JPMorgan Chase, der er verdens største bank, har advaret om farerne ved SaaS-teknologi (Software as a Service), som organisationer over hele verden benytter dagligt.
I et åbent brev beskrev bankens sikkerhedschef (CISO), Patrick Opet, en voksende bekymring for, at hastigheden af SaaS-implementering har overhalet udviklingen af tilstrækkelig sikkerhed.
Opet påpegede især, at mange leverandører har prioriteret hurtig funktionalitet over en sikker arkitektur, hvilket har skabt systemiske sårbarheder i hele forsyningskæden.
"En AI-drevet kalenderoptimeringstjeneste, der integrerer direkte i virksomheders e-mailsystemer via 'read only'-roller og 'autentifikationstokens', kan uden tvivl øge produktiviteten, når det fungerer korrekt," sagde Opet ifølge TechRadar.
"Men hvis den bliver kompromitteret, giver denne direkte integration angribere hidtil uset adgang til fortrolige data og kritisk intern kommunikation."
Opet advarede desuden om, at tusindvis af organisationer i dag er en del af økosystemer, der i høj grad er afhængige af et lille antal tjenesteudbydere - og at hvis blot én af dem bliver kompromitteret, kan følgevirkningerne være katastrofale.
"Moderne integrationsmønstre nedbryder disse væsentlige grænser og er i høj grad afhængige af moderne identitetsprotokoller (f.eks. OAuth) til at skabe direkte, ofte ukontrollerede forbindelser mellem tredjepartstjenester og virksomheders følsomme interne systemer," skrev Opet.
"I praksis smelter disse integrationsmodeller godkendelse (identitetsverificering) og autorisation (tilladelser) sammen i forsimplede interaktioner, som i realiteten skaber en enkeltfaktor-tillid mellem systemer på internettet og interne ressourcer. Dette er et tilbageskridt i arkitektur, der underminerer grundlæggende sikkerhedsprincipper."
JPMorgan Chase har selv oplevet flere brud på sikkerheden via tredjepartsleverandører i løbet af de seneste tre år, hvilket har krævet hurtige handlinger for at isolere kompromitterede partnere og afbøde trusler. Disse hændelser har tydeliggjort farerne ved stærkt forbundne tredjepartsøkosystemer.
"Den intense konkurrence blandt softwareleverandører har ført til, at man prioriterer hurtig udvikling af funktioner over solid sikkerhed," skrev Opet.
"Dette fører ofte til forhastede udgivelser uden tilstrækkelig sikkerhed indbygget eller aktiveret som standard, hvilket skaber gentagne muligheder for angribere til at udnytte svagheder. Jagten på markedsandele på bekostning af sikkerhed udsætter hele kunders økosystemer for betydelig risiko og vil føre til en uholdbar situation for det økonomiske system."
Opet nævnte også nye trusler som token-tyveri, uigennemsigtige afhængigheder fra andre parter og privilegeret adgang uden tilstrækkelig gennemsigtighed.
"Den mest effektive måde at skabe forandring på er at afvise disse integrationsmodeller, medmindre der findes bedre løsninger. Jeg håber, I vil være med til at anerkende denne udfordring og reagere beslutsomt, samarbejdsvilligt og omgående," afsluttede Opet.
