De SEC geeft SaaS geen gratis pas. Toepasselijke overheidsbedrijven, bekend als ‘registranten’, zijn nu onderworpen aan vereisten voor de openbaarmaking van cyberincidenten en cyberveiligheidsgereedheidsvereisten voor gegevens die zijn opgeslagen in SaaS-systemen, samen met de apps van derden en vierde partijen die daarmee zijn verbonden.
De nieuwe cyberbeveiligingsmandaten maken geen onderscheid tussen gegevens die zijn blootgesteld bij een inbreuk en die on-premise, in de cloud of in SaaS-omgevingen zijn opgeslagen. In de eigen woorden van de SEC: “Wij geloven niet dat een redelijke investeerder een aanzienlijk datalek als immaterieel zou beschouwen alleen maar omdat de gegevens op een cloudservice zijn opgeslagen.”
Deze evoluerende aanpak komt op het moment dat tekortkomingen in de SaaS-beveiliging voortdurend de krantenkoppen halen en technologieleiders debatteren over hoe de SEC de cyberbeveiliging kan veranderen nadat zowel SolarWinds als haar CISO zijn beschuldigd van fraude.
Waarom de risico’s van SaaS- en SaaS-naar-SaaS-verbindingen belangrijk zijn voor de SEC – en voor uw organisatie
De perceptie en realiteit van SaaS-beveiliging liggen in veel gevallen mijlenver uit elkaar. Uit het State of SaaS Security-rapport van SaaS-beveiligingsleider AppOmni blijkt dat 71% van de organisaties hun SaaS-cyberbeveiligingsvolwassenheid als gemiddeld tot hoog beoordeelt, terwijl 79% in de afgelopen twaalf maanden te maken kreeg met een SaaS-cyberbeveiligingsincident.
De SEC vindt ook dat de SaaS-beveiliging tekortschiet en noemt de “substantiële stijging van het aantal cyberveiligheidsincidenten” als een belangrijke motiverende factor voor de nieuwe aanpak. Deze zorgen blijven uiteraard niet beperkt tot kleine aantallen registranten die afhankelijk zijn van SaaS. Statista meldt dat de gemiddelde mondiale organisatie eind 2022 130 SaaS-applicaties gebruikte.
Het risico op datalekken beperkt zich niet tot de alomtegenwoordigheid en kwetsbaarheid van SaaS. Om meer waarde uit SaaS-platforms te halen, maken organisaties routinematig SaaS-naar-SaaS-verbindingen (waarbij apps van derden met SaaS-systemen worden verbonden), ongeacht of deze verbindingen zijn goedgekeurd door IT of heimelijk zijn geïntegreerd als een vorm van schaduw-IT. Naarmate werknemers steeds meer AI-oplossingen verbinden met SaaS-apps, worden de digitale ecosystemen waarop CISO’s toezicht houden steeds meer onderling verbonden en vaag.
Bestuursuitdagingen en cyberveiligheidsrisico’s nemen exponentieel toe naarmate ingewikkelde SaaS-naar-SaaS-verbindingen floreren. Hoewel deze verbindingen doorgaans de productiviteit van de organisatie verhogen, brengen SaaS-naar-SaaS-apps veel verborgen risico’s met zich mee. De inbreuk op CircleCI betekende bijvoorbeeld dat talloze ondernemingen met SaaS-naar-SaaS-verbindingen met de toonaangevende CI/CD-tool in gevaar kwamen. Hetzelfde geldt voor organisaties die verbonden zijn met Qlik Sense, Okta, LastPass en soortgelijke SaaS-tools en die onlangs te maken hebben gehad met cyberincidenten.
Omdat SaaS-naar-SaaS-verbindingen buiten de firewall bestaan, kunnen ze niet worden gedetecteerd door traditionele scan- en monitoringtools zoals Cloud Access Security Brokers (CASB’s) of Secure Web Gateways (SWG’s). Bovenop dit gebrek aan zichtbaarheid brengen onafhankelijke leveranciers vaak SaaS-oplossingen uit met kwetsbaarheden die bedreigingsactoren kunnen compromitteren via het kapen van OAuth-tokens, waardoor verborgen paden ontstaan naar de meest gevoelige gegevens van een organisatie. AppOmni meldt dat de meeste ondernemingen 256 unieke SaaS-naar-SaaS-verbindingen hebben geïnstalleerd in één SaaS-exemplaar.
Gegevens die van invloed kunnen zijn op investeerders en de markt zijn nu toegankelijk – en hackbaar – via een uitgestrekt netwerk van digitale leidingen.
‘Volg de data’ is het nieuwe ‘Volg het geld’
Omdat de SEC de taak heeft investeerders te beschermen en ‘eerlijke, ordelijke en efficiënte markten’ in stand te houden, valt het reguleren van de SaaS- en SaaS-naar-SaaS-verbindingen van registranten binnen de bevoegdheid van het agentschap. In de aankondiging van de cyberveiligheidsregels verklaarde de voorzitter van de SEC: “Of een bedrijf nu een fabriek verliest door een brand – of miljoenen bestanden verliest door een cyberveiligheidsincident – het kan van groot belang zijn voor investeerders.”
De omvang en frequentie van inbreuken vormen de basis voor de uitbreiding van de regelgeving door de SEC op het gebied van cyberrisico’s. SaaS-inbreuken en -incidenten komen regelmatig voor bij overheidsbedrijven, en AppOmni heeft tussen 2022 en 2023 een stijging van 25% in het aantal aanvallen geregistreerd. IBM berekent dat de kosten van een datalek in 2023 gemiddeld 4,45 miljoen dollar ooit bedroegen.
Hoewel de openbaarmakingsvereisten de meeste media-aandacht hebben gekregen, specificeren de nieuwe SEC-voorschriften ook preventiemaatregelen. CISO’s moeten hun processen beschrijven voor het “beoordelen, identificeren en beheren van materiële risico’s van cyberdreigingen”, en moeten de rol van de raad van bestuur en het management delen bij het cyberveiligheidsrisico en het toezicht op bedreigingen.
Houd van ze of verafschuw ze, deze regels dwingen SaaS-klanten om betere cyberbeveiligingshygiëne toe te passen. Door zo direct en openhartig mogelijk openbaar te maken wat er is gebeurd – en wat uw organisatie daaraan heeft gedaan en doet – vergroot het vertrouwen van beleggers, zorgt ervoor dat de regelgeving wordt nageleefd en bevordert een proactieve cyberbeveiligingscultuur.
In SaaS is de beste aanval een ondoordringbare verdediging. Het beoordelen en beheren van de risico’s van elk SaaS-systeem en SaaS-naar-SaaS-verbinding die toegang heeft tot uw gevoelige gegevens is niet alleen verplicht, maar ook essentieel om datalekken te voorkomen en de impact ervan te minimaliseren.
Hoe u uw SaaS-systemen en SaaS-naar-SaaS-verbindingen kunt beschermen en monitoren
De last van het handmatig evalueren van de SaaS-beveiligingsrisico’s en -status kan worden verlicht met een SaaS Security Posture Management (SSPM)-tool. Met SSPM kunt u configuraties en machtigingen voor alle SaaS-apps monitoren en inzicht krijgen in de machtigingen en het bereik van SaaS-naar-SaaS-verbindingen, inclusief verbonden AI-tools.
Registranten hebben een uitgebreid inzicht nodig in alle SaaS-naar-SaaS-verbindingen voor effectief risicobeheer. Dit moet een inventarisatie omvatten van alle verbindingen en de werknemers die deze gebruiken, de gegevens die deze verbindingen raken, en de machtigingsniveaus voor SaaS-systemen die aan deze tools van derden zijn verleend. SSPM beoordeelt al deze aspecten van SaaS-to-SaaS-beveiliging.
SSPM zal ook beveiligings- en IT-teams waarschuwen voor configuratie- en toestemmingsafwijkingen om ervoor te zorgen dat de situatie onder controle blijft. Het zal ook verdachte activiteiten detecteren en waarschuwen, zoals een poging tot identiteitscompromis vanaf een ongebruikelijk IP-adres of geografische locatie.
CISO’s en hun teams kunnen moeite hebben om aan de gereedheidsvereisten te voldoen zonder de juiste tools voor houdings- en bedreigingsdetectie om het risico op datalekken te verminderen. SSPM centraliseert en normaliseert activiteitenlogboeken om bedrijven te helpen bij het voorbereiden van grondige en feitelijke openbaarmakingen binnen een periode van vier dagen.
Alleen de tijd zal leren hoe de SEC deze nieuwe regels zal handhaven. Maar zelfs als deze regelgeving morgen verdwijnt, is het opvoeren van de SaaS-beveiliging van cruciaal belang voor het beschermen van de datamarkten waar investeerders op vertrouwen.
