Согласно новому опросу, более 3 из 4 руководителей технологических компаний обеспокоены угрозами безопасности SaaS

Приложения «программное обеспечение как услуга» уже давно стали объектом киберугроз. Новое исследование показывает, что эти угрозы остаются в центре внимания 78% технологических лидеров США, поскольку все больше SaaS-приложений проникают на предприятия.

Хотя предприятия уделяют приоритетное внимание конфиденциальности и безопасности данных, их продолжающаяся зависимость от SaaS и облачных предложений означает, что они остаются под угрозой, согласно отчету The SaaS Disruption Report: Security & Data, подготовленному Onymos и Enterprise Strategy Group.

Шива Натан, основатель и генеральный директор Onymos, рассказал TechRepublic, что существенный риск такой зависимости заключается в том, что когда компании приобретают SaaS-систему для ускорения разработки приложений, они взамен должны предоставлять доступ к данным стороннему поставщику SaaS.

Предоставление такого доступа может привести к кибератакам и случайной утечке данных. Это может быть особенно проблематично сегодня, поскольку среднестатистическое предприятие использует более 130 SaaS-приложений по сравнению с 80 в 2020 году, объяснил Натан.

«Это рост на 62%», — сказал он. «Каждое из этих [SaaS-приложений] — это новая поверхность атаки для государственных и негосударственных злоумышленников. И они этим пользуются. Число атак на цепочки поставок программного обеспечения растет, особенно против отрасли здравоохранения, которая была вынуждена перейти на модель виртуального ухода во время COVID-19».

Натан добавил, что организации здравоохранения уже давно полагаются на сторонних поставщиков, чтобы осуществить этот переход. Согласно отчету, другие секторы, которые в значительной степени полагаются на приложения SaaS, включают:

Правительство. Логистика и цепочка поставок. Производство. Розничная торговля. Банковское дело и финансовые услуги. Образование.

Gartner прогнозирует, что к 2025 году 45% организаций по всему миру столкнутся с атаками на свои цепочки поставок программного обеспечения. Отчет подтверждает этот прогноз: почти половина (45%) руководителей технических специальностей сообщили, что за последний год столкнулись с инцидентом кибербезопасности через сторонние SaaS-приложения.

Важность сохранения данных

Опрос, в котором приняли участие 300 руководителей отделов разработки приложений, ИТ и безопасности, также показал, что 91% респондентов подчеркнули исключительную важность сохранения данных для внутренних приложений, разработанных на заказ, что отражает его значимость в их приоритетах по разработке приложений.

Натан сказал, что эта статистика его удивила, потому что эти «технологические лидеры понимают, насколько важно сохранять свои данные, но они все еще так зависят от SaaS. В этих организациях явно существует напряженность между скоростью производства и владением данными», — отметил он. «Это напряжение всегда существовало, но оно усиливается».

Приоритеты ИТ-лидеров

Почти три четверти (72%) опрошенных руководителей назвали «безопасность» главным приоритетом, за ними следуют 65%, которые назвали «конфиденциальность данных».

Эти приоритеты также отражены в проектных заданиях, обязанностях и задачах в проектах разработки приложений и программного обеспечения организаций, говорится в отчете. Три из пяти главных приоритетов были:

Обеспечение конфиденциальности данных (60% сообщили, что это высокий или наивысший приоритет). Создание безопасных приложений (49% сообщили, что это высокий или наивысший приоритет). Сохранение полного контроля над владением данными (42% сообщили, что это высокий или наивысший приоритет).

Опрос также показал, что 65% приложений, разработанных внутри компании, имеют решающее значение для бизнеса, и только 36% руководителей технических подразделений запускают все свои приложения локально или в частных облаках.

Приложения SaaS требуют большего внимания к вашей безопасности

В отчете Onymos/ESG говорится, что, учитывая столь высокую обеспокоенность по поводу безопасности данных, организациям необходимо пересмотреть свою текущую бизнес-модель для использования SaaS- и облачных предложений.

«Сегодня очень часто можно услышать, как лидеры в сфере технологий говорят о своей «позиции безопасности» — наличие «позиции данных» не менее важно», — подчеркнул Натан. «Сюда входит вопрос о том, какими данными вы делитесь со своими поставщиками SaaS, чтобы получать их услуги; действительно ли им нужны эти данные; что они с ними делают; и куда они идут.

«Расширение продуктов и услуг на основе искусственного интеллекта только делает ответы на эти вопросы еще более важными», — сказал он.

В отчете представлены некоторые рекомендации, в том числе существенные изменения в текущих общих практиках SaaS и облачных технологий путем принятия принципов архитектуры «без данных», которые отдают приоритет конфиденциальности и безопасности данных.

«Этот тип архитектуры позволяет предприятиям сохранять полное владение и контроль над своими данными, устраняя необходимость в предоставлении доступа или предоставлении доступа сторонним поставщикам SaaS и облачных услуг и снижая связанный с этим риск», — говорится в отчете. «Предприятиям также должно быть разрешено владеть и изменять код, связанный с решениями SaaS, которые они используют для разработки своих приложений и программного обеспечения».

Это позволяет группам инженеров предприятия проверять и тестировать код так, как если бы они создали его сами, говорится в отчете Onymos/ESG. «Благодаря такому подходу организации могут быть полностью уверены в достоверности, надежности и безопасности кода», — говорится в отчете.

Кроме того, ИТ-отдел должен уделять первостепенное внимание и регулярно проводить строгие сторонние аудиты безопасности и тесты на проникновение. «Это тестирование должно включать понимание того, как данные организации проходят через различные приложения и решения SaaS, чтобы можно было смягчить непреднамеренные проблемы доступа к данным и их совместного использования», — говорится в отчете.