JPMorgan CISO alarmuje w sprawie bezpieczeństwa SaaS

W liście otwartym CISO w JPMorganChase wyraził krytyczne obawy dotyczące obecnego stanu bezpieczeństwa SaaS. Ostrzega, że szybkie przyjęcie rozwiązań SaaS, napędzane dążeniem do szybkości i innowacji, wprowadza systemowe luki w zabezpieczeniach, które zagrażają globalnemu systemowi gospodarczemu.

Kluczowe punkty:

✅ Bezpieczeństwo vs. Szybkość: Intensywna konkurencja wśród dostawców oprogramowania doprowadziła do skupienia się na szybkim rozwoju funkcji, często kosztem solidnych środków bezpieczeństwa. Takie podejście powoduje, że produkty są wydawane bez wbudowanych lub domyślnie włączonych kompleksowych zabezpieczeń, co stwarza atakującym możliwość wykorzystania słabości.

✅ Erozja granic bezpieczeństwa: Tradycyjne praktyki bezpieczeństwa, które wymuszały ścisłą segmentację między zaufanymi zasobami wewnętrznymi a niezaufanymi interakcjami zewnętrznymi, ulegają erozji. Modele SaaS zmieniają sposób, w jaki firmy integrują usługi i dane, prowadząc do załamania uwierzytelniania i autoryzacji w zbyt uproszczonych interakcjach.

✅ Ryzyko koncentracji: Poleganie na niewielkiej liczbie wiodących dostawców usług wiąże się z ryzykiem koncentracji w globalnej infrastrukturze krytycznej. Atak na jednego z głównych dostawców SaaS może mieć natychmiastowe i rozległe skutki dla całej bazy klientów.

Raport Verizon DBIR 2025 podkreśla znaczny wzrost liczby luk w zabezpieczeniach. Podkreśla to znaczenie nie tylko łatania, ale także wdrażania kompleksowych strategii bezpieczeństwa, które obejmują modele najmniejszych uprawnień, segmentacji i zerowego zaufania.

Zagrożenia związane z łańcuchem dostaw stają się coraz bardziej krytyczne w kontekście cyberbezpieczeństwa. Raporty konsekwentnie podkreślają pilną potrzebę zajęcia się tymi lukami. Najnowszy raport Verizon DBIR wskazuje na rosnący problem z podatnościami, ponieważ atakujący wykorzystują bardziej zautomatyzowane narzędzia, a firmom często brakuje skutecznych programów zarządzania podatnościami i poprawkami.

Problem ten jest potęgowany przez niedojrzałe procesy SDLC i słabo wdrożone mechanizmy kontrolne. Chociaż opowiadam się za silnymi zewętrznymi procesami atestacji, takimi jak SOC2 lub SOC dla cyberbezpieczeństwa, niepokojące jest to, że wiele raportów z audytów staje się rozwodnionych, a firmy nie wdrażają krytycznych kontroli.

Jest to szerszy problem, ponieważ klienci, którzy wymagają raportów SOC, często traktują je jako zwykłe ćwiczenia zgodności, nie wymagając od swoich dostawców dostarczania znaczących i wartościowych raportów.

List JPMorgan CISO Link

Raport Verizon DBIR Link

Autor: Sebastian Burgemejster