Бізнес-процеси по всьому світу прискорюються, і в гонитві за швидким виконанням завдань робітники часто вдаються до використання неавторизованих ІТ-інструментів. Це можуть бути окремі застосунки, SaaS-сервіси, месенджери, поштові сервіси та окремі фізичні пристрої – все, що пов’язане з IT, але водночас перебуває поза сферою контролю компанії. Це явище отримало назву «тіньові IT», або shadow IT.
Боротьба з shadow IT – це спроба захиститися від того, що насправді важко побачити. Дійсно, IT-системи, пристрої й технології, що знаходяться «в тіні» (поза увагою фахівців із безпеки), складно не те що проконтролювати, але й ідентифікувати.
Будь-який користувач може легко зареєструватися в новому онлайн-сервісі, який обіцяє підвищення продуктивності, або скористатися планшетом для швидкого доступу до корпоративних IT-систем. І лише невелика частина робітників здогадується, що такі дії можуть призвести до негативних наслідків.
До тіньових IT зазвичай потрапляють продукти екосистеми Google (Disk, Gmail), Microsoft Office 365, Dropbox, Trello, інструменти генеративного штучного інтелекту (Midjourney, ChatGPT).
Серед неавторизованих пристроїв часто фігурують смартфони, планшети, ноутбуки, флеш-карти та зовнішні накопичувачі.
В принципі, стати частиною тіньових IT може будь-який застосунок, технологія або пристрій. Навіть те, що початково було створене саме для корпоративних користувачів.
Причини використання тіньових IT
Виконати роботу швидко та з мінімальними зусиллями – це не єдина причина поширення тіньових IT. Одні співробітники вважають запропоновані компанією інструменти неефективними або просто незручними, тому шукають їм заміну самостійно. Інших не влаштовує тривале впровадження нових рішень у той час, як керівництво вимагає швидкого розв’язання завдань.
Не причиною, а додатковим фактором, що призвів до поширення тіньових ІТ, став перехід на дистанційний та гібридний режими роботи, які стали популярними з початку пандемії COVID-19.
Згідно зі звітом HP Wolf Security II, 54% співробітників, що почали працювати віддалено, турбувалися не про можливі витоки даних, а про дотримання дедлайнів. Ще 48% респондентів вважали, що суворі політики безпеки взагалі перешкоджають їхній роботі, а виконання таких вимог – марна трата часу.
Другим фактором проникнення shadow IT у корпоративний сегмент стали високі темпи розповсюдження хмарних технологій. За даними компанії Productiv, частка несанкціонованих SaaS-застосунків у комерційних організаціях сягає 52%. За підрахунками BetterCloud вони становлять 65% від загальної кількості SaaS-рішень.
Більшість співробітників хоч і створює додаткові загрози, але все ж діє із хорошими намірами та зовсім не збирається завдати якої-небудь шкоди компанії. Насправді ж відсутність обізнаності в цьому питанні може призвести до серйозних наслідків, зокрема сприяти зростанню ризиків для кібербезпеки та великих витрат.
Чим загрожують бізнесу тіньові IT
Gartner, одна з найбільших дослідницьких і консалтингових компаній, прогнозує, що до 2027 року три чверті співробітників будуть використовувати технології, не схвалені IT-фахівцями, тоді як у 2022-му таких було лише 41%.
Ризики безпеки для організацій, у яких є тіньові IT, справді великі. Дослідження IBM показало, що 83% компаній, які брали участь в опитуванні, постраждали саме від витоків даних, спричинених несанкціонованим використанням технологій чи пристроїв на робочих місцях.
І ще цікава інформація: торік середня вартість одного витоку даних серед глобальних компаній становила $4,45 мільйона.
З якими ще ризиками стикаються компанії, де окремі співробітники та навіть цілі команди використовують тіньові IT?
Втрата контролю за IT
Вразливі IT-активи, про які організація не знає, загрожують великими ризиками. Перебування цих активів у тіні знижує пильність IT-менеджерів. Вони не можуть повною мірою оцінити загрози й не вдаються до необхідних заходів задля виправлення конфігурацій та оновлення IT-систем.
Зростання кількості кібератак
Тіньові IT називають однією з причин стрімкого збільшення кібератак у всьому світі. В антилідерах – хмарні сховища даних. Через витоки конфіденційної інформації в них кількість кіберінцидентів у світі тільки за останній рік збільшилася на 150%.
Невідповідність нормативним вимогам
Поширення тіньових IT-систем може ускладнити дотримання законодавчих норм. Наприклад, як це часто відбувається у випадку із GDPR, загальним регламентом захисту даних у Європейському Союзі.
«Використання неліцензійного або несхваленого програмного забезпечення часто призводить до порушення ліцензійних угод і створює правові проблеми для компанії. Водночас тіньові ІТ можуть порушувати внутрішні політики безпеки, через що компанія може вдатися до дисциплінарних заходів проти працівників», – вважають у компанії KR. Laboratories.
Ухвалення рішень на основі даних, що втратили актуальність
Дані, які передаються або зберігаються на незахищених IT-сервісах або пристроях, можуть втратити свою актуальність, оскільки не потрапляють у поле зору централізованих систем управління. Це призводить до того, що співробітники ухвалюють рішення на основі застарілої інформації.
Збільшення витрат на IT
Окрім безкоштовних особистих облікових записів, команди (наприклад, розробників) можуть оформлювати корпоративні підписки на SaaS-рішення, які необхідні їм у роботі.
«Внаслідок накладення штрафів за порушення ліцензійних угод або витрат на відновлення даних і систем можуть зрости фінансові втрати для компанії. До непередбачуваних витрат також можуть призвести проблеми з резервним копіюванням і відновленням у разі аварій або втрати даних, що зберігалися на неофіційних серверах чи у системах», – підтверджує цю тезу фахівець компанії KR. Laboratories.
Зниження ефективності роботи
Хоча велика частка співробітників використовує тіньові ІТ для пришвидшення виконання поточних завдань, в цілому їхня робота може навіть сповільнюватися. Це відбувається через несумісність несанкціонованих і затверджених систем, затримки доступу до даних, складність управління дозволами та з інших причин.
На цьому загрози тіньових IT для українського бізнесу не вичерпуються.
«Основний ризик тіньових IT для нашої організації та подібних великих компаній – втрата контролю над даними, порушення безпеки й конфіденційності, що може призвести до витоку важливої інформації. Неправомірне використання програмного забезпечення також призводить до проблем із ліцензуванням та юридичних наслідків. Крім того, надійність таких систем і можливості їх підтримки досить сумнівні. У компанії має бути чітка політика, яка забороняє встановлення програм без дозволу компетентних спеціалістів ІТ-відділу», – вважає Влад Гавриленко, Head of IT department Softprom.
Нікіта Веселков, провідний технічний спеціаліст ESET в Україні, вважає, що в умовах постійних цілеспрямованих атак на корпоративні мережі великих компаній тіньове програмне забезпечення і пристрої становлять особливу небезпеку:
«Через обмежені можливості контролю з боку IT-спеціалістів саме тіньові ресурси можуть стати легкою мішенню для зловмисників. Відсутність на тіньових ресурсах рішень із безпеки, своєчасного виправлення вразливостей, шифрування конфіденційних даних та інших необхідних заходів безпеки може призвести до інфікування цих ресурсів шкідливим програмним забезпеченням із подальшим проникненням кіберзлочинців у корпоративну мережу, втрати або витоку цінних даних чи до несанкціонованого доступу до них».
Окрім тіньових ІТ, загрозу становлять і так звані дзеркальні ІТ (вони ж Mirror ІТ). Це програми та системи, які спочатку санкціоновані компанією, але при цьому співробітники використовують їх як для особистих, так і для робочих завдань. Зазвичай це рішення на кшталт Slack, Gmail та OneDrive, де через професійні облікові записи передається персональна інформація.
Переваги тіньових IT
Не лише загрози несе використання тіньових IT-активів. Насправді вони мають і деякі переваги:
• Співробітники працюють із тими цифровими інструментами, які найкращим чином відповідають їхнім потребам, а також є зручними та простими для розуміння.
• Організації більш гнучко і швидко реагують на ринкові коливання, отримуючи конкурентну перевагу.
• Скорочуються витрати на впровадження додаткових систем і придбання обладнання для співробітників.
Усвідомивши ці переваги та розуміючи неминучість появи тіньових IT (адже повністю уникнути їх використання практично неможливо), деякі компанії вже намагаються інтегрувати їх у свої корпоративні IT-системи.
Крім того, використовують інструменти для відстеження кіберзагроз, аналізуючи пристрої та застосунки, що мають доступ до корпоративної мережі.
Як компанії знизити ризики використання тіньових IT
За даними Gartner, менш ніж 10% організацій використовують конфіденційність як конкурентну перевагу. Проте вже до 2026 року із 1% (станом на зараз) до 10% зросте кількість компаній із досить зрілими програмами нульової довіри. У їхніх межах проводитиметься постійна перевірка всіх користувачів, пристроїв і технологій, а також буде суворо обмежуватися доступ до мережевих ресурсів та корпоративних даних.
До яких заходів ще може вдатися компанія, щоб нейтралізувати загрози тіньових IT?
Класифікація та облік даних
Необхідно виділити критичні дані та донести співробітникам, що зберігати й передавати їх можна лише в межах авторизованих систем і через затверджені пристрої.
Інвентаризація апаратного та програмного забезпечення
Повне уявлення про всі IT-активи, включно із застосунками, пристроями та SaaS-сервісами, які використовують співробітники, дасть змогу створити безпечну структуру і спростить оцінку вразливостей.
Впровадження інструментів моніторингу тіньових IT
Моніторингові системи дозволяють ідентифікувати застосунки, які запускаються у корпоративній мережі та створюють загрози кібербезпеці. При цьому є сенс авторизувати окремі сервіси, якщо вони приносять реальну користь компанії. У більшості випадків можна знайти компроміс між продуктивністю, зручністю та безпекою.
Інформування працівників
Роз’яснення ризиків діяльності тіньових IT, навчання принципів інформаційної безпеки та загалом створення культури кібербезпеки в організації дозволяють суттєво знизити ризики використання неавторизованих пристроїв та систем.
«Зменшити негативний вплив тіньових засобів та систем на робочих місцях допоможе комплексна політика. Вона передбачає забезпечення співробітників корпоративними пристроями, які повністю контролюються ІТ-спеціалістами за допомогою рішень із безпеки, і мають доступ лише до необхідних для роботи програм та даних. Також важливою є сегментація корпоративної мережі відповідно до особливостей роботи працівників для обмеження поширення шкідливих програм. Крім того, слід займатися підвищенням обізнаності персоналу щодо ризиків кібербезпеки та правил поводження із конфіденційними даними», – вважає Нікіта Веселков.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!