletişime geçebilirsiniz.