Повечето технологични лидери, над 75% от всички, се тревожат от заплахи за сигурността на SaaS (софтуер като услуга) решенията, разкрива ново проучване на Onymos. Предприятията днес използват средно 130 различни SaaS приложения, спрямо 80 през 2020 г., сочи анализът.
Приложенията “софтуер като услуга” отдавна са обект на киберзаплахи. Проучването на Onymos установява, че тези заплахи остават най-важни за 78% от технологичните лидери в САЩ, тъй като все повече SaaS приложения намират място в бизнеса.
Въпреки че предприятията дават приоритет на поверителността и сигурността на данните, фактът, че те продължават да разчитат на SaaS и облачни предложения означава, че са изложени на риск, според доклада “The SaaS Disruption Report: Security & Data” на Onymos и Enterprise Strategy Group.
Рискът от външните доставчици
Шива Нейтън, основател и главен изпълнителен директор на Onymos, вижда значителен риск в това, че когато компаниите купуват SaaS система, за да ускорят разработването на приложения, те трябва да предоставят достъп до данни на външен SaaS доставчик, или т.нар. “трета страна”.
Предоставянето на този достъп може да доведе до кибератаки и случайно изтичане на данни. Това може да бъде особено проблематично днес, тъй като предприятията разчитат средно на над 130 SaaS приложения, в сравнение със само 80 през 2020 г., обяснява Нейтън.
„Това е 62% увеличение”, казва той пред TechRepublic. „Всяко от тези [SaaS приложения] е нова повърхност за атака, която държавни и недържавни лоши актьори могат да използват. И я експлоатират. Броят на атаките по веригата за доставки на софтуер нараства, особено срещу здравната индустрия, която трябваше да премине към модел на виртуални грижи по време на Covid-19”.
Здравните организации отдавна разчитат на външни доставчици, за да осъществят този преход, добавя Нейтън. Според доклада, други сектори, които разчитат в голяма степен на SaaS приложения, включват:
- правителство
- логистика и верига на доставки
- производство
- търговия на дребно
- банкови и финансови услуги
- образование
Gartner прогнозира, че 45% от организациите в световен мащаб ще се сблъскат с атаки срещу техните вериги за доставка на софтуер до 2025 г. Докладът на Onymos затвърждава тази прогноза – почти половината (45%) от технологичните лидери съобщават, че са преживели инцидент с киберсигурността чрез SaaS приложение на трета страна през изминалата година.
Важността на данните
Проучването – което извлича прозрения от 300 лидери в разработката на приложения, ИТ и сигурността – разкрива също, че 91% от респондентите отдават критично значение на запазването на данните за разработени по поръчка вътрешни приложения.
Тази статистика е изненадваща за Нейтън, защото технологичните лидери осъзнават колко важно е да запазят данните си, но те все още са силно зависими от SaaS. “В тези организации съществува очевидно напрежение между скоростта на разработка и собствеността върху данните”, отбеляза той. „Това напрежение винаги е съществувало, но се засилва”.
Приоритети на ИТ лидерите
Близо три четвърти (72%) от анкетираните лидери подчертават „сигурността” като основен приоритет, следвани плътно от 65%, които цитират „поверителността на данните”.
Тези приоритети са отразени и в проектните задачи, отговорностите и задачите в разработката на приложения и софтуер на организациите, се казва в доклада. Три от първите пет приоритета са:
- Гарантиране на поверителност на данните (60% съобщават, че е с висок или най-висок приоритет);
- Изграждане на сигурни приложения (49% съобщават, че е с висок или най-висок приоритет);
- Поддържане на пълен контрол върху собствеността на данните (42% съобщават, че е с висок или най-висок приоритет).
Проучването също така разкрива, че 65% от вътрешно разработените приложения са критични за бизнеса и само 36% от технологичните лидери изпълняват всичките си приложения на място или в частни облаци.
SaaS приложенията и сигурността
При опасения относно сигурността на данните на толкова високи нива, организациите трябва да преоценят текущия си бизнес модел за използване на SaaS и облачни решения, се казва в доклада на Onymos/ESG.
„Днес е много обичайно да чуете технологични лидери да говорят за своята „позиция за сигурност” – да имате „позиция за данни” е също толкова важно”, подчертава Нейтън. „Това включва запитване какви данни споделяте с вашите SaaS доставчици, за да получите тяхната услуга; наистина ли те се нуждаят от тези данни; какво правят с тях; и къде отиват”.
„Нарастването на AI продуктите и услугите само прави отговорите на тези въпроси по-важни”, каза Нейтън.
Докладът прави някои препоръки, включително значителна промяна в текущите обичайни практики за SaaS и облака чрез приемане на принципи на архитектура „без данни”, които дават приоритет на поверителността и сигурността на данните.
„Този тип архитектура позволява на предприятията да запазят пълната собственост и контрол върху своите данни, елиминирайки необходимостта от споделяне или предоставяне на достъп до SaaS и трети страни облачни доставчици и намалявайки свързания риск”, се казва в доклада. „Предприятията също трябва да имат право да притежават и променят кода, свързан със SaaS решенията”.
Това позволява на корпоративните инженерни екипи да проверяват и тестват кода, сякаш сами са го създали, се казва в доклада на Onymos/ESG. „С този подход организациите могат да имат пълно доверие във валидността, надеждността и сигурността на кода”.
Освен това ИТ лидерите трябва да дадат приоритет и редовно да провеждат строги одити на сигурността на трети страни и тестове за проникване. „Това тестване трябва да включва разбиране как данните на организацията преминават през различни приложения и SaaS решения, така че проблемите с нежелания достъп до данни и споделянето да бъдат смекчени”, заключава докладът.