Shadow IT – furtka dla cyberprzestępców, problem dla biznesu

Według danych Microsoft 80% pracowników korzysta z aplikacji, które nie zostały zatwierdzone i zabezpieczone przez dział IT. Shadow IT staje się więc z jednej strony furtką dla cyberprzestępców, a z drugiej poważnym problemem dla biznesu.

Statystyki nie pozostawiają złudzeń – pracownicy stosują na co dzień aplikacje i urządzenia, o których nie wie dział IT. A jeśli o nich nie wie, nie jest w stanie ich kontrolować i chronić. Z opracowanego przez Torii raportu „2022 SaaS Visibility and Impact Report” wynika, że w 80% ataków przeprowadzonych na firmy od początku pandemii cyberprzestępcy wykorzystali właśnie aplikacje znajdujące się poza obszarem odpowiedzialności działu IT.

Shadow IT daje atakującym duże możliwości, bo obejmuje: usługi w chmurze, między innymi SaaS, PaaS, IaaS; oprogramowanie oraz urządzenia, w tym komputery, smartfony, tablety i inne. Do najpopularniejszych aplikacji tego typu, wykorzystywanych w biznesie, należą Dropbox, komunikator WhatsApp, Apple Airdrop i inne narzędzia do udostępniania plików.

– Warto pamiętać o tym, że pracownicy nie korzystają z shadow IT ze złośliwości. Najczęściej sięgają po nowe, a niezatwierdzone przez działy bezpieczeństwa aplikacje czy urządzenia po to, by lepiej i sprawniej wykonywać swoje obowiązki zawodowe – tłumaczy Krzysztof Andrian, prezes zarządu Concept Data. – Oczywiście duży wpływ na upowszechnienie tego zjawiska miała pandemia i praca zdalna, która wiązała się z mniejszą kontrolą oraz z używaniem prywatnych urządzeń do zadań służbowych.

Rosnące koszty, większe ryzyko ataków

Choć z założenia shadow IT ma pomóc pracownikom, w ostatecznym rozrachunku może poważnie zaszkodzić firmie. Stosowanie sprzętu i aplikacji, które nie mają autoryzacji działów IT, naraża przedsiębiorstwa na ryzyka prowadzące do problemów wizerunkowych, prawnych i budżetowych.

Utrata kontroli i widoczności. Migracja danych firmowych do innych narzędzi czy systemów oznacza utratę kontroli nad nimi. Przedsiębiorstwu trudno więc zapewnić zgodność z przepisami i regulacjami, a także ustrzec się przed wyciekiem danych.

Utrata dostępu do danych. Organizacje mogą utracić dostęp do danych zgromadzonych w zasobach shadow IT, zwłaszcza w sytuacji, gdy właściciel tych informacji opuszcza firmę. Przykład? Osobiste konto Dropbox, na którym pracownik przechowuje umowy z klientami czy dokumentację projektową. Jeśli zostanie zwolniony z pracy, firma może mieć problem z odzyskaniem krytycznych informacji o klientach.

Nieefektywność systemu. Jeśli organizacja nie wie, jakie dane i gdzie przetwarza, działy IT nie mogą zapewnić bezpieczeństwa ani odpowiedniej wydajności architektury.

Koszty. Gdy shadow IT staje się krytyczną częścią projektu, który się rozrasta, koszty ponoszone przez organizację rosną. Jest to częsty problem w przypadku aplikacji SaaS.

Niezgodność z przepisami. Organizacje podlegające rygorystycznym przepisom dotyczącym zgodności z przepisami ponoszą duże ryzyko, korzystając z shadow IT. Na przykład jeśli placówki służby zdrowia przechowują wrażliwe dane pacjentów w rozwiązaniach shadow IT, mogą być narażone na kosztowne procesy sądowe lub kary za nieprzestrzeganie przepisów.

Nieznane powierzchnie ataku. Im większa szara strefa IT, tym więcej danych znajduje się poza ustalonymi granicami bezpieczeństwa. A to oznacza większe narażenie na cyberataki. Firmowe testy penetracyjne, systemy wykrywania włamań czy SIEM nie obejmują bowiem shadow IT.

Shadow IT pod kontrolą

Czy można nie dopuścić do takich niebezpieczeństw? Kluczowe jest wykorzystanie w firmie technologii do wykrywania szarej strefy IT, które znajdą i zidentyfikują wszystkie zasoby informatyczne w określonym środowisku, w tym między innymi sprzęt, oprogramowanie, instancje wirtualne, komponenty chmury i urządzeń inteligentnych. Odpowiednie rozwiązania technologiczne mogą monitorować niestandardowe działania w sieci, nieoczekiwane zakupy, migracje danych, obciążenia, wzorce korzystania z IT.

Rozwiązania klasy Discovery – bo o nich mowa – zbiorą w procesie skanowania sieci informacje, które obejmują:

• Nazwę i typ urządzenia oraz adres sieciowy
• Konfigurację urządzenia: wersje sprzętu/oprogramowania/firmware’u
• Stan urządzenia, pojemność i informacje o wydajności

– Naszym klientom polecamy produkt BMC Discovery, które daje pełen wgląd w infrastrukturę IT, aktualne informacje o środowisku, powiązaniach, bezpieczeństwie i ich wpływie na usługi. Wdrażając takie rozwiązanie, firmy zyskują tzw. Real-time Visibility Across IT, czyli nieustający wgląd w to, z czego składa się i w jaki sposób działa infrastruktura IT. Dane dotyczące dostępności, zależności, błędów, zabezpieczeń i zgodności z przepisami wpływają na biznes, przynosząc przedsiębiorstwom szereg korzyści – mówi Krzysztof Andrian.

Wykorzystać shadow IT

Przyzwyczajenie pracowników i wszelkie prognozy pokazują jasno, że problem shadow IT nie zniknie. Firmy nie powinny więc z nim walczyć, a raczej oswoić. Jak? Po pierwsze, kontrolując sytuację dzięki rozwiązaniom Discovery. Po drugie, przyglądając się narzędziom, z których korzystają pracownicy bez wiedzy działu IT. To wskaże przedsiębiorstwu kierunki, w jakich powinno rozwijać swoją infrastrukturę. Po trzecie, szkoląc pracowników, informując ich o zagrożeniach związanych z shadow IT oraz tłumacząc, jak organizacja może pomóc w spełnieniu wymagań technologicznych swoich zespołów bez konieczności omijania standardowych ścieżek akceptacji.

– Pracownicy doskonale wiedzą, jakie narzędzia są im potrzebne do pracy. Rozmawiając z nimi, zarządzający poznają ich oczekiwania i będą w stanie lepiej dopasować plany rozwoju technologicznego firmy do wymogów zespołów. Wybierając i wprowadzając do firmy sprzęt oraz aplikacje pożądane przez zatrudnionych, pracodawca podniesie bezpieczeństwo zasobów i satysfakcję pracowników oraz ułatwi pracę działów IT – podsumowuje Krzysztof Andrian.

Więcej o rozwiązaniach klasy Discovery:

Infrastruktura IT pod ciągłym nadzorem, czyli 5 korzyści z wdrożenia BMC Discovery