SEC не дает SaaS никаких привилегий. На действующие публичные компании, известные как "владельцы регистрации", теперь распространяются требования к раскрытию информации о киберинцидентах и готовности к кибербезопасности в отношении данных, хранящихся в системах SaaS, а также подключенных к ним приложений сторонних производителей.
Новые мандаты по кибербезопасности не делают различий между данными, раскрытыми в результате взлома, которые хранились локально, в облаке или в средах SaaS. По собственным словам SEC: "Мы не считаем, что разумный инвестор будет рассматривать значительную утечку данных как несущественную только потому, что данные хранятся в облачном сервисе".
Этот эволюционирующий подход обусловлен тем, что недостатки безопасности SaaS постоянно попадают в заголовки газет, а технологические лидеры обсуждают, как SEC может изменить кибербезопасность после обвинения SolarWinds и ее CISO в мошенничестве.
SEC также считает, что безопасность SaaS отсутствует, ссылаясь на "значительный рост распространенности инцидентов кибербезопасности" в качестве ключевого мотивирующего фактора для своего нового подхода. Эти опасения, конечно, не ограничиваются небольшим числом владельцев регистраций, полагающихся на SaaS. Statista сообщает, что к концу 2022 года средняя глобальная организация использовала 130 приложений SaaS.
Риск утечки данных не ограничивается повсеместностью и уязвимостью SaaS. Чтобы извлечь больше пользы из платформ SaaS, организации регулярно устанавливают соединения SaaS-to-SaaS (подключение сторонних приложений к системам SaaS), независимо от того, одобрены ли эти подключения ИТ-отделом или скрыто интегрированы как форма теневых ИТ-отделов. По мере того, как сотрудники все чаще подключают решения искусственного интеллекта к приложениям SaaS, цифровые экосистемы, за которыми наблюдают CISOs, становятся более взаимосвязанными и расплывчатыми.
Проблемы управления и риски кибербезопасности возрастают экспоненциально по мере развития сложных взаимосвязей SaaS-to-SaaS. Хотя такие подключения обычно повышают производительность организации, приложения SaaS-to-SaaS сопряжены со многими скрытыми рисками. Нарушение CircleCI, например, означало, что бесчисленные предприятия с подключениями SaaS-to-SaaS к ведущему в отрасли инструменту CI / CD оказались под угрозой. То же самое справедливо для организаций, подключенных к Qlik Sense, Okta, LastPass и аналогичным инструментам SaaS, которые недавно пострадали от кибератак.
Поскольку соединения SaaS-to-SaaS существуют за пределами брандмауэра, они не могут быть обнаружены традиционными инструментами сканирования и мониторинга, такими как брокеры безопасности облачного доступа (CASB) или защищенные веб-шлюзы (SWG). Вдобавок к отсутствию видимости, независимые поставщики часто выпускают решения SaaS с уязвимостями, которые субъекты угрозы могут скомпрометировать с помощью перехвата токена OAuth, создавая скрытые пути к наиболее конфиденциальным данным организации. AppOmni сообщает, что на большинстве предприятий установлено 256 уникальных подключений SaaS-to-SaaS в одном экземпляре SaaS.
Данные, которые могут повлиять на инвесторов и рынок, теперь доступны - и их можно взломать — через разветвленную сеть цифровых каналов.
Масштабы и частота нарушений лежат в основе расширения регулирования SEC в сфере киберрисков. Нарушения и инциденты SaaS происходят регулярно в публичных компаниях, и AppOmni отследила увеличение количества атак на 25% с 2022 по 2023 год. IBM подсчитала, что стоимость утечки данных в 2023 году достигла рекордно высокого уровня в 4,45 миллиона долларов.
Хотя требования к раскрытию информации привлекли наибольшее внимание средств массовой информации, новые правила SEC также определяют меры предотвращения. CISO должны описать свои процессы "оценки, выявления и управления существенными рисками, связанными с угрозами кибербезопасности", а также разделить роль совета директоров и менеджмента в контроле рисков кибербезопасности и угроз.
Любите вы их или ненавидите, эти правила вынуждают клиентов SaaS соблюдать более строгие правила кибербезопасности. Раскрытие того, что произошло, и того, что ваша организация сделала и предпринимает по этому поводу, настолько прямо и откровенно, насколько это возможно, повышает доверие инвесторов, обеспечивает соблюдение нормативных требований и способствует формированию культуры упреждающей кибербезопасности.
В SaaS лучшее наступление - это непробиваемая защита. Оценка и управление рисками каждой SaaS-системы и соединения SaaS-to-SaaS, которые имеют доступ к вашим конфиденциальным данным, не только обязательны, но и необходимы для предотвращения утечек данных и минимизации их воздействия.
Владельцам регистраций необходимо всестороннее понимание всех подключений SaaS к SaaS для эффективного управления рисками. Это должно включать в себя перечень всех подключений и сотрудников, использующих их, данных, к которым эти подключения прикасаются, и уровней разрешений для систем SaaS, предоставленных этими сторонними инструментами. SSPM оценивает все эти аспекты безопасности от SaaS до SaaS.
SSPM также предупредит службы безопасности и ИТ-отделы о перебоях в настройке и разрешениях, чтобы гарантировать, что ситуация остается под контролем. Он также будет обнаруживать подозрительные действия, такие как попытка взлома личных данных с необычного IP-адреса или географического местоположения, и предупреждать о них.
CISOs и их команды могут испытывать трудности с выполнением требований к готовности без надлежащей подготовки и инструментов обнаружения угроз для снижения риска утечки данных. SSPM централизует и нормализует журналы операций, чтобы помочь компаниям подготовить тщательное раскрытие фактов в течение четырехдневного периода.
Только время покажет, как SEC будет обеспечивать соблюдение этих новых правил. Но даже если завтра эти правила исчезнут, повышение безопасности SaaS жизненно важно для защиты рынков данных, на которые полагаются инвесторы.
Новые мандаты по кибербезопасности не делают различий между данными, раскрытыми в результате взлома, которые хранились локально, в облаке или в средах SaaS. По собственным словам SEC: "Мы не считаем, что разумный инвестор будет рассматривать значительную утечку данных как несущественную только потому, что данные хранятся в облачном сервисе".
Этот эволюционирующий подход обусловлен тем, что недостатки безопасности SaaS постоянно попадают в заголовки газет, а технологические лидеры обсуждают, как SEC может изменить кибербезопасность после обвинения SolarWinds и ее CISO в мошенничестве.
Почему SaaS и риски подключения SaaS к SaaS важны для SEC - И для вашей организации
Восприятие и реальность безопасности SaaS во многих случаях сильно различаются. Отчет лидера SaaS по безопасности AppOmni о состоянии безопасности SaaS показал, что 71% организаций оценили свою зрелость в области кибербезопасности SaaS как среднюю или высокую, однако 79% организаций пострадали от инцидента в области кибербезопасности SaaS за последние 12 месяцев.SEC также считает, что безопасность SaaS отсутствует, ссылаясь на "значительный рост распространенности инцидентов кибербезопасности" в качестве ключевого мотивирующего фактора для своего нового подхода. Эти опасения, конечно, не ограничиваются небольшим числом владельцев регистраций, полагающихся на SaaS. Statista сообщает, что к концу 2022 года средняя глобальная организация использовала 130 приложений SaaS.
Риск утечки данных не ограничивается повсеместностью и уязвимостью SaaS. Чтобы извлечь больше пользы из платформ SaaS, организации регулярно устанавливают соединения SaaS-to-SaaS (подключение сторонних приложений к системам SaaS), независимо от того, одобрены ли эти подключения ИТ-отделом или скрыто интегрированы как форма теневых ИТ-отделов. По мере того, как сотрудники все чаще подключают решения искусственного интеллекта к приложениям SaaS, цифровые экосистемы, за которыми наблюдают CISOs, становятся более взаимосвязанными и расплывчатыми.
Проблемы управления и риски кибербезопасности возрастают экспоненциально по мере развития сложных взаимосвязей SaaS-to-SaaS. Хотя такие подключения обычно повышают производительность организации, приложения SaaS-to-SaaS сопряжены со многими скрытыми рисками. Нарушение CircleCI, например, означало, что бесчисленные предприятия с подключениями SaaS-to-SaaS к ведущему в отрасли инструменту CI / CD оказались под угрозой. То же самое справедливо для организаций, подключенных к Qlik Sense, Okta, LastPass и аналогичным инструментам SaaS, которые недавно пострадали от кибератак.
Поскольку соединения SaaS-to-SaaS существуют за пределами брандмауэра, они не могут быть обнаружены традиционными инструментами сканирования и мониторинга, такими как брокеры безопасности облачного доступа (CASB) или защищенные веб-шлюзы (SWG). Вдобавок к отсутствию видимости, независимые поставщики часто выпускают решения SaaS с уязвимостями, которые субъекты угрозы могут скомпрометировать с помощью перехвата токена OAuth, создавая скрытые пути к наиболее конфиденциальным данным организации. AppOmni сообщает, что на большинстве предприятий установлено 256 уникальных подключений SaaS-to-SaaS в одном экземпляре SaaS.
Данные, которые могут повлиять на инвесторов и рынок, теперь доступны - и их можно взломать — через разветвленную сеть цифровых каналов.
"Следите за данными" - это новое "Следите за деньгами"
Поскольку перед SEC стоит задача защищать инвесторов и поддерживать "справедливые, упорядоченные и эффективные рынки", регулирование SaaS владельцев регистраций и соединений SaaS-to-SaaS входит в компетенцию агентства. В объявлении о правилах кибербезопасности председатель SEC заявил: "Теряет ли компания фабрику в результате пожара или миллионы файлов в результате инцидента кибербезопасности — это может иметь значение для инвесторов".Масштабы и частота нарушений лежат в основе расширения регулирования SEC в сфере киберрисков. Нарушения и инциденты SaaS происходят регулярно в публичных компаниях, и AppOmni отследила увеличение количества атак на 25% с 2022 по 2023 год. IBM подсчитала, что стоимость утечки данных в 2023 году достигла рекордно высокого уровня в 4,45 миллиона долларов.
Хотя требования к раскрытию информации привлекли наибольшее внимание средств массовой информации, новые правила SEC также определяют меры предотвращения. CISO должны описать свои процессы "оценки, выявления и управления существенными рисками, связанными с угрозами кибербезопасности", а также разделить роль совета директоров и менеджмента в контроле рисков кибербезопасности и угроз.
Любите вы их или ненавидите, эти правила вынуждают клиентов SaaS соблюдать более строгие правила кибербезопасности. Раскрытие того, что произошло, и того, что ваша организация сделала и предпринимает по этому поводу, настолько прямо и откровенно, насколько это возможно, повышает доверие инвесторов, обеспечивает соблюдение нормативных требований и способствует формированию культуры упреждающей кибербезопасности.
В SaaS лучшее наступление - это непробиваемая защита. Оценка и управление рисками каждой SaaS-системы и соединения SaaS-to-SaaS, которые имеют доступ к вашим конфиденциальным данным, не только обязательны, но и необходимы для предотвращения утечек данных и минимизации их воздействия.
Как защитить и контролировать ваши SaaS-системы и соединения SaaS-to-SaaS
Бремя ручной оценки рисков безопасности SaaS и состояния системы может быть уменьшено с помощью инструмента управления состоянием безопасности SaaS (SSPM). С помощью SSPM вы можете отслеживать конфигурации и разрешения во всех приложениях SaaS, а также понимать разрешения и охват подключений SaaS-to-SaaS, включая подключенные инструменты искусственного интеллекта.Владельцам регистраций необходимо всестороннее понимание всех подключений SaaS к SaaS для эффективного управления рисками. Это должно включать в себя перечень всех подключений и сотрудников, использующих их, данных, к которым эти подключения прикасаются, и уровней разрешений для систем SaaS, предоставленных этими сторонними инструментами. SSPM оценивает все эти аспекты безопасности от SaaS до SaaS.
SSPM также предупредит службы безопасности и ИТ-отделы о перебоях в настройке и разрешениях, чтобы гарантировать, что ситуация остается под контролем. Он также будет обнаруживать подозрительные действия, такие как попытка взлома личных данных с необычного IP-адреса или географического местоположения, и предупреждать о них.
CISOs и их команды могут испытывать трудности с выполнением требований к готовности без надлежащей подготовки и инструментов обнаружения угроз для снижения риска утечки данных. SSPM централизует и нормализует журналы операций, чтобы помочь компаниям подготовить тщательное раскрытие фактов в течение четырехдневного периода.
Только время покажет, как SEC будет обеспечивать соблюдение этих новых правил. Но даже если завтра эти правила исчезнут, повышение безопасности SaaS жизненно важно для защиты рынков данных, на которые полагаются инвесторы.
