Najnowszy raport SaaS AI-Risk for Mid-Market Organizations Survey Report, opublikowany przez Cloud Security Alliance i Wing Security, podkreśla rosnące obawy dotyczące bezpieczeństwa, widoczności i zarządzania w środowiskach SaaS opartych na sztucznej inteligencji. W miarę jak możliwości AI stają się wbudowane w platformy SaaS, organizacje średniej wielkości muszą ponownie przemyśleć swoje strategie bezpieczeństwa, szczególnie w zakresie ochrony danych, ryzyka błędnej konfiguracji i obaw związanych z własnością intelektualną.
Kluczowe wnioski
- Rozszerzająca się powierzchnia ataku przy ograniczonej widoczności
Organizacje korzystają średnio z ~700 aplikacji SaaS, ale wiele z nich śledzi tylko ~50 zatwierdzonych aplikacji.
Shadow IT pozostaje wyzwaniem, wprowadzając zagrożenia bezpieczeństwa poprzez niesprawdzone połączenia API, narażenie poświadczeń i dostęp do tokenów.
- Brak formalnego nadzoru nad zagrożeniami związanymi ze sztuczną inteligencją
75% organizacji obawia się zagrożeń związanych ze sztuczną inteligencją, ale tylko 6% traktuje zgodność z przepisami priorytetowo.
45% respondentów wymienia ryzyko związane z własnością intelektualną jako swoje największe obawy, a następnie
ochrona danych (41%). Odpowiedzialność za ryzyko związane ze sztuczną inteligencją jest podzielona między
bezpieczeństwo (52%), IT (45%) i prawne (29%), a 33% organizacji nie ma wyraźnego właściciela do zarządzania ryzykiem związanym ze sztuczną inteligencją.
- Luki w zabezpieczeniach wynikające z priorytetyzacji krytycznych aplikacji
66% firm koncentruje się na bezpieczeństwie podstawowych aplikacji SaaS, takich jak Microsoft 365 i Google Workspace, pozostawiając niezatwierdzone i niekrytyczne aplikacje.
Organizacje często pomijają zabezpieczenia API i dostęp między aplikacjami, zwiększając wektory ataków.
- Zespoły ds. bezpieczeństwa są niedostatecznie obsadzone i przeciążone
55% zespołów ds. bezpieczeństwa liczy od 6 do 10 członków, ale ich obciążenie pracą rośnie wraz ze skalowaniem środowisk SaaS.
48% nadal polega na procesach ręcznych, podczas gdy wyspecjalizowane narzędzia SaaS Security Posture Management mają niską popularność (30%).
- Zgodność z AI i zarządzanie są priorytetami drugorzędnymi
Tylko 3% organizacji ma dedykowany budżet na bezpieczeństwo SaaS.
Działania w zakresie zgodności pozostają w tyle pomimo zmieniających się przepisów dotyczących sztucznej inteligencji i ryzyka prawnego związanego z wykorzystaniem danych generowanych przez sztuczną inteligencję.
Moje spostrzeżenia
- Sztuczna inteligencja wprowadza nowe zagrożenia w SaaS, takie jak zagrożenia związane z własnością intelektualną i ryzyko manipulacji modelami, ale z punktu widzenia bezpieczeństwa najlepsze podejście pozostaje takie samo - wykorzystanie najlepszych praktyk bezpieczeństwa w chmurze w celu zminimalizowania powierzchni ataku, egzekwowania najmniejszych uprawnień i automatyzacji monitorowania.
- Bezpieczeństwo SaaS nie może opierać się wyłącznie na tradycyjnych ramach bezpieczeństwa IT. Organizacje muszą przyjąć środki bezpieczeństwa specyficzne dla sztucznej inteligencji, aby ocenić, w jaki sposób aplikacje SaaS trenują dane przedsiębiorstwa, ograniczyć nieautoryzowany dostęp i wdrożyć silne zasady zarządzania.
- W miarę dojrzewania przepisów dotyczących sztucznej inteligencji, firmy muszą przygotować się na zwiększoną kontrolę w zakresie pozyskiwania danych AI, rozliczalności algorytmów i zgodności z ramami, takimi jak unijna ustawa o sztucznej inteligencji.
- Bezpieczeństwo SaaS AI to nie tylko narzędzia - chodzi o dostosowanie zespołów IT, bezpieczeństwa i prawnych w celu zapewnienia odpowiedzialności i zarządzania.
AI Risks in SaaS
The latest SaaS AI-Risk for Mid-Market Organizations Survey Report, released by Cloud Security Alliance and Wing Security, highlights growing concerns about security, visibility, and governance in AI-driven SaaS environments. As AI capabilities become embedded into SaaS platforms, mid-market organizations must rethink their security strategies, particularly around data protection, misconfiguration risks, and intellectual property concerns.
Key Findings
· Expanding Attack Surface with Limited Visibility
Organizations use an average of ~700 SaaS applications, yet many only track ~50 sanctioned apps.
Shadow IT remains a challenge, introducing security risks via unvetted API connections, credential exposure, and token access.
· AI Risks Lack Formal Oversight
75% of organizations are concerned about AI risks, but only 6% prioritize compliance.
45% of respondents cite IP risks as their top concern, followed by
data protection (41%). AI risk responsibility is fragmented between
security (52%), IT (45%), and legal (29%), with 33% of organizations lacking a clear owner for AI risk management.
· Security Gaps Due to Prioritization of Critical Apps
66% of companies focus security on core SaaS apps like Microsoft 365 and Google Workspace, leaving unsanctioned and non-critical applications exposed.
Organizations often overlook API security and cross-app access, increasing attack vectors.
· Security Teams Are Understaffed and Overburdened
55% of security teams have 6-10 members, but their workload is increasing as SaaS environments scale.
48% still rely on manual processes, while specialized SaaS Security Posture Management tools have low adoption (30%).
· AI Compliance and Governance Are Secondary Priorities
Only 3% of organizations have a dedicated budget for SaaS security.
Compliance efforts lag behind despite evolving AI regulations and legal risks surrounding AI-generated data use.
My Observations
- AI introduces new risks in SaaS, such as IP-related threats and model manipulation risks, but from a security perspective, the best approach remains the same—leveraging cloud security best practices to minimize attack surfaces, enforce least privilege, and automate monitoring.
- SaaS security cannot rely on traditional IT security frameworks alone. Organizations must adopt AI-specific security measures to assess how SaaS applications train on enterprise data, restrict unauthorized access, and implement strong governance policies.
- As AI regulations mature, companies must prepare for increased scrutiny around AI data sourcing, algorithm accountability, and compliance with frameworks like the EU AI Act.
- SaaS AI security isn't just about tools—it's about aligning IT, security, and legal teams to ensure accountability and governance.
Autor: Sebastian Burgemejster
Comentarios