Schaduw-SaaS is het gebruik van SaaS-applicaties binnen een organisatie zonder toestemming van de IT-afdeling. Vaak gebruiken werknemers deze tools om hun productiviteit of werkgemak te verhogen; iets wat steeds vaker gebeurt met de opkomst van gebruiksvriendelijke generatieve AI-oplossingen. Maar deze niet-goedgekeurde tools brengen ook een aantal serieuze security risico’s met zich mee, blogt Sander Heinhuis, Security & Compliance Director bij PQR.
Het gebruik van ongeautoriseerde SaaS-applicaties zoals VirusTotal, Any.run, ChatGPT, Gemini en wachtwoordapplicaties zoals LastPass lijkt onschuldig, maar kan tot meerdere kwetsbaarheden leiden. Zo is het risico op datalekken groter wanneer SaaS-applicaties niet voldoen aan beveiligingsstandaarden waardoor cybercriminelen een groter aanvalsoppervlak tot hun beschikking krijgen. Ook krijgt de SaaS-applicatie zo toegang tot bedrijfs- en klantinformatie. Dit kan conflicteren met regelgeving rond gegevensverwerking. Bovendien kan het betekenen dat deze gevoelige data wordt gebruikt om AI-modellen te trainen, waarmee de data ook hun ‘eigendom’ wordt. Het wordt IT- en securityteams dus moeilijker gemaakt om de digitale omgeving te beheren en te beveiligen.
> LEES OOK: Is SaaS de al-in-één oplossing voor alle securityvraagstukken?
Ondanks risico’s toch ingezet
Uit een enquête van Next DLP onder securityprofessionals blijkt dat zelfs binnen hun teams schaduw-SaaS wordt ingezet: 73% van de security professionals gebruikte in de afgelopen maanden schaduw-SaaS. En dat terwijl ze zich terdege bewust zijn van de risico’s. De meest benoemde risico’s van ongeautoriseerd applicatiegebruik zijn gegevensverlies (65%), gebrek aan zichtbaarheid en controle (62%) en datalekken (52%). Eén op de tien securityprofessionals gaf daarbij aan dat het gebruik van schaduw-SaaS ook daadwerkelijk had geleid tot datalekken of gegevensverlies.
De opkomst van schaduw-AI
Bij SaaS-applicaties komt steeds vaker AI kijken. Denk aan AI-gedreven functies zoals geautomatiseerde gegevensanalyse, voorspellende analyses en gepersonaliseerde gebruikerservaringen, die soms zelfs zonder toestemming van de gebruiker of opt-out worden geïntegreerd. Wanneer deze SaaS-applicaties met geïntegreerde AI ongeautoriseerd gebruikt worden, ontstaat een nieuw risico: schaduw-AI.
Omdat AI continu informatie filtert of verbetert, krijgt het toegang tot veel gebruikers- en organisatiegegevens. Zo kan AI zoals ChatGPT, DALL.E, Hugging Face en GitHub Copilot zelfstandig bedrijfsgevoelige informatie verwerken en zelfs publiekelijk maken, met alle schadelijke gevolgen van dien. Schaduw-AI is dus iets wat nog risicovoller is dan ‘ouderwetse’ schaduw-SaaS als IT- en securityteams hier niet de nodige veiligheidsmaatregelen tegen nemen. Met name bij gratis tooling moet je je bewust zijn welke informatie je waar achterlaat. Geen enkele tool is eigenlijk echt ‘gratis’. Vaak ‘betaal’ je met de data die je invoert. Hou dat dus altijd in je achterhoofd.
De risico’s worden bovendien alleen maar groter: Gartner voorspelt dat tegen 2026 de meerderheid (80%) van ISV’s generatieve AI geïntegreerd heeft in hun SaaS-applicaties. De meeste schaduw-SaaS zal dus binnenkort ook schaduw-AI bevatten – en ook meer schaduw-risico’s.
> LEES OOK: Risico’s van generatieve AI vereisen terughoudendheid in gebruik
Schaduw-SaaS voorkomen
Hoe kunnen organisaties de risico’s van schaduw-SaaS en schaduw-AI beperken? Het begint bij het inzichtelijk krijgen welke ongeautoriseerde (AI-)applicaties worden gebruikt. Dit kan door technieken zoals netwerkmonitoring, enquêtes en regelmatige beveiligingsaudits. Nu dit inzichtelijk is, kan er actie ondernomen worden:
- Ontwikkel en implementeer een duidelijk beleid: Geef medewerkers richtlijnen voor het gebruik van SaaS- en AI-applicaties met duidelijke goedkeuringsprocessen en beveiligingseisen. Ontwikkel en implementeer ook een werkbaar governancebeleid om datagebruik in goede banen te leiden.
- Informeer medewerkers over de risico’s: Bespreek de risico’s van schaduw-SaaS en schaduw-AI met collega’s en roep hen op hun behoeften en twijfels over applicaties te delen met de IT-afdeling. Benadruk dat medewerkers AI- en SaaS-applicaties verantwoordelijk dienen te gebruiken. En maak het een terugkerend onderwerp in awarenessprogamma’s.
- Ga het gesprek aan met leveranciers: Net zo belangrijk als je medewerkers zijn de partners waar je zaken mee doet. Hun AI-beleid kan een onvoorzien grote impact hebben op jouw bedrijfsvoering. Zorg dat je inzicht krijgt in hoe jouw leveranciers AI toepassen en beoordeel of dit aansluit bij de normen en waarden van jouw organisatie. Past de werkwijze van je leverancier nog bij je, of is het tijd om alternatieven te overwegen? De Europese AI Act biedt hierbij houvast. Zorg dus voor transparantie in AI-gebruik binnen de gehele keten.
- Monitor applicaties en compliance bewaken: Evalueer de beveiligingsaspecten van niet-geautoriseerde applicaties om te bepalen of ze kunnen worden goedgekeurd of vervangen moeten worden door veilige alternatieven. Bewaak continu het gebruik van SaaS- en AI-oplossingen om naleving van beleid en richtlijnen na te leven. En doe dit regelmatig – AI is momenteel zo veranderlijk dat je inzichten snel verouderen.
Sneller dan je schaduw
Schaduw-SaaS en -AI brengen grote potentiële risico’s met zich mee. Dit vereist dat organisaties het beveiligingsbeleid en de geïmplementeerde beveiligingsmaatregelen nauwkeurig evalueren en indien nodig aanpassen. Het is van belang dat organisaties enerzijds meebewegen met innovaties en ruimte bieden voor de ingebruikname van nieuwe tools voor een efficiëntere en hogere productiviteit. Anderzijds moet ook het beveiligingsbeleid gehandhaafd worden. De aanpak van schaduw-SaaS en -AI integreer je bij voorkeur in de algehele beveiligingsstrategie, zodat het geen losse to do wordt, maar een onderdeel van het ‘grotere plaatje’.
Door proactief op te treden tegen schaduw-SaaS en -AI perk je de risico’s van deze tools in, blijven bedrijfsgegevens beschermd en gebruiken medewerkers veilige alternatieve applicaties. Dat zorgt er ook voor dat er meer vertrouwen onder medewerkers ontstaat in de tools die ze wél mogen gebruiken, wat de algehele weerbaarheid van de organisatie versterkt.
Sander Heinhuis, Security & Compliance Director bij PQR
Volg Security Management op LinkedIn