Teknolojik ilerlemeler, siber güvenlik sorunlarının da biçim değiştirerek bireyler ve işletmelerin çevrimiçi varlıklarına tehdit oluşturmasına yol açtı. Üretken yapay zekanın (generative AI) gelişimi, siber saldırılar için yeni bir araç sunuyor. Blackpoint’in yıllık siber güvenlik raporuna göre, bu yıl KOBİ’lerin siber güvenliğini artırmak için odaklanması gereken başlıca alanlar arasında siber güvenlik eğitimi, düzenli güvenlik testleri, e-posta güvenliğinin artırılması ve iş ortaklarının güvenlik sistemlerinin denetlenmesi yer alıyor. Bu bağlamda, işletmelerin dayanıklılık ve proaktivite konularında her zamankinden daha güçlü olmaları gerekiyor.
İşletmeler İçin Hayati Önem Taşıyor
ERP sistemleri; bir işletmenin finansal verilerinden müşteri bilgilerine, üretim bilgilerinden stok durumlarına kadar kritik verilerin yönetildiği çözümler olarak, siber saldırıların hedefi haline gelebiliyor. ERP çözümlerindeki bir güvenlik açığı, işletmenin iş süreçlerinin durmasına veya hatalı yürütülmesine ve bu durumun kaynakların israfına yol açmasına neden olabilir.
Mevcut müşteri portföyü ve tedarik zinciri gibi hassas bilgilerin kötü niyetli kişilerin eline geçmesi, yasal açıdan da olumsuz sonuçlar doğurabilir. Bu nedenle, ERP sistemlerinin güvenliği işletmeler için finansal, yasal, itibari ve operasyonel açıdan hayati öneme sahip. Maddi kayıpların haricinde siber saldırılar firmalar için itibar kaybı, hukuki problemler ve pazar payında daralma anlamına da gelebilir. Bu sebeple siber saldırılara karşı sağlam önlemler alınması firmaların geleceği için elzem.
ERP sistemlerini en çok tehdit eden siber saldırı türleri arasında phishing ve ransomware bulunuyor. 2024 siber güvenlik raporlarında sıkça anılan bu yöntemler, üretken yapay zekanın yardımıyla siber suçluların çok daha gerçekçi phishing kampanyaları düzenlemelerine olanak tanıyor. Ransomware vakalarında ise yalnızca veri çalmakla kalmayıp, çalınan veriyi erişime açmakla tehdit edebiliyorlar.
Tüm bunlardan önce, sistemlerin “Dağıtılmış Ağ Saldırıları” olarak da bilinen DDoS saldırılarına karşı korunması büyük önem taşıyor. Sunuculara çok sayıda istek göndererek sistemin çok sayıda isteği işlemesini önlemeyi hedefleyen bu saldırılar, sistemlerin yavaşlamasına ve taleplerin karşılanamamasına sebep olabilir. ERP sistemlerinin bu tür saldırılardan korunabilmesi için veri güvenliği, erişim kontrolü, kimlik doğrulama, yazılım güncellemeleri, ağ güvenliği, veri yedekleme, kullanıcı eğitimi, bulut tabanlı ERP güvenliği ve denetimler gibi önlemlere dikkat edilmesi gerekiyor.
Veri Güvenliği Risklerini Azaltıyor
İşletmelerin dijital dönüşümde ihtiyaç duyduğu çözümleri sunan IAS’ın CTO’su Bahtiyar Tan veri güvenliği önlemlerinin geniş bir perspektiften değerlendirilmesi gerektiğini belirtiyor. Tan, şu sözleriyle ERP sistemlerinde veri güvenliğinin sağlanmasına dair önemli ipuçları veriyor:
“Bu önlemlerin bir kısmı risklerin gerçekleşme ihtimalini azaltmaya, bir kısmı olası saldırıları tespit etmeye, diğer bir kısmı ise risk gerçekleştiğinde etkilerini azaltmaya yönelik olmalı. İlk olarak, kullanılan sistemin yasal gereksinimleri yerine getirip getirmediği değerlendirilmeli. Ayrıca, kullanıcıların yalnızca erişmeleri gereken verilere erişebileceği bir erişim kontrolü sağlanması son derece önemli.
ERP kullanıcılarının siber güvenlik bilincini artıracak eğitimler almaları, yetkisiz erişim gibi riskleri azaltacaktır. Uygulamanın düzenli olarak güncellenmesi de ERP çözümlerinin güvenli bir şekilde kullanılabilmesi açısından kritik öneme sahip. Saldırıların tespit edilebilmesi için güçlü bir loglama, izleme ve denetim altyapısının kurulması da gerekiyor.”
Tan sözlerine şöyle diyerek devam ediyor:
“Her şeyden önce sistemlerin temel ilkelere uyarak çalışması, riskleri azaltmak için önemli bir adım. Örneğin KVKK, başat yasal gereksinimlerden biri olarak adlandırılabilir. Bazı durumlarda verileri şifreli biçimde saklamak da bir yasal zorunluluk olabilir. Bu yasal gereklilikleri yerine getiren sistemlerin siber saldırılara karşı korunması kolaylaşıyor.”
Bahtiyar Tan, veri yedeklemenin önemini ise şu şekilde vurguluyor:
“Veri güvenliğinin sağlanması için önlemler geniş bir perspektiften değerlendirilmelidir. Bu önlemler bir yandan risklerin gerçekleşme ihtimalini azaltmaya, bir yandan olası saldırıları tespit etmeye, diğer yandan ise risk gerçekleştiğinde etkilerini minimize etmeye yönelik olmalıdır.
Kullanıcıların yalnızca erişmeleri gereken verilere ulaşabilmesi, siber güvenlik bilincini artıracak eğitimlerin düzenlenmesi ve yazılımların düzenli olarak güncellenmesi son derece önemlidir. Alınan tüm önlemlerle birlikte bir veri yedekleme politikasının belirlenmesi şart.
Bu politika belirlenirken yedekleme aralığı, metodu, yaşlandırma süreci, fiziksel lokasyon, canlı ortam üzerinden yedeğe erişim, yedekten dönüş süreleri, yedeklerin güvenliği gibi konulara dikkat edilmeli ve veri koruma politikası belirli aralıklarla gözden geçirilmelidir.
Alınan yedeklerin bu politikaya uyumlu olarak alınıp alınmadığı, ayrıca alınan yedeklerin doğrulanması gibi konulara dikkat edilmelidir. Verilerin şifrelenerek saklanması, siber saldırı riskini azaltmanın etkili yollarından biridir.
Şifreli veri ele geçmiş olsa dahi gerçek, anlaşılabilir verinin ele geçirilebilmesi için şifrenin de kırılması gerekir. Bu da eğer kullanılan şifreleme yöntemi ve anahtarlar doğru seçildiyse ciddi efor gerektiren bir süreçtir.
Ayrıca, ERP sistemlerinde güçlü bir loglama, izleme ve denetim altyapısının kurulması da saldırıların tespit edilebilmesi açısından kritiktir. Biz de IAS olarak, sunduğumuz çözümlerle; iki faktörlü doğrulama, veri şifreleme, şifreli iletişim, gelişmiş yetkilendirme altyapısı, loglama ve izleme sistemleri gibi pek çok güvenlik önlemini sağlıyor ve çözümlerimizi sürekli güncelliyoruz.
Olası güvenlik risklerini önceden tespit etmek için test mekanizmaları kullanıyor, elde edilen bulgulara göre gerekli iyileştirmeleri yapıyoruz. Tüm müşterilerimizin ve paydaşlarımızın kritik bilgi varlıklarını bize emanet ettiklerinin bilinciyle hareket ederek güvenli çözümler sunuyoruz.”
diyerek Canias ERP’nin veri güvenliğine dair sunduğu çözümleri özetledi.
Kaynak : 