Kurumsal kaynak planlama (ERP) sistemleri, bir şirketin dijital kalesidir. Finansal verilerden müşteri bilgilerine, üretim sırlarından stratejik planlara kadar en değerli varlıklar bu kalenin duvarları ardında saklanır. Bu kalenin anahtarı ise şüphesiz SAP sistemleridir. Peki, bu dijital kalenin duvarları ne kadar sağlam? Çoğu zaman, en büyük tehditler dışarıdan gelen karmaşık siber saldırılar değil, içeride farkında olmadan bırakılan güvenlik açıkları ve yapılan temel hatalardır.
SAP sistemlerinin güvenliği, yalnızca bir IT departmanı meselesi olmaktan çıkmış, doğrudan yönetim kurulu seviyesinde bir iş sürekliliği ve itibar riskine dönüşmüştür. Bir güvenlik ihlali, sadece milyonlarca dolarlık finansal kayba değil, aynı zamanda müşteri güveninin sarsılmasına ve onarılamaz bir itibar zedelenmesine de yol açabilir.
Bu yazıda, SAP Basis katmanında en sık karşılaşılan ve genellikle göz ardı edilen kritik güvenlik hatalarını mercek altına alacağız. Daha da önemlisi, bu hataları önlemek ve SAP altyapınızı zırh gibi sağlamlaştırmak için atmanız gereken adımları, yani “doğru yaklaşımları” net ve uygulanabilir bir dille açıklayacağız.
1. Varsayılan ve Zayıf Şifre Politikaları
Bu, en temel ama en tehlikeli hatadır. SAP kurulumundan sonra gelen varsayılan şifreleri (örneğin, DDIC veya SAP* kullanıcıları için) değiştirmemek, davetiyesiz misafirlere kapıyı ardına kadar açık bırakmak demektir. Benzer şekilde, kullanıcıların “123456”, “sirketadi1” gibi kolay tahmin edilebilir şifreler kullanmasına izin veren, şifre karmaşıklığı, minimum uzunluk veya periyodik değişim zorunluluğu getirmeyen politikalar, en basit “brute force” saldırılarına karşı bile sisteminizi savunmasız bırakır.
✅ Doğru Yaklaşım:
Sistem profil parametrelerini (RZ10/RZ11) kullanarak tüm kullanıcılar için zorunlu güvenlik politikaları belirleyin.
- Örnek Parametreler: login/min_password_lng (minimum uzunluk), login/password_expiration_time (geçerlilik süresi), login/password_history_size (eski şifre tekrarı yasağı) gibi parametreleri kurumsal standartlarınıza göre ayarlayın.
- Ekstra Güvenlik: Mümkün olan her yerde Çok Faktörlü Kimlik Doğrulama (MFA/2FA) çözümlerini entegre edin.
2. Gerekli Olmayan Kullanıcılara Aşırı Yetki Verilmesi
SAP sistemlerinde kullanıcı yetkilendirmesi, güvenliğin temel yapı taşlarından biridir. Acil bir sorunu çözmek veya yeni bir kullanıcıya hızla erişim sağlamak için geçici olarak verilen SAP_ALL ve SAP_NEW profili, çoğu zaman kalıcı hale gelir. Bu profil, kullanıcıya sistemdeki her veriyi görme, değiştirme ve silme yetkisi verir. Bu durum, yalnızca kötü niyetli bir saldırgan için değil, aynı zamanda art niyetli bir iç kullanıcı için de inanılmaz bir risk oluşturur. Veri sızıntısı, finansal dolandırıcılık veya sisteme sabotaj gibi senaryoların önünü açar.
💡 Örnek:
Bir satış temsilcisine muhasebe sistemine giriş yetkisi verilmesi, hem veri bütünlüğünü riske atar hem de kurumsal politika ihlallerine neden olabilir.
✅ Doğru Yaklaşım:
Hiçbir kullanıcıya, işini yapmak için gerekenden fazla yetki vermeyin.
- Yetkileri minimum ayrıcalık (Principle of Least Privilege) prensibiyle yönetin.
- Her kullanıcının sadece iş tanımına uygun yetkilere sahip olmasını sağlayın. Bunun için dikkatle tasarlanmış kompozit ve tekil roller oluşturun. Bu süreç (role redesign) zaman alıcıdır ancak güvenlik yatırımının geri dönüşü en yüksek olan adımlardan biridir.
- SAP GRC (Governance, Risk and Compliance) araçları kullanarak yetki denetimleri yapın.
- Acil durumlar için “Firefighter” gibi kontrollü ve loglanan geçici süper kullanıcı erişim mekanizmaları kullanın.
Kullanıcı rol atamalarını düzenli olarak gözden geçirin.
3. Yüksek Riskli Standart Kullanıcıların Korunmasız Bırakılması
Her SAP sisteminde bulunan SAP*, DDIC ve EARLYWATCH gibi standart kullanıcılar, bilinen ve belgelenmiş kullanıcılardır. Bu kullanıcıların şifreleri değiştirilmez ve kendileri kilitlenmezse, saldırganlar için ilk deneme hedefi haline gelirler. Özellikle SAP* kullanıcısı, belirli parametreler yanlış ayarlandığında, şifresi bilinmese bile sisteme giriş yapılmasına olanak tanıyabilir.
✅ Doğru Yaklaşım:
- İlk Adım: Kurulumdan hemen sonra SAP* ve DDIC gibi kullanıcıların varsayılan şifrelerini çok karmaşık bir şifre ile değiştirin.
- İkinci Adım: Bu kullanıcıları kilitleyin ve düzenli olarak kilit durumlarını ve herhangi bir giriş denemesi olup olmadığını denetleyin. login/no_automatic_user_sapstar parametresini 1 olarak ayarlayarak SAP* kullanıcısının özel durumunu devre dışı bırakın.
4. Kullanıcı Hesaplarının Süresiz Aktif Kalması
Projelerde veya geçici görevlerde açılan kullanıcı hesapları, iş bittikten sonra da sistemde aktif kalmaya devam edebiliyor. Bu tür kontrolsüz açık hesaplar, kötü niyetli erişimlerin önünü açar.
✅ Doğru Yaklaşım:
- Kullanıcı hesaplarına zaman sınırlaması koyun.
- Kullanılmayan hesapları düzenli aralıklarla pasifleştirin veya silin.
- Kullanıcı oturumlarını otomatik zaman aşımı ile sınırlandırın.
- Sisteminizde “last login” raporları oluşturarak aktif olmayan hesapları tespit edin.
5. Varsayılan Sistem Ayarlarının Değiştirilmemesi
Birçok SAP sistemi kurulum sonrası, üretim ortamına geçirilmeden önce varsayılan ayarlarla çalışmaya devam eder. Bu durum, özellikle sistem erişimi ve şifre politikaları gibi konularda önemli açıklar oluşturabilir.
✅ Doğru Yaklaşım:
- Varsayılan kullanıcı hesaplarını (örneğin SAP*, DDIC) devre dışı bırakın veya güçlü parolalarla yeniden yapılandırın.
- Şifre politikalarını şirket güvenlik standartlarına göre özelleştirin.
Geliştirme, test ve üretim sistemlerinin net olarak ayrıldığına emin olun.
6. Sistem Güncellemelerinin ve Güvenlik Yamalarının İhmal Edilmesi
SAP, keşfedilen güvenlik açıklarını kapatmak için düzenli olarak “Güvenlik Notları” (Security Notes) ve yamalar yayınlar. Ancak, birçok IT ekibi, “çalışan sisteme dokunulmaz” anlayışıyla veya zamanlama sorunları nedeniyle SAP sistem güncellemelerini erteler. Ancak bu durum, SAP’nin yayınladığı güvenlik yamalarının uygulanmaması anlamına gelir ve açık hedef haline gelmenize neden olur.
✅ Doğru Yaklaşım:
- SAP Security Notes’ları düzenli takip edin.
- Kritik yamaları bir test ortamında deneyerek hızlıca canlıya alın.
- Sistem güncellemeleri için bakım pencereleri belirleyin ve bu takvimi organizasyon geneline duyurun.
SAP Solution Manager veya benzeri araçlarla güncelleme süreçlerini yönetin.
7. Log ve İzleme Sistemlerinin Yetersizliği
“Eğer göremiyorsan, durduramazsın.” SAP Güvenlik Denetim Logu (Security Audit Log – SM19/SM20) varsayılan olarak genellikle aktif değildir veya yetersiz yapılandırılmıştır. Kimin, ne zaman, hangi kritik işleme (örneğin, SAP_ALL yetkisi atama, müşteri verisi indirme, sistem parametresi değiştirme) eriştiğini kaydetmeden, bir güvenlik ihlalini tespit etmek veya olay sonrası analiz yapmak neredeyse imkansızdır. Bu yüzden birçok şirkette SAP sistemlerinde meydana gelen güvenlik olayları ancak olay gerçekleştikten sonra fark edilir.
✅ Doğru Yaklaşım:
- SAP Security Audit Log’u aktif hâle getirin.
- Erişim denemeleri, başarısız login girişimleri, kullanıcı değişiklikleri gibi hareketleri kaydedin.
- Bu logları merkezi SIEM çözümleriyle entegre ederek güvenlik ekiplerinin erişimini sağlayın.
- Anormal aktiviteler için uyarı sistemleri oluşturun.
💡 Örnek:
Hafta sonu mesai saatleri dışında sisteme giriş yapan bir kullanıcının fark edilmemesi, içeriden gelen tehditlerin önünü açabilir.
8. Transport Sisteminin Güvenliğinin Sağlanmaması
SAP sistemlerinde geliştirilen yapıların farklı ortamlara taşınması için kullanılan transport sistemi, çoğu zaman güvenlik kontrolü dışında kalıyor. Yetkisiz kişilerin bu sistemi kullanarak canlıya müdahale etmesi mümkündür.
✅ Doğru Yaklaşım:
- Transport işlemleri için özel yetkilendirme grupları tanımlayın.
- Taşıma işlemlerini sadece belirli kullanıcılar yapabilsin.
- Transport loglarını izleyin ve taşıma isteklerini ön onay mekanizmasına bağlayın.
9. Yetki Değişikliklerinin Belgesiz ve Kontrolsüz Yapılması
İş gücü değişimleri, proje ihtiyaçları ya da acil talepler sonucunda kullanıcı yetkileri anlık olarak değiştirilebiliyor. Ancak bu değişiklikler çoğu zaman belgesiz ve kayıt dışı bir şekilde yapılmakta.
✅ Doğru Yaklaşım:
- Yetki değişiklikleri için bir değişiklik talep yönetim süreci oluşturun.
- Her değişiklik mutlaka belgelenmeli ve ilgili yöneticiden onay alınmalı.
Geriye dönük olarak değişiklikleri denetleyebilecek log sistemleri kurun.
10. Güvensiz RFC Bağlantıları
SAP sistemleri, kendi aralarında ve diğer sistemlerle sürekli olarak RFC (Remote Function Call) bağlantıları üzerinden iletişim kurar. Bu bağlantılar varsayılan olarak şifrelenmemiştir. Bu, ağ trafiğini dinleyen bir saldırganın, sistemler arasında akan kullanıcı bilgileri, şifreler veya hassas iş verileri gibi kritik bilgileri kolayca ele geçirebileceği anlamına gelir.
✅ Doğru Yaklaşım:
Tüm kritik RFC bağlantıları için Güvenli Ağ İletişimi (Secure Network Communications – SNC) özelliğini aktif hale getirin. Bu, sistemler arası veri akışını şifreleyerek “man-in-the-middle” saldırılarına karşı koruma sağlar.
11. Özel Geliştirme (ABAP) Kod Güvenliğinin İhmal Edilmesi
Şirketlerin özel ihtiyaçları için geliştirilen Z-kodları (Custom ABAP kodları), genellikle güvenlik denetimlerinden geçmez. Kötü yazılmış bir ABAP kodu, yetki kontrollerini atlayan (authority-check eksikliği), komut enjeksiyonuna (command injection) izin veren veya arka kapı (backdoor) oluşturan zafiyetler içerebilir. Bu da standart güvenlik önlemlerini tamamen işlevsiz kılabilir.
✅ Doğru Yaklaşım:
- Kod Taraması: Tüm özel ABAP geliştirmelerini, canlı sisteme taşınmadan önce SAP Code Vulnerability Analyzer gibi statik kod analiz araçlarıyla tarayarak güvenlik zafiyetlerini tespit edin ve düzelttirin.
- Farkındalık: ABAP geliştiricilerinize güvenli kodlama pratikleri konusunda düzenli eğitimler verin.
Sonuç: Güvenli Bir SAP Basis Ortamı İçin Proaktif Olun
SAP Basis güvenliği bir zincirdir ve en zayıf halkası kadar güçlüdür. SAP Basis güvenliği, sadece teknik önlemlerle sınırlı değildir; aynı zamanda kurumsal kültür, süreç disiplini ve sürekli farkındalık gerektirir. Bu yazıda değindiğimiz hatalar, SAP sistemlerine yönelik en yaygın güvenlik zafiyetlerini temsil ediyor. Ancak doğru yapılandırmalar, güçlü kontrol mekanizmaları ve düzenli denetimlerle bu risklerin büyük ölçüde önüne geçmek mümkün.
Unutmayın: SAP sisteminizin gücü, güvenliği kadar etkilidir. SAP güvenliğini şansa bırakmak, en değerli kurumsal varlıklarınızla kumar oynamak demektir.
SAP sistemlerinizdeki potansiyel güvenlik risklerini ve kör noktaları, uzman bir gözle ortaya çıkarmak ister misiniz?
Şirketinizin güvenlik duruşunu net bir şekilde görmek ve iyileştirme yol haritası oluşturmak için, uzman ekibimiz tarafından gerçekleştirilecek kapsamlı bir SAP Güvenlik Sağlık Kontrolü (Security Health Check) hizmeti için bizimle iletişime geçin. Dijital kalenizi birlikte aşılmaz kılalım.