Użytkownicy zagrożeniem dla SaaS

Jak realnie ocenić bezpieczeństwo i zagrożenia związane z korzystaniem z usług chmurowych doradzają analitycy Gartnera w raporcie "Everything you know about SaaS security is wrong".

Większość firm źle podchodzi do bezpieczeństwa SaaS, jednak wina tylko częściowo leży po stronie wewnętrznych działów IT. Główne przyczyny to również szum informacyjny wokół cloud computingu oraz brak rzetelnych informacji o błędach przydarzających się dostawcom. Takie wnioski nasuwają się z raportu Gartnera "Everything you know about SaaS security is wrong".

Zdaniem autora raportu użytkownicy decydujący się na korzystanie z aplikacji SaaS zwracają uwagę na niewłaściwe aspekty dotyczące bezpieczeństwa tych usług. Badania wskazują, że klienci podejmując decyzję o zakupie, skupiają się na prawdopodobieństwie wystąpienia ryzyka, a nie próbują przyjrzeć się błędom w działaniu SaaS, których wystąpienie jest bardziej prawdopodobne, a potencjalne skutki poważniejsze. Z analizy ankiet przeprowadzonych przez Gartnera wynika, że potencjalni klienci bardziej obawiają się o mechanizmy zabezpieczające chmurę dostawcy, niż o utratę danych czy kompetencje administratorów IT zatrudnianych przez operatora. Takie rozłożenie akcentów nie odpowiada rzeczywistym zagrożeniom związanym z SaaS.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Rosną wydatki na chmurę publiczną
  • 7 lat na szczycie. Veeam ponownie liderem Gartner® Magic Quadrant 2023

Oczywiście nie da się udowodnić, że włamania do chmur operatorskich, o których nie informowano, faktycznie nie miały miejsca. Jednak z dużą dozą pewności można powiedzieć, że dostawcy SaaS zaliczają stosunkowo mało porażek w obszarze bezpieczeństwa. Pojawia się natomiast wiele doniesień, że przyczyny problemów z bezpieczeństwem SaaS często leżą po stronie użytkowników. Są raporty informujące o wykradzionych czy złamanych hasłach używanych do uzyskiwania nieautoryzowanego dostępu do indywidualnych kont SaaS. Przyczyną tych zdarzeń nie były luki w usługach chmurowych, lecz niewłaściwe postępowanie użytkowników. Jedynie w niewielkiej liczbie przypadków zdarzyło się, że operatorzy SaaS utracili dane w wyniku błędów technicznych. Niektórzy operatorzy borykali się z problemami biznesowymi, które występowały z reguły bez żadnego uprzedzenia, co zmuszało klientów do nagłego szukania alternatywnych rozwiązań.

Aby zweryfikować swoje obawy, które zdaniem Gartnera są błędne, potencjalni klienci SaaS podejmowali wzmożone prace w celu oceny zagrożeń, aby na tej podstawie ocenić, z jakim prawdopodobieństwem środowisko operatora usługi odeprze próby ataków penetracyjnych. Nie ma jednak żadnego potwierdzenia, że szczegółowe wypytywanie operatorów czy spotkania z nimi przekładają się na redukcję ryzyka.

Korekta kursu

Firmy zainteresowane aplikacjami dostarczanymi z chmury powinny dobrze zrozumieć, jakie są faktyczne obszary zwiększonego ryzyka związanego z bezpieczeństwem SaaS, mające największy wpływ na funkcjonowanie biznesu. Bezwzględnie nie należy dać się złapać w ogólny szum informacyjny i mity wskazujące na niewłaściwe, hipotetyczne zagrożenia.

Są trzy poważne błędy w podejściu firm do bezpieczeństwa SaaS. Po pierwsze, poufne czy wartościowe informacje trafiają do niezaaprobowanych usług. Wielu użytkowników w firmach korzysta z usług chmurowych bez informowania o tym fakcie działu IT. To znacznie podnosi ryzyko wycieku lub utraty danych. W niektórych branżach może to być również naruszeniem obowiązujących przepisów, nawet jeśli nikt nieupoważniony nie uzyskał dostępu do tych danych.

Po drugie, użytkownicy często w nieprawidłowy sposób posługują się danymi przechowywanymi w chmurze. Aplikacje działające w chmurze z reguły mają mniej zaawansowane mechanizmy kontroli dostępu niż aplikacje uruchamiane lokalnie w firmowym środowisku IT. Nawet jeśli aplikacja chmurowa ma rozbudowane ustawienia kontroli dostępu, firmy rzadko z nich korzystają. Takiego zdania są przynajmniej analitycy Gartnera.

Część problemów wynika z faktu, że autoryzowani użytkownicy mają dostęp do danych, do których jednak nie powinni mieć dostępu. Kolejne przyczyny to zakończenie okresu, po którym użytkownikom powinno się odebrać uprawnienia, czy umieszczanie w chmurze plików, które nie powinny tam trafić (np. za pomocą narzędzi automatycznie synchronizujących pliki między komputerami: firmowym i domowym).

Po trzecie, problemem są kradzieże danych dostępowych. Większość korporacyjnych usług SaaS (i praktycznie wszystkie usługi konsumenckie) wykorzystują hasła wielokrotnego użytku. Ponieważ ludzie mają naturalną skłonność do używania tych samych haseł w wielu systemach, firmowa aplikacja SaaS jest zagrożona atakiem, jeśli haker wykradnie, np. dane dostępowe pracownika do jego konta na Facebooku. Włamywanie się do pojedynczych kont za pomocą wykradzionych haseł to najczęstsze zagrożenie dla bezpieczeństwa SaaS. Każda organizacja korzystając z SaaS powinna podjąć kroki mające na celu zwiększenie kontroli kont, w przeciwnym razie skuteczność mechanizmów uwierzytelniających będzie ograniczona.

Mętna komunikacja

Niewłaściwe ukierunkowanie uwagi na problemy z bezpieczeństwem SaaS może wynikać z braku odpowiednej polityki informacyjnej dostawców tych usług. Klienci narzekają, że kontrakty zawierają niewystarczające zapisy w zakresie zapewnienia poufności danych, ich integralności czy przywracania w przypadku, kiedy dojdzie do ich utraty. Według Gartnera w 2015 r. aż 80 specjalistów IT będzie niezadowolonych z języka i warunków, jakimi operatorzy chmur opisują kwestie bezpieczeństwa w umowach.

W wersji minimum użytkownicy oczekują zapewnienia w umowach możliwości przeprowadzenia raz do roku audytu i certyfikacji przez zewnętrzny podmiot, z opcją dopuszczającą zerwanie kontraktu w przypadku wystąpienia udokumentowanych włamań do chmury operatora.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200