Walldorf’taki bir SAP veri merkezinden çalındığı bildirilen bir SSD sürücüsünün eBay’de bulunması Alman yazılım üreticisini bir güvenlik soruşturması başlatmaya sevk etti. Durum hakkında doğrudan bilgisi olan kişilere göre, SAP’nin Almanya’nın güneybatısındaki Baden-Württemberg’de bulunan Walldorf’taki veri merkezlerinde geçen yılın Kasım ayında dört katı hal sürücüsü (SSD) kayboldu. Kurumsal kaynak planlama (ERP) yazılımında uzmanlaşmış bir işletme olan SAP, hem kendi bulut hizmetleri hem de üçüncü taraf sağlayıcılar tarafından barındırılan hizmetler aracılığıyla bulut bilgi işlem ve hizmet olarak yazılım alanındaki başarısını artırmak için çalıştığından, güvenlik ihlali şirket için bir utanç kaynağı.
Bir süre sonra, disklerden biri eBay’de bulundu ve bir SAP çalışanı tarafından satın alındı. Bunun bir SAP ürünü olduğunu tespit etmekte başarılı oldular. Sabit disk, en az yüz farklı SAP çalışanının kişisel bilgilerini içerir. Kayıt, disklerin kaybolmasında insan hatası ve prosedür hatasının da rol oynadığını, ancak daha sonra yapılan bir incelemenin bunların çalındığını ortaya çıkardığını öğrendi.
Araştırmanın bulgularına göre, güvenli bir site olarak tanıtılan veri merkezinden çıkmalarına izin verilmeden önce kişiler üzerinde herhangi bir fiziksel kontrol yapılmadı. Genel merkez kompleksi içindeki güvenli olmayan bir tesise nakledildikten sonra, diskler daha sonra o yerden alındı. SAP, halen kayıp olan üç diskin konumu hakkında herhangi bir bilgi sağlayamıyor.
Edinilen bilgiye göre bu, son iki yılda SAP’nin Avrupa’daki veri merkezlerinde disklerin kaybolduğu yedinci olay.
The Register tarafından ortaya atılan endişelere yanıt olarak, bir SAP sözcüsü disklerin henüz herhangi bir kişisel bilgi (PII) içermediğini söyledi. “SAP, müşteri verilerinin korunmasına yüksek öncelik veriyor. “Şu anda gizli müşteri verilerinin veya PII’nin şirketten bu diskler aracılığıyla veya başka bir şekilde alındığına dair hiçbir kanıtımız olmadığını doğrulayabiliriz” dediler. “Dahili soruşturmalar hakkında yorum yapmasak da, şu anda gizli müşteri verilerinin veya PII’nin alındığına dair hiçbir kanıtımız olmadığını doğrulayabileceğimizi lütfen anlayın.”
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.