Interesujące wyniki badań – z Shadow SaaS korzysta ponad 70 procent organizacji

Spośród ponad 250 specjalistów ankietowanych na konferencjach RSA 2024 i Infosecurity Europe 2024 73% stwierdziło, że korzystało z nieautoryzowanych narzędzi, mimo iż większość respondentów zdaje sobie sprawę z ryzyka naruszeń danych, możliwości ich utraty i braku widoczności związanego z Shadow SaaS.

Ankieta Next DLP poruszyła również kwestię, w jaki sposób narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT OpenAI, przyczyniają się do korzystania przez pracowników z Shadow SaaS, a także zbadała, w jaki sposób organizacje rozwiązują problem Shadow SaaS i Shadow AI.

„Powszechność stosowania Shadow SaaS i Shadow AI, nawet wśród specjalistów ds. bezpieczeństwa, jest niepokojąca, ale nie zaskakująca. Odzwierciedla to szerszy trend, jaki obserwujemy w zakresie wdrażania SaaS w organizacjach” – powiedział Guy Rosenthal, wiceprezes ds. produktu w DoControl.

Z raportu DoControl dotyczącego stanu bezpieczeństwa danych SaaS 2024 wynika, że ​​w 2023 r. firmy utworzyły średnio 14,9 mln nowych aktywów SaaS, co stanowi wzrost o 189% w porównaniu z rokiem poprzednim. Dodając do tego rozwój aplikacji GenAI, ryzyko naruszenia bezpieczeństwa danych w wyniku wykorzystania Shadow IT jest szczególnie duże.

Niedawny incydent, w którym pracownicy Samsunga przypadkowo ujawnili prywatny kod za pośrednictwem ChatGPT, uwydatnia ryzyko związane z niesankcjonowanym użytkowaniem AI. Nie chodzi tylko o utratę danych, ale o potencjalne narażenie systemów i zabezpieczeń na ataki z zewnątrz.

Brak świadomości i wystarczającej ochrony

Specjaliści ds. bezpieczeństwa ankietowani przez Next DLP wykazali brak świadomości i solidnych zasad rozwiązywania problemów wynikających z niekontrolowanego korzystania z narzędzi SaaS i GenAI innych firm. Według Next DLP tylko 37% stwierdziło, że opracowało jasne zasady i konsekwencje korzystania z tych narzędzi, a zaledwie 28% promuje wśród pracowników zatwierdzone alternatywy.

Podczas gdy połowa ankietowanych „bezpieczników” stwierdziła, że ​​wykorzystanie sztucznej inteligencji w ich organizacji ogranicza się do określonych stanowisk, a 16% stwierdziło, iż wprowadzono całkowity zakaz jej używania, 40% stwierdziło, że nie wierzy, by pracownicy ich organizacji mieli wystarczającą wiedzę na temat zagrożeń związanych z używaniem nieautoryzowanej sztucznej inteligencji i innych aplikacji SaaS.

Ponadto tylko połowa zadeklarowała, że ​​w ciągu ostatnich sześciu miesięcy otrzymała jakiekolwiek wytyczne lub zaktualizowane zasady dotyczące równoległego IT, w tym sztucznej inteligencji, a jedna piąta stwierdziła, że ​​nigdy nie otrzymała wskazówek dotyczących tych kwestii.

O potencjalnych konsekwencjach Shadow IT świadczy fakt, że jedna dziesiąta respondentów ankiety zgłosiła, iż ​​w ich organizacji doszło do naruszenia lub utraty danych w wyniku użycia nieautoryzowanych aplikacji. Shadow IT może nawet pozostawić „bliznę” w organizacjach za pośrednictwem byłych pracowników, którzy po opuszczeniu firmy nadal uzyskują dostęp do zasobów przechowywanych w aplikacjach SaaS.

Strategie walki z Shadow SaaS

Biorąc pod uwagę rosnącą powszechność narzędzi SaaS i aplikacji GenAI innych firm w miejscu pracy, organizacje potrzebują solidniejszych i częściej aktualizowanych polityk mających na celu zwalczanie nieuprawnionego korzystania z tych narzędzi, ale też środków mających na celu budowanie świadomości pracowników na temat związanych z nimi zagrożeń.

Powinniśmy stosować podejście obejmujące wdrażanie systemów identyfikujących Shadow IT, usprawnianie procesów zatwierdzania nowych aplikacji, zapewnianie bezpiecznych alternatyw dla popularnych, ale ryzykownych narzędzi oraz opracowywanie jasnych wytycznych i szkoleń w zakresie korzystania z GenAI w miejscu pracy.

Rosenthal stwierdził również, że uznanie powodów, dla których pracownicy korzystają z narzędzi takich jak GenAI, jest częścią budowania skutecznych rozwiązań dla Shadow IT.

„Pracownicy, w tym pracownicy bezpieczeństwa, są pod presją produktywności i innowacyjności. W naturalny sposób przyciągają ich narzędzia, które mogą pomóc im wydajniej pracować, nawet jeśli nie są one oficjalnie zatwierdzone” – powiedział Rosenthal.

Wraz z szybkim rozwojem SaaS oraz tendencją pracowników do „nadmiernego udostępniania” potencjalnie wrażliwych informacji aplikacjom GenAI i innym usługom stron trzecich, organizacje muszą przyjąć skuteczne strategie, które pozwolą im dogonić wdrażanie SaaS przez swoich pracowników.