Software-as-a-Service, a więc dostarczanie oprogramowania w modelu usługowym idealnie wpasowuje się w aktualne wymagania wielu organizacji. Chmura obliczeniowa, dostęp do oprogramowania z dowolnego urządzenia, brak konieczności utrzymywania go oraz stałe, przewidywalne opłaty za wykorzystanie kuszą coraz większą liczbę firm.

W praktyce w 2023 roku większość przedsiębiorstw korzysta z oprogramowania w modelu SaaS nawet jeżeli nie zdaje sobie z tego sprawy. Najpopularniejszym oprogramowaniem udostępnianym w modelu usługowym jest aktualnie Microsoft 365 (dawniej Microsoft Office 365).

Zobacz również:

• Rosną wydatki na chmurę publiczną
• GPW WATS – twarda podstawa do globalnego konkurowania

SaaS to model dystrybucji skrojony pod aktualne potrzeby organizacji. Z pewnością jest niesamowicie wygodny oraz przenosi wiele odpowiedzialności na usługodawcę, ale SaaS ma również swoje wady powiązane z poziomem bezpieczeństwa cybernetycznego, na które warto zwrócić uwagę.

Software-as-a-Service (SaaS) zmienia sposób, w jaki organizacje wykorzystują i pozyskują aplikacje, jednak ta zmiana paradygmatu wiąże się z własnymi nieodłącznymi zagrożeniami, prowadzącymi do ataków cybernetycznych. Poniżej przedstawiamy największe zagrożenia, o których warto wiedzieć.

Błędy związane z konfiguracją oprogramowania SaaS

SaaS najczęściej jest uniwersalnym rozwiązaniem, które dostosowywane jest do potrzeb danego odbiorcy. Oprogramowanie typu SaaS składa się z wielu warstw, które hostowane są z wykorzystaniem chmury obliczeniowej. Deweloperzy dbają o to, aby każda aplikacja była nowoczesna, wygodna w użyciu, bezpieczna oraz odporna na błędy. Niestety spora ilość warstw potęguje możliwość wystąpienia problemów z konfiguracją oprogramowania.

W przypadku braku świadomości dotyczącego drobnych błędów w konfiguracji, które pozornie nie wpływają na działanie rozwiązania pewnego dnia może okazać się, że ich nawarstwienie wywoła globalną awarię uniemożliwiającą dostęp do aplikacji w modelu SaaS.

Ataki typu Ransomware

Oprogramowanie typu SaaS bardzo czesto znajduje się na celowniku cyberprzestepców. Zdają sobie oni sprawę ze złożoności tego typu rozwiązań, a także cennych danych, które są przez nie przetwarzane. Aplikacje SaaS są często atakowane z wykorzystaniem oprogramowania ransomware. Ten typ ataku jest w dalszym ciągu bardzo popularny, a według badań nawet do niespełna 50% firm padło ofiarą ataku typu ransomeware w swojej historii.

Platformy SaaS posiadają ścisłe kontrole dostępu oraz rozbudowane narzędzia bezpieczeństwa. Nie oznacza to jednak, że są w pełni zabezpieczone przed atakami typu ransomware.

Cyberprzestepcy aktywnie pracują nad tym, aby wydobyc dane z usług typu SaaS i zaszyfrować je w celu uzyskania niemałego okupu.

Problemy związane z zarządzaniem tożsamością

Zarządzanie tożsamością oraz kontrola dostępu są krytyczne dla zachowania bezpieczeństwa platform typu SaaS. Platformy, na których znajdują się popularne aplikacje i usługi oferują rozbudowaną kontrolę dostępu, ale wiele organizacji posiada niepoprawnie skonfigurowane zasady i udostępnia zbyt duże zasoby dla swoich użytkowników, z czego bardzo często korzystają hakerzy próbujący przejąć dane dostępowe do platformy SaaS.

System zarządzania tożsamością powinien opierać się na zasadzie Zero Trust, a użytkownicy powinni mieć dostęp jedynie do niezbędnych danych, które są potrzebne do wykonywania ich obowiązków zawodowych.

Brak kontroli nad danymi poufnymi

Platforma SaaS nie pozwala organizacjom na całkowite zarządzanie aplikacjami. Jest to rozwiązanie dostarczane poprzez firmę zewnętrzną na podstawie odpowiednio podpisanych umów. Stwarza to problem z pełna kontrolą nad poufnymi danymi znajdującymi się w aplikacjach typu SaaS. Usługodawca może mieć problem z zachowaniem płynności działania usług np. w przypadku awarii lub ataku, może zdarzyć się incydent cyberbezpieczenstwa, który skompromituje dane. Z tego powodu organizacje pracujące na platformach SaaS powinny posiadać aktywną usługę tworzenia kopii zapasowych, która pozwala na zachowanie ciągłości działania w przypadku awarii systemu SaaS lub w momencie potrzeby szybkiej rezygnacji ze stosowania tego rozwiązania.

Technologie IT poza zasięgiem działów IT

SaaS to oprogramowanie, na które wpływu nie ma dział IT organizacji. Oznacza to, że nie ma możliwości kompleksowego zarządzania tym rozwiązaniem, które z natury ma odciążać wewnętrzne działy IT organizacji.

Takie działanie jest wygodne i ogranicza pracę, ale ma negatywny wpływ na bezpieczeństwo cybernetyczne danych znajdujących się w aplikacjach typu SaaS.

W przypadku aplikacji SaaS problemy z bezpieczeństwem cybernetycznym są implikowane przez:

• Brak kontroli nad aplikacjami w obrębie peryferii.
• Utrata danych i naruszenia.
• Nienadzorowane podatności.
• Konflikty oprogramowania i sprzętu.

Podatność na luki

Twórcy aplikacji wydają aktualizacje oprogramowania i poprawki bezpieczeństwa, aby usunąć błędy i luki w zabezpieczeniach. Pomimo regularnych testów i opinii użytkowników, nie każda luka w zabezpieczeniach może zostać załatana, ponieważ monitorowanie każdej pojedynczej aplikacji dostarczanej przez dostawcę SaaS jest niemożliwe. Oznacza to, że organizacje mogą przez wiele tygodni lub miesięcy korzystać z aplikacji z lukami bez wiedzy o ich istnieniu.

Aplikacje SaaS powinny być wstępnie przetestowane pod kątem błędów, a skuteczny kanał informacji zwrotnej jest niezbędny do zapewnienia płynnego funkcjonowania aplikacji w chmurze.

Liczba zalet znacząco przeważa wady, ale oprogramowanie SaaS nie jest idealne

Oprogramowanie udostępniane w modelu SaaS bardzo często reklamowane jest jako produkt pozbawiony wad, który jest idealnie dopasowany do aktualnych potrzeb organizacji. W praktyce SaaS podobnie jak inne modele dystrybucji aplikacji posiada swoje wady i zalety. W przypadku SaaS można mówić o znacznej ilości zalet i jedynie niewielkiej ilości wad, ale należy mieć świadomość ich występowania, aby podjąć działania zaradcze.

Dobrze zoptymalizowane i poprawnie wdrożone aplikacje SaaS to efektywny, solidny i trwały element infrastruktury IT, który jest przydatny szczególnie w pracy zdalnej lub hybrydowej.