ERP Teknolojilerinde Veri Güvenliği
Merhaba,
Bugün ERP teknolojileri ve genel siber saldırı olaylarından bahsedeceğim.
ERP Nedir?
ERP (Enterprise Resource Planing) yani dilimizde ki karşılığı Kurumsal Kaynak Planlaması anlamına gelmektedir. Peki nedir bu şey? Ne işe yarıyor?
Öncelikle bir şirketin departmanları sabittir, hangi alana hizmet verirse versin şirketlerde değişmez departmanlar başlıca:
- Muhasebe
- Finans
- İK (İnsan Kaynakları)
- Personel
- İdari İşler
- Satış Ve Pazarlama
- Dış Ticaret Birimi
- Planlama
- I.T.
- …
Her birimin görevini anlatmak ve detaya inmek istemiyorum. Çünkü bu İktisat bölümlerinin görevi. Ben mesleğim gereği hemen hepsini görmekteyim.
Burada belirtmek istediğim temel kısım bu birimler farklı alanlarda çalışma göstermelerine karşılık bu birimlerin birbirlerinden haberdar olmaları gerekiyor! Aksisi olamaz bile.
İşte size bir örnek:
Fabrikada kağıtla gelen irsaliyeyi depocu satış pazarlamaya eliyle vermek için zaman kaybetmek yerine bir bilgisayar başında irsaliye kaydını oluşturur.
Sistem gelen irsaliyeyi dijital ortam da satış ve pazarlama biriminin görmesini sağlar, satış birimi satış için faturalaştırır. Gelen çek/seneti yada havale/eft işlemlerini finanse verir. Ve finansda muhasebeye iletir. Ve bu bütün süreci dijital ortamda hızlı yapılmasını sağlayan çok yönlü sistemlere ERP denir.
Bu üstte ki bahsettiğim en basit anlaşılması açısından temel bir senaryo, örneğin İK işin içinde olduğunda çok farklı bir hal almakta, ayrıca üretim kısmı var ki bu tekonlojilerde hayati bir önem taşımaktadır. MRP, MRPII gibi…
Hadi Bir Hikaye Anlatalım
Şimdi siz gözünüzde canlandırın.
Planlama biriminde çalışıyorsunuz. Ve elbette iş emri çıkarmak ile görevli bir personelsiniz. Elinizde ki stokların kayıtlarının takibini yapmak, elinizde ki zaman makinelerin durumu ve üretim için gerekli materyallerin raporunu birim amirinize çıkarıyorsunuz.
Amiriniz onay veriyor. CNC operatörleri için dış ticaret biriminden gelen siparişlerin listesini çıkarıp sisteme iş emri giriyorsunuz ve bir çıktı dizaynını CNC Operatörüne veriyorsunuz. O da bunu yapıyor. Her ay sonunda da bu çalışmaların genel bir raporunu idare tarafından inceleniyor. (Genelde büyük ve kurumsal firmalarda görülen bir senaryodur.)
Ve bir gün bilgisayarınızı açıyorsunuz ki…
Tüm raporlarınız, excel verileriniz, siparişleriniz okunmaz halde. Ve bilgisayarınız server bilgisayara RD (Remote Desktop: Windows ve bazı işletim sistemlerinde mevcut destekli bir yazılım. Uzak bilgisayara erişim sağlamaktadır.) ile bağlı. Ve sizin bilgisayardan server bağlanılmış. Ve web sitenizde başta olmak üzere herşeyiniz değiştirilmiş. Ekranda ise beliren geri sayım…
3,2,1… Açılan ekranda ise aşağıda ki gibi bir açıklama:
“Merhaba, dosyalarınız şifrelenmiştir.
Gerekli ödeme işlemi yapılmaması takdirinde kullanılmaz şekilde bırakılacaktır.
AE126556 numarası sizin ID numaranız.
Bu numara ile 25 ETH ödemesini aşağıda ki belirtilen adrese gönderip, gönderdiğinize dair çıktıyı, id numaranız ile …@protonmail.com adresine belirtmeniz duurmunda şifreler çözülecektir.”
Evet. Ne yapacaksınız? 600’den fazla işçi çalıştıran bir eko sistem sizin bilgisayarınız vasıtasıyla ele geçirilmiş durumda. Bu durum idareye gittiğinde ne olacak? Alacak, borç, stok, cari, personel ödemeleri ve daha binlercesi… Bir gecede yok oldu. Ödemeyi yapmanız durumunda kriptolu dosyaların çözülüp çözülemeyeceği meçhul. Ve dahası da var.
Polise gitmeniz dahilinde Türkiye bu konuda yeni gelişmekte ve siber dünya için yeni yeni atılım göstermekte. Yeni oluşan kanunların bulunduğu bir ülkede ülkenin memurları bu konuda ne kadar iyi olabilir?
İşte bunları düşünmek istemiyorsanız aklınızdan çıkarmayın:
- İş bilgisayarınız kişisel bilgisayarınız değildir. Uzak erişimlere açmayın.
- İş bilgisayarınız kişisel bilgisayarınız değildir. Müzik, resim ve müzik çalar gibi dosya, .exe, resim uzantılarını indirmeyin.
- İş bilgisayarınız kişisel bilgisayarınız değildir. Kişisel flaş belleğiniz takmayınız.
- İş bilgisayarınız kişisel bilgisayarınız değildir. Hoşunuza giden filmleri boş zamanınızda izlemeyin.
- Her gelen mailleri açmayın. Mail imzası bulunan mailler olmadığı müddetçe ve göndericinin adresini bilmediğiniz takdirde açmayın.
- Server bilgisayar ile bağlantı kurulması için özel bilgisayarlar kullanılmasına dikkat edin, iş için kullandığınız ve verilerinizi oluşturduğunuz bilgisayarlardan erişim sağlamayın.
- I.T. biriminin dikkat etmesi gereken bir kısım. FireWall kullanılmasını talep edin.
- Değerli verilerinizi yedekleyin, bulut sistemleri bu konuda hala yetersiz. Çünkü yeni tip geliştirilen yazılımlar bulut sistemine gönderilen FTP protokolünü okuyor geçen paketleri bozuyor. Bunun için yapmanız gereken en önemli şey günün belirli saatlerinde ve en yoğun olduğunuz saatlerde yedeklerinizi sadece tek bir yerden değil, birden çok yerden dağıtarak yedekleyin.
- Ve en önemlisi “Onlar beni bulmaz.” Demeyin, siber dünyada ki arsızlık yeryüzünde de görülse inanın bana terörizmin yeni versiyonu sanırım radikal terörizm çıkardı.
Benzer senaryolar her zaman karşılaşılan durumlardır. Ve dijitalleşen dünyada inanın dengeler paraya, güce, servete vb. bakmamaktadır. Zira devletlerin korktuğu bir alemden bahsediyoruz.
Bol bilişimli günler 🙂
I may need your help. I’ve been doing research on gate io recently, and I’ve tried a lot of different things. Later, I read your article, and I think your way of writing has given me some innovative ideas, thank you very much.
This article opened my eyes, I can feel your mood, your thoughts, it seems very wonderful. I hope to see more articles like this. thanks for sharing.
I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article. https://accounts.binance.com/ru/register?ref=V2H9AFPY