От одного токена — к обвалу экосистемы. JPMorgan предупредил: SaaS-сервисы убивают бизнес

JPMorganChase, самый влиятельный банк в мире, предостерег бизнес-сообщество об опасностях SaaS-технологий, которыми ежедневно пользуются организации по всему миру.

В открытом письме директор по киберзащите JPMorganChase, Патрик Опет, объяснил: компании слишком быстро переходят на облачные сервисы, а разработчики не успевают должным образом защитить свои продукты.

SaaS (Software as a Service) – это модель распространения программного обеспечения, при которой приложения работают на серверах поставщиков услуг, а пользователи получают к ним доступ через интернет. Вместо установки программ на собственные компьютеры компании просто подписываются на нужные сервисы: почтовые клиенты, системы управления проектами, инструменты для работы с документами или клиентами. Подход позволяет снизить затраты на IT-инфраструктуру и сэкономить время, однако требует постоянного обмена данными между внутренними системами организации и внешними серверами.

Авторы программных решений стремятся как можно скорее выпустить новые функции, не заботясь о надежной архитектуре. Это создает системные бреши не только в отдельных продуктах, но и во всей цепочке поставок софта. И эта практика уже привела к появлению множества уязвимостей, которые угрожают целым отраслям.

Чтобы наглядно проиллюстрировать проблему, Опет приводит пример с календарем на базе искусственного интеллекта. Чтобы наглядно проиллюстрировать проблему, Опет приводит пример с календарем на базе искусственного интеллекта. Такие инструменты анализируют рабочие графики сотрудников и автоматически планируют встречи в удобное для всех время. Сервис подключается к корпоративной почте через так называемые "read-only roles" (права доступа только для чтения) и авторизационные токены – цифровые ключи, позволяющие получать информацию из почтовых ящиков. В теории это помогает оптимизировать рабочие процессы и существенно повышает эффективность команды. Однако если злоумышленники взломают программу, они получат широкий доступ к секретным данным и важнейшим каналам связи внутри компании.

Глава службы безопасности также указал на другую серьезную проблему: множество фирм сейчас зависят от небольшой группы провайдеров. Если хакеры атакуют хотя бы одного поставщика услуг, очевидно, последствия могут оказаться катастрофическими – пострадают тысячи его клиентов.

Современные алгоритмы размывают критически важные барьеры между системами. Они основаны на таких протоколах авторизации как OAuth – стандарте, который позволяет приложениям получать ограниченный доступ к учетным записям на других сервисах. То есть сторонние программы напрямую взаимодействуют с закрытыми корпоративными ресурсами без должного контроля.

На практике это означает, что проверка пользователя и выдача разрешений превратились в чересчур простую операцию. Между публичными и внутренними системами возникает необоснованное доверие, построенное на одном уровне защиты.

За минувшие три года JPMorganChase несколько раз сталкивался с последствиями атак на партнерские сервисы. Банку приходилось срочно блокировать взломанные системы и устранять возникшие угрозы.

Опять же, жесткая борьба между вендорами вынуждает их жертвовать многим ради скорейшего запуска дополнительных возможностей. Продукты выходят на рынок без встроенных механизмов безопасности или с отключенной защитой по умолчанию. Это открывает злоумышленникам множество путей для проникновения в систему. Желание захватить долю рынка в ущерб надежности создаёт неустойчивую ситуацию для всей экономической системы.

В письме также говорится о новых видах киберугроз, вызывающих особую тревогу специалистов: воровстве ключей доступа, скрытых связях с неизвестными поставщиками четвертого уровня и выдаче расширенных прав без необходимого контроля и прозрачности.

"Чтобы всё изменилось, нужно отказаться от таких моделей взаимодействия, пока не появятся более надежные решения", – подчеркнул Опет. Коллег он призывает осознать масштаб проблемы и немедленно объединить усилия для ее совместного решения.