W ankiecie opublikowanej niedawno przez Next DLP prawie trzy czwarte specjalistów ds. bezpieczeństwa przyznało się do korzystania z nieautoryzowanych narzędzi SaaS (ang. Software as a Service), znanych również jako „Shadow SaaS”.
Spośród ponad 250 specjalistów ankietowanych na konferencjach RSA 2024 i Infosecurity Europe 2024 73% stwierdziło, iż korzystało z nieautoryzowanych narzędzi, mimo iż większość respondentów zdaje sobie sprawę z ryzyka naruszeń danych, możliwości ich utraty i braku widoczności związanego z Shadow SaaS.
Ankieta Next DLP poruszyła również kwestię, w jaki sposób narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT OpenAI, przyczyniają się do korzystania przez pracowników z Shadow SaaS, a także zbadała, w jaki sposób organizacje rozwiązują problem Shadow SaaS i Shadow AI.
„Powszechność stosowania Shadow SaaS i Shadow AI, choćby wśród specjalistów ds. bezpieczeństwa, jest niepokojąca, ale nie zaskakująca. Odzwierciedla to szerszy trend, jaki obserwujemy w zakresie wdrażania SaaS w organizacjach” – powiedział Guy Rosenthal, wiceprezes ds. produktu w DoControl.
Z raportu DoControl dotyczącego stanu bezpieczeństwa danych SaaS 2024 wynika, iż w 2023 r. firmy utworzyły średnio 14,9 mln nowych aktywów SaaS, co stanowi wzrost o 189% w porównaniu z rokiem poprzednim. Dodając do tego rozwój aplikacji GenAI, ryzyko naruszenia bezpieczeństwa danych w wyniku wykorzystania Shadow IT jest szczególnie duże.
Niedawny incydent, w którym pracownicy Samsunga przypadkowo ujawnili prywatny kod za pośrednictwem ChatGPT, uwydatnia ryzyko związane z niesankcjonowanym użytkowaniem AI. Nie chodzi tylko o utratę danych, ale o potencjalne narażenie systemów i zabezpieczeń na ataki z zewnątrz.
Brak świadomości i wystarczającej ochrony
Specjaliści ds. bezpieczeństwa ankietowani przez Next DLP wykazali brak świadomości i solidnych zasad rozwiązywania problemów wynikających z niekontrolowanego korzystania z narzędzi SaaS i GenAI innych firm. Według Next DLP tylko 37% stwierdziło, iż opracowało jasne zasady i konsekwencje korzystania z tych narzędzi, a zaledwie 28% promuje wśród pracowników zatwierdzone alternatywy.
Podczas gdy połowa ankietowanych „bezpieczników” stwierdziła, iż wykorzystanie sztucznej inteligencji w ich organizacji ogranicza się do określonych stanowisk, a 16% stwierdziło, iż wprowadzono całkowity zakaz jej używania, 40% stwierdziło, iż nie wierzy, by pracownicy ich organizacji mieli wystarczającą wiedzę na temat zagrożeń związanych z używaniem nieautoryzowanej sztucznej inteligencji i innych aplikacji SaaS.
Ponadto tylko połowa zadeklarowała, iż w ciągu ostatnich sześciu miesięcy otrzymała jakiekolwiek wytyczne lub zaktualizowane zasady dotyczące równoległego IT, w tym sztucznej inteligencji, a jedna piąta stwierdziła, iż nigdy nie otrzymała wskazówek dotyczących tych kwestii.
O potencjalnych konsekwencjach Shadow IT świadczy fakt, iż jedna dziesiąta respondentów ankiety zgłosiła, iż w ich organizacji doszło do naruszenia lub utraty danych w wyniku użycia nieautoryzowanych aplikacji. Shadow IT może choćby pozostawić „bliznę” w organizacjach za pośrednictwem byłych pracowników, którzy po opuszczeniu firmy przez cały czas uzyskują dostęp do zasobów przechowywanych w aplikacjach SaaS.
Strategie walki z Shadow SaaS
Biorąc pod uwagę rosnącą powszechność narzędzi SaaS i aplikacji GenAI innych firm w miejscu pracy, organizacje potrzebują solidniejszych i częściej aktualizowanych polityk mających na celu zwalczanie nieuprawnionego korzystania z tych narzędzi, ale też środków mających na celu budowanie świadomości pracowników na temat związanych z nimi zagrożeń.
Powinniśmy stosować podejście obejmujące wdrażanie systemów identyfikujących Shadow IT, usprawnianie procesów zatwierdzania nowych aplikacji, zapewnianie bezpiecznych alternatyw dla popularnych, ale ryzykownych narzędzi oraz opracowywanie jasnych wytycznych i szkoleń w zakresie korzystania z GenAI w miejscu pracy.
Rosenthal stwierdził również, iż uznanie powodów, dla których pracownicy korzystają z narzędzi takich jak GenAI, jest częścią budowania skutecznych rozwiązań dla Shadow IT.
„Pracownicy, w tym pracownicy bezpieczeństwa, są pod presją produktywności i innowacyjności. W naturalny sposób przyciągają ich narzędzia, które mogą pomóc im wydajniej pracować, choćby jeżeli nie są one oficjalnie zatwierdzone” – powiedział Rosenthal.
Wraz z szybkim rozwojem SaaS oraz tendencją pracowników do „nadmiernego udostępniania” potencjalnie wrażliwych informacji aplikacjom GenAI i innym usługom stron trzecich, organizacje muszą przyjąć skuteczne strategie, które pozwolą im dogonić wdrażanie SaaS przez swoich pracowników.
