Jak sobie radzić z shadow IT

Pracownicy nierzadko wykorzystują sprzęt lub oprogramowanie, które nie zostały zautoryzowane przez dział IT. Robią to bez wiedzy pracodawcy i informatyków, niemniej nie mają złych intencji – chcą po prostu korzystać z ulubionych rozwiązań, by wykonywać swoje zadania. Takie działania są określane mianem shadow IT. Jak sobie z nim radzić i jakie praktyki warto wprowadzić?

W wielu firmach, nawet tych, które oferują dostęp do sprzętu służbowego, pracownicy wykorzystują prywatne smartfony czy laptopy, by wykonywać codzienne zadania. Firma Infoblox, dostarczająca rozwiązania sieciowe, opracowała raport, z którego wynika że trzy czwarte wszystkich przedsiębiorstw ma ponad 1000 urządzeń biznesowych, w tym laptopów i tabletów, łączących się każdego dnia z firmową siecią. 35 proc. tych firm deklaruje, że monitoruje ruch i zauważa, że do służbowych sieci podłączają się również urządzenia niezarejestrowane jako firmowe – pracownicy wykorzystują prywatne sprzęty do korzystania z serwisów społecznościowych, pobierania aplikacji, grania w gry i oglądania filmów. Raport dotyczy firm ze Stanów Zjednoczonych, Wielkiej Brytanii i Niemiec – wszędzie można zauważyć podobne tendencje.

Zdarza się, że pracownik używa prywatnego smartfona, ale udostępnia też hasło do korporacyjnej sieci Wi-Fi znajomym. Wszystkie te nieautoryzowane urządzenia i aplikacje wykorzystujące sieć danej firmy stanowią część narastającego problemu o nazwie shadow IT. Dodatkowo potęgują go szeroko dostępne usługi chmurowe – gdy ktoś korzysta z tych usług, to jeszcze trudniej ocenić kto dokładnie łączy się z siecią, a także gdzie są przechowywane i przetwarzane wszystkie dane.

Zobacz również:

Shadow IT obejmuje również nieoficjalne przepływy danych, np. wykorzystywanie pendrive'ow USB i oprogramowania, które nie jest obsługiwane i autoryzowane przez dział IT. Prosty scenariusz: pracownik wykorzystuje prywatne konto na Dropboksie, aby udostępnić dokumenty współpracownikom, a dział IT nie ma o tym żadnej wiedzy. Albo: pracownik instaluje na telefonie komunikator internetowy, by kolejno wysyłać za jego pośrednictwem służbowe raporty do kolegów i wykorzystywać go do komunikacji z klientami.

Jakie zagrożenia wiążą się z shadow IT

Oto najczęstsze problemy, z jakimi mogą spotkać się firmy niestosujące odpowiednich zabezpieczeń przeciwko shadow IT.

  • Problemy z optymalizacją procesów biznesowych. Jeżeli w firmie wykorzystywane są nieznane sprzęty i programy, trudno ocenić czy dane zadania można wykonywać lepiej i nie można optymalizować procesów.
  • Ukryte koszty. Pracownicy, którzy próbują konfigurować na własną rękę systemy i oprogramowanie służące do pracy, wykorzystując przy tym prywatne urządzenia, często popełniają błędy i później specjaliści ze wsparcia IT muszą przeznaczać czas na ich rozwiązywanie.
  • Niespójności w pracy. Wystarczy że jedna osoba otrzyma np. prezentację, którą następnie edytuje w starszej wersji programu (ze swojego prywatnego komputera), by później pojawiły się nieoczekiwane zmiany. To zmusza do wprowadzania poprawek, aktualizacji i dublowania wielu zadań.
  • Ryzyko utraty danych i wycieku plików. Dane korporacyjne przechodzą przez nieautoryzowane aplikacje i urządzenia, na których może zabraknąć stosownych zabezpieczeń, a nawet mogą nie być wykonywane kopie zapasowe, więc w razie awarii sprzętu (lub jego kradzieży) firma straci cenne pliki.
  • Zmarnowane inwestycje. Firma może wykupić dostęp do wybranego oprogramowania, a później okazuje się, że duża część pracowników z niego nie korzysta, polegając np. na gorszych/starszych narzędziach, jakie są zainstalowane na ich prywatnych urządzeniach.
  • Problemy w zakresie zgodności i z przestrzeganiem prawa. W niektórych branżach może dochodzić do sytuacji, że dane są przesyłane nieoficjalnymi kanałami, co może sprawić, że automatycznie nie będziemy przestrzegać rygorystycznych przepisów, polityk bezpieczeństwa, czy choćby RODO.

Shadow IT. Problem trudny do rozwiązania

Shadow IT, oprócz oczywistych problemów związanych z zarządzaniem pracownikami (nie wiemy na co dokładnie i kiedy przeznaczają czas w godzinach pracy), wiąże się z dużym zagrożeniem dla bezpieczeństwa. Firmy nie wiedzą, jakie oprogramowanie zabezpieczające znajduje się na prywatnych urządzeniach pracowników i na sprzętach ich znajomych – często nie ma go wcale lub są to bezpłatne, ograniczone w funkcje aplikacje.

Ponadto oprogramowanie, które nie zostało zautoryzowane przez IT, również może stanowić furtkę dla cyberzagrożeń – wystarczy, że nie jest na bieżąco aktualizowane, a wtedy dokumenty i pliki mogą trafić w niepowołane ręce. Nawet z pozoru nieszkodliwe aplikacje mogą sporo namieszać – przykładowo w 2017 r. specjaliści z firmy McAfee wykryli 144 aplikacji w sklepie Google Play, które zawierały oprogramowanie malware Grabos. Było ono ukryte w odtwarzaczach audio i łącznie zostało pobrane 17 mln razy.

Czasem pracownicy biorą też sprawy w swoje ręce i sami decydują z jakiego sprzętu i programów będą korzystać, by wykonywać swoje zadania efektywnie. Albo zapominają, że powinni skonsultować swoje działania z technikami z IT, albo nie ma odpowiednich procedur.

Najpopularniejsze narzędzia używane do pracy, które często nie zostały zaakceptowane przez dział IT, to aplikacje do dzielenia się plikami i ich edycji (Dropbox, Dokumenty Google) i komunikatory (Skype, Messenger, WhatsApp). Wiele z tych narzędzi zapewnia wysoki poziom bezpieczeństwa, ale wystarczy że np. pracownik przypadkowo udostępni dany dokument online z możliwością podglądu dla wszystkich zainteresowanych, i nagle mamy do czynienia z podobną sytuacją, jakby dyrektor czy menedżer firmy zostawił poufne dokumenty w pociągu czy na stole na branżowej konferencji.

Jednym z zagrożeń, które staje się coraz większe, jest wykorzystywanie przez pracowników urządzeń typowo konsumenckich, takich jak telewizory smar, asystenci cyfrowi, czy różnego rodzaju opaski i inne sprzęty monitorujące aktywność fizyczną. Wszystkie te urządzenia potrzebują dostępu do internetu, aby oferować pełną funkcjonalność, a wiele osób zapewnia taki dostęp poprzez logowanie się do sieci korporacyjnej.

Shadow IT. Oprogramowanie największym wyzwaniem

Zdaniem ekspertów firmy konsultingowej Everest Group shadow IT dotyczy bardziej oprogramowania niż sprzętu. Według badaczy aż 50 proc. zadań w firmach wykonywanych jest „w cieniu” – czyli z użyciem narzędzi, które nie były autoryzowane przez IT.

Największe wyzwanie stanowią narzędzia do współpracy. Nextplane, firma oferująca rozwiązanie do integrowania ze sobą takich narzędzi, by działały w jednym systemie, przeprowadziła ankietę wśród pracowników korporacji. 67 proc. przyznało, że wprowadziło (zainstalowało) w firmie inne oprogramowanie do współpracy i komunikacji, niż było domyślnie dostępne, a 82 proc. nie zgadzało się ze specjalistami IT, którzy chcieli wymusić na nich stosowanie danego oprogramowania. Aż 79 proc. pracowników nie miało też świadomości lub zwyczajnie ignorowało fakt, że instalowanie i używanie oprogramowania do współpracy, które nie zostało zatwierdzone przez dział IT, wiąże się z ryzykiem wycieku i utratą danych.

Z badania przeprowadzonego przez IBM wynika z kolei, że jeden na trzech pracowników firm z listy Fortune 1000, czyli największych amerykańskich firm wg przychodów, używa usług online SaaS, które nie były akceptowane przez dział IT. Dlaczego? Pracownicy chcą korzystać z tego, co znają i lubią, natomiast nie są przy tym świadomi ryzyka, że mogą narazić firmę na utratę danych czy straty finansowe.

Shadow IT. Lepiej zapobiegać niż leczyć

Shadow IT może stanowić poważne zagrożenie. Gartner przewiduje, że w 2020 r. aż jedna trzecia wszystkich cyber ataków będzie miała początek właśnie w shadow IT. Jeśli organizacja nie będzie skutecznie zarządzać personelem, przeprowadzać szkoleń i wdrażać systemów, które minimalizują ryzyko wystąpienia ataków i włamań, prosi się o to problemy, do których wcześniej czy później dojdzie, a które nie tylko obciążą zasoby IT, ale też spowolni działalność całego przedsiębiorstwa. Trudno zadbać o bezpieczeństwo, jeśli nie wiemy co tak naprawdę mamy zabezpieczać, niemniej istnieje co najmniej kilka praktyk i rozwiązań, które są tutaj pomocne i pozwalają zminimalizować rozpowszechnianie prywatnych aplikacji w przedsiębiorstwie.

Polityka i procedury. W ramach polityki opisuje się, kto i do czego może mieć dostęp, jak również jakich narzędzi używa się w firmie. Polityka powinna zawierać min. liczbę dostawców oprogramowania, którzy są dopuszczalni (tzw. biała lista), jak również zalecenia związane z przenoszeniem danych, gdy okaże się, że dane oprogramowanie nie jest wspierane przez firmę – pracownicy powinni wiedzieć jak mają wtedy przenieść dane i pliki do innego systemu.

Metody rozwiązywania potrzeb i konsekwencje. Rola IT to przede wszystkim wspieranie firmy w biznesie, a nie wprowadzanie ograniczeń. Warto przeprowadzać cykliczne szkolenia, na których należy wyjaśniać pracownikom, z jakiego oprogramowania i sprzętów powinni i mogą korzystać, oraz co może się stać, gdy zignorują te zalecenia. Jednocześnie firma powinna informować i przestrzegać konsekwencji, jakie będą wyciągane gdy dana osoba omija zalecenia IT, mimo że odbyła już odpowiednie szkolenie i jest świadoma zagrożeń. Ważna jest obustronna komunikacja i regularne odświeżanie wiedzy.

Wewnętrzne monitorowanie aplikacji. Firmy powinny wiedzieć, jakie aplikacje są używane przez personel. Nowe oprogramowanie pojawia się każdego dnia, zwłaszcza w modelu SaaS. Przeciętny dyrektor ds. technologii uważa, że pracownicy korzystają łącznie z 51 usług chmurowych, podczas gdy faktyczna liczba to średnio 730 (dane pochodzą z jednego z raportów Cisco). To niedoszacowanie jest bardzo wysokie zwłaszcza w sektorze finansowym – w tej branży liczba faktycznie używanych aplikacji jest 17-20 razy większa niż przypuszczają dyrektorzy IT. Co możemy zrobić, aby zyskać realny obraz związany z wykorzystywanym oprogramowaniem? Najprostszą, choć czasochłonną metodą są wewnętrzne ankiety i audyty. Jeśli chcemy zadbać o bezpieczeństwo nie mamy jednak innej opcji – trzeba wiedzieć jakie rozwiązania są wykorzystywane w firmie. Audyty można zlecić firmom zewnętrznym.

Wiedza o zasobach. Poza poznaniem oprogramowania, jakie jest używane przez personel, należy wiedzieć także o tym, jakiego rodzaju dane i pliki są najczęściej udostępniane czy przetwarzane przez narzędzia firm trzecich. Często napotkamy tutaj na kilka niespodzianek - np. pracownicy mogą wysyłać sobie bardzo często zrzuty ekranowe, jak i informacje typu PII (personally identifiable information - umożliwiające identyfikację danej osoby) lub PHI (personal health information - informacje o stanie zdrowia). Na serwerach firm trzecich mogą znaleźć się również dane finansowe czy własność intelektualna.

Cykliczne kontrole. Gdy wiadomo już, jakie dane trafiają na serwery firm trzecich, kolejnym krokiem jest poznanie sposobu kontrolowania dostępu. Czy narzędzia używane przez pracowników mają funkcje do monitorowania w czasie rzeczywistym? Kto ma i może mieć dostęp do danych? Jakie zagrożenia zewnętrzne dotyczą danego narzędzia? Kto przeprowadza ocenę ryzyka i kto jest odpowiedzialny za ewentualne naruszenia? Warto poznać odpowiedzi na te pytania u dostawcy danego oprogramowania.

Ponadto w firmie powinna powstać polityka postępowania na wypadek wycieków danych i utraty kontroli nad nimi - jeśli pracownik korzysta z narzędzia zewnętrznego i dojdzie do problemu związanego z bezpieczeństwem, powinien on wiedzieć jak się zachować, by zminimalizować ryzyko powstania jeszcze większych strat i problemów.


TOP 200