“Schaduw-SaaS” komt wederom op als een punt van zorg voor organisaties. Niet-goedgekeurde tools brengen een groot aantal risico’s met zich mee, waaronder dataverlies, gebrek aan zichtbaarheid en datalekken. Ondanks de ogenschijnlijke voordelen en efficiëntie die schaduw-SaaS met zich meebrengt, kan het de beveiliging van een organisatie in gevaar brengen en leiden tot ernstige gevolgen, die worden verergerd door de opkomst van generatieve AI.
De risico’s van schaduw-SaaS
Schaduw-SaaS is onderdeel van “schaduw-IT” en verwijst naar het gebruik van SaaS-applicaties binnen een organisatie zonder toestemming van de IT-afdeling. Werknemers gebruiken deze tools om hun productiviteit of werkgemak te verhogen, maar het gebruik kan mogelijk beveiligingsprotocollen omzeilen, wat leidt tot meerdere kwetsbaarheden:
- Datalekken: SaaS-applicaties voldoen mogelijk niet aan strenge beveiligingsstandaarden, waardoor het risico op lekken van gevoelige gegevens toeneemt.
- Overtredingen van regelgeving: Ongeautoriseerde tools kunnen leiden tot overtredingen van wet- en regelgeving, bijvoorbeeld omdat organisaties mogelijk niet volledig op de hoogte zijn hoe deze tools omgaan met gegevensverwerking.
- Vergroot aanvalsoppervlak: Iedere tool zorgt voor extra toegangspunten voor cybercriminelen, waardoor organisaties gevoeliger worden voor aanvallen.
- Minder zichtbaarheid en controle: Het gebruik van schaduw-SaaS maakt het voor IT-afdelingen moeilijk om de digitale omgeving van de organisatie effectief te beheren en te beveiligen.
Ondanks dat ze zich bewust zijn van de risico’s, wordt schaduw-SaaS ook binnen IT-teams toegepast. Tijdens de RSA Conference en Infosecurity Europe dit jaar ondervroeg Next DLP zo’n 250 securityprofessionals. Wat bleek: 73% gebruikte de afgelopen maanden ongeautoriseerde SaaS-applicaties. Dat is ondanks het feit dat ze zich terdege bewust zijn van de bijbehorende risico’s: 65% noemt gegevensverlies, 62% noemt een gebrek aan zichtbaarheid en controle en 52% noemt datalekken als grootste risico rond het gebruik van schaduw-SaaS.
Van schaduw-SaaS naar schaduw-AI
“Schaduw-SaaS” betekent tegenwoordig steeds vaker hetzelfde als “schaduw-AI”, gezien het gemak waarmee veel AI-tools te gebruiken zijn. Bovendien integreren veel goedgekeurde SaaS-applicaties nu AI-functies zoals geautomatiseerde gegevensanalyse, voorspellende analyses en gepersonaliseerde gebruikerservaringen, soms zelfs zonder toestemming van de gebruiker of opt-out opties.
Ook achter de schermen verbetert AI de functionaliteit en efficiëntie van talloze tools. Microsoft 365 gebruikt AI bijvoorbeeld om spam te filteren en andere toepassingen gebruiken AI voor voorspellende tekst en gepersonaliseerde aanbevelingen. Ondanks deze voordelen blijft het een feit dat AI toegang kan krijgen tot en leert van gebruikersgegevens. En dat is gevaarlijk wanneer IT-teams geen zicht hebben op het gegevensbeleid van deze tools.
Hoewel organisaties volgens de voornoemde enquête van Next DLP iets voorzichtiger zijn met schaduw-AI, zijn de risico’s aanzienlijk. In tegenstelling tot “domme” SaaS-toepassingen kunnen AI-tools zelfstandig bedrijfsgevoelige informatie verwerken en zelfs publiekelijk maken, met alle schadelijke gevolgen van dien.
Hoe groot wordt dit schaduw-AI-probleem? Gartner voorspelt dat tegen 2026 meer dan 80% van ISV’s generatieve AI zal hebben geïntegreerd in hun SaaS-applicaties. Verreweg de meeste schaduw-SaaS zal binnen twee jaar dus ook schaduw-AI bevatten.
Schaduw-SaaS aanpakken
Om de risico’s te beperken, moeten organisaties allereerst ongeautoriseerde (AI)-applicaties in hun omgeving identificeren. Technieken zoals netwerkmonitoring, enquêtes en regelmatige beveiligingsaudits kunnen de omvang van het schaduwgebruik van SaaS en AI helpen bepalen. Het identificeren van deze applicaties alleen is echter niet genoeg. Daarnaast zijn een aantal aanvullende acties nodig:
- Ontwikkel duidelijk beleid: Implementeer richtlijnen voor het gebruik van AI/SaaS-applicaties, met gedetailleerde goedkeuringsprocessen en beveiligingseisen.
- Bevorder open communicatie: Geef medewerkers uitleg over de risico’s van niet-geautoriseerd gebruik van AI-applicaties. Spoor hen aan om hun behoeften en twijfels omtrent AI- en SaaS-applicaties open te bespreken met de IT-afdeling.
- Applicaties evalueren en goedkeuren: Beoordeel de beveiligingsaspecten van niet-geautoriseerde applicaties en bepaal of ze kunnen worden goedgekeurd of moeten worden vervangen door veilige alternatieven.
- Compliance bewaken en afdwingen: Blijf voortdurend controleren op SaaS- en AI-gebruik en blijf de naleving van het ontwikkelde beleid en richtlijnen afdwingen.
De weg vooruit: een proactieve houding
Organisaties moeten proactief optreden tegen schaduw-SaaS en -AI. Alleen dan kun je potentiële risico’s mitigeren. Bovendien zorgt dit er ook voor dat het vertrouwen van medewerkers in de tools die ze wél gebruiken, gerechtvaardigd is.
Schaduw-SaaS en -AI vraagt om een dringende evaluatie van het beveiligingsbeleid en de geïmplementeerde securitymaatregelen. Daarbij moeten organisaties een balans vinden tussen het stimuleren van innovatie en productiviteit en het handhaven van beveiligingsbeleid. Met een proactieve aanpak kunnen organisaties de risico’s van ongeautoriseerde tools beperken en medewerkers richting veilige alternatieven sturen, bedrijfsgegevens beschermen en hun algehele weerbaarheid in het AI-tijdperk versterken.