Siber saldırganlar her geçen gün daha fazla SAP sistemine fidye saldırıları düzenliyorlar. İş sürekliliğinin merkezinde bulunan SAP sistemleri ne kadar güvende? Nasıl güvenlik önlemleri almak gerekiyor?

🔐 SAP Uygulama Güvenliği: Neden Kritik?

Şirketlerin tüm kritik iş süreçlerini yönetebildikleri, en değerli varlıkları olan verilerini işledikleri ve sakladıkları bir kurumsal kaynak planlama (ERP) uygulama platformu sunuyor SAP. Özellikle üretim ağırlıklı çalışan işletmeler tarafından birinci sırada tercih edilen SAP’nin dünya genelinde yüz binlerce müşterisi mevcut.

Tüm süreçlerini dijitalleştirerek en kritiklerini SAP ERP çözümü içerisinde yöneten şirketlerin varlıkları, doğal olarak ERP uygulamasının ne kadar düzgün, performanslı ve kesintisiz çalıştığı ile doğrudan ilişkili hale gelmiştir.

“Şirketiniz için ERP uygulaması ne kadar kritik?”
Ya da şöyle soralım: “Şirketiniz ERP uygulaması olmadan ne kadar süre çalışabilir?”

🕒 5 Dakika, 1 Saat, 12 Saat, 24 Saat, 48 Saat?

İş sürekliliği ve felaket kurtarma projelerinde sorulan ilk sorudur. Buradan elde edilen dayanma süresine göre geri dönüş senaryoları, felaket kurtarma merkezlerine kurulacak yedek sistem konfigürasyonları, veri replikasyon yöntemleri belirlenir.

⛔ Bu dayanma süresinde SAP uygulamasının çalıştırılamaması, birçok şirket için telafisi mümkün olmayan hasarlar oluşturabilir.

🎯 BT Ekiplerinin Sorumluluğu

SAP ERP uygulamasının modüler ve kompleks bir yapısı olması, işletimi ve yönetimi özel bir uzmanlık gerektirir.
Bu sebeple birçok kurum yönetilen hizmetler alır. Ancak dış kaynak kullanılsa dahi asıl sorumluluk BT yöneticisindedir.

🚨 SAP’nin Kesintisizliğini Etkileyen Kritik Faktörler

1. Güvenlik Zafiyetleri ve Sıfırıncı Gün Saldırıları

SAP ve Onapsis’e göre bir zafiyet duyurulduktan sonra 24 saat içinde taramalar başlıyor
72 saat içinde zararlılar geliştiriliyor ve sistemlere sızılıyor
Bu, önlem almak için sadece 72 saatiniz var demektir

⚠️ Bu zaman aralığında yama uygulanmazsa, fidye yazılımlarıyla karşı karşıya kalabilirsiniz.

2. Güvensiz ABAP Kodları

Ortalama 2 milyon satır Z kodu ve yaklaşık 2.500 güvenlik zafiyeti
SAP uygulaması internete açık olmasa da:
- Kurum içi kullanıcılar
- Tedarikçiler aracılığıyla risk taşır

3. Konfigürasyon Eksiklikleri

SAP ortamında yüzlerce parametre düzenlenmelidir
Ayda ortalama 250 transport yapılmaktadır
10KBlaze örneği: Yanlış yapılandırma, tüm dataların silinmesine yol açabilir

4. Zamanında Yapılmayan Güvenlik Yamaları

Kritik yamaların test sonrası canlıya geçirilmesi gerekir
Ancak bu durum kesinti gerektirir
Unutmayın: 72 saatlik kritik süre burada da geçerli!

❓ SAP Güvenliği İçin Cevaplanması Gereken Sorular

SAP güvenlik politikalarımız mevcut ve güncel mi?
Güvenlik prosedürleri standartlara ve iş ihtiyaçlarına uygun mu?
Kritik altyapılar arasında izolasyon var mı?
SAP’ye erişim yolları analiz edildi mi?
7/24 izleme sistemleri aktif ve verimli mi?

✅ Alınması Gereken Önlemler

SAP sistemlerinin 7/24 güvenlik izlenmesi
SOC/SIEM entegrasyonu sağlanması
Konfigürasyon, yama ve zafiyet yönetim süreçlerinin kurulması
Z kodlarının güvenlik taramasının yapılması ve iyileştirilmesi

🔎 SAP ortamları karmaşık, riskler çok yönlü ve hızlı gelişiyor.
⏳ Zafiyetlerin süresi saatlerle, itibar kaybı ise yıllarla ölçülür.

SAP Güvenliği Neden Önemli?