Na samym początku warto wyjaśnić, czym w ogóle jest oprogramowanie jako usługa (SaaS, z ang. Software as a Service). Jest to model dostarczania oprogramowania, w którym aplikacje są hostowane przez dostawcę usług i udostępniane użytkownikom przez Internet. SaaS eliminuje potrzebę instalowania i utrzymywania oprogramowania na lokalnych urządzeniach użytkowników, oferując zamiast tego dostęp do aplikacji za pośrednictwem przeglądarki internetowej, najczęściej w popularnym ostatnimi czasy systemie abonamentowym.
Czym jest Shadow SaaS?
Firmy przyjmują coraz bardziej elastyczne podejście do zarządzania zasobami IT, co prowadzi do wzrostu liczby używanych aplikacji SaaS. Pracownicy zaś chętniej używają narzędzi i usług chmurowych, aby ułatwić i przyspieszyć pracę. Nierzadko jednak wykorzystywane oprogramowanie nie jest w żaden sposób weryfikowane pod kątem bezpieczeństwa i zgodności z wewnętrznymi politykami prywatności firmy, co rodzi szereg zagrożeń, mogących doprowadzić do wycieku i utraty danych. Niebezpieczeństwo potęguje fakt, że pracownicy firm często bez głębszego zastanowienia korzystają z chmurowych rozwiązań zewnętrznych dostawców również bez żadnej konsultacji z odpowiadającymi za cyberbezpieczeństwo działami IT. Do określenia tego typu działań powstała nazwa Shadow SaaS.
Shadow SaaS, znane również jako „Shadow IT,” to określenie na korzystanie z aplikacji SaaS w organizacji bez autoryzacji działu IT.
Shadow SaaS w cybersecurity – czyli najciemniej pod latarnią
Zapewne nie jest niczym zaskakującym, że firmy i organizacje stosują wygodne w swojej formie i obsłudze rozwiązania w postaci oprogramowania jako usługi. Jednak dużo bardziej zaskakujące i niepokojące są wyniki niedawno przeprowadzonej ankiety Next DLP, która wykazała, że niemal 75% badanych specjalistów ds. cyberbezpieczeństwa w swoich firmach korzystało z nieautoryzowanych narzędzi SaaS, mimo świadomości ryzyka utraty danych. Co więcej, jedna dziesiąta respondentów powyższej ankiety zgłosiła, że w ich firmie doszło do naruszenia lub utraty danych w konsekwencji użycia takich aplikacji. Tak wysoki odsetek naruszeń daje obraz, jak powszechny stał się problem wygody przedkładanej nad bezpieczeństwo i to w miejscach mających za wspomniane bezpieczeństwo odpowiadać.
Zagrożenia związane z Shadow SaaS
W przypadku chęci stosowania rozwiązań programowych opartych o zewnętrzne chmury warto mieć świadomość towarzyszącym temu zagrożeniom, a są to między innymi:
- wycieki danych: nieautoryzowane aplikacje SaaS mogą nie spełniać tych samych standardów bezpieczeństwa, co lokalne rozwiązania programowe;
- naruszenia zgodności: shadow SaaS może prowadzić do naruszenia przepisów branżowych i wymogów prawnych;
- zwiększona powierzchnia ataku: używanie aplikacji SaaS z wątpliwej jakości zabezpieczeniami może tworzyć dodatkowe punkty dostępu dla cyberprzestępców;
- brak widoczności i kontroli: działy IT mogą mieć trudności w skutecznym zarządzaniu i zabezpieczaniu swojego środowiska cyfrowego;
Jak zmniejszyć ryzyko związane z wykorzystaniem oprogramowania SaaS?
Firmy powinny opracować i egzekwować skuteczne oraz regularnie aktualizowane polityki bezpieczeństwa danych, aby przeciwdziałać korzystaniu z niezweryfikowanych narzędzi SaaS oraz zwiększać świadomość kadry na temat ich niekontrolowanego wykorzystania. W ramach tych działań nie powinno zabraknąć:
- wdrożonych systemów do identyfikacji Shadow IT;
- usprawnionych procesów zatwierdzania nowych aplikacji;
- oferowania bezpiecznych alternatyw dla popularnych, lecz ryzykownych narzędzi;
- opracowania jasnych wytycznych i szkoleń dotyczących korzystania z GenAI w miejscu pracy;
Warto również mieć stałą kontrolę nad odwiedzanymi stronami i instalowanym oprogramowaniem przez pracowników, ponieważ w wielu przypadkach może to uchronić przed poważnymi naruszeniami procedur bezpieczeństwa informacji. Kontrole nad ruchem sieciowym najlepiej realizować za pomocą rozwiązań typu UTM, a nad wszystkim co się dzieje na poziomie jednostek (komputerów, urządzeń mobilnych) w tym m.in. instalowanym oprogramowaniem oraz podłączanymi nośnikami danych – system klasy EDR.
Źródła:
https://www.acronis.com/en-eu/search/?query=SaaS
https://www.barracuda.com/support/glossary/saas
