Сьогодні у багатьох організаціях поширена модель гібридного робочого місця, яка передбачає поєднання роботи з дому та в офісі. Такий підхід вимагає від IT-спеціалістів застосування додаткових заходів для мінімізації потенційних ризиків безпеки. Зокрема особливої уваги потребує проблема використання співробітниками програмного забезпечення та пристроїв, які не контролюються ІТ-відділом.
Що таке тіньові ІТ
Під тіньовими ІТ розуміють будь-який додаток, рішення або обладнання, які використовується співробітниками без згоди та контролю з боку ІТ-відділу. Іноді це технології, які просто купуються та використовуються без відома ІТ-спеціалістів. Але найчастіше це загальнодоступні рішення, які можуть створити додаткові ризики для організації. Існують різні аспекти тіньових ІТ, зокрема:
- файлові сховища для зручності роботи працівників;
- інструменти для підвищення продуктивності та управління проектами, які можуть збільшувати ефективність спільної роботи та здатність співробітників виконувати повсякденні завдання;
- обмін повідомленнями та електронна пошта для більш зручного спілкування як з колегами, так і з іншими користувачами;
- хмарні системи IaaS і PaaS, які можуть використовуватися для розміщення несанкціонованих ресурсів.
Чому це відбувається
Тіньове ІТ-середовище зазвичай виникає через те, що співробітникам набридли «неефективні корпоративні інструменти», які нібито заважають їх продуктивності. У зв’язку з пандемією багато організацій були змушені дозволити персоналу використовувати особисті пристрої для роботи з дому. Це також спричинило завантаження недозволених додатків.
За результатами нещодавнього дослідження, 76 % ІТ-спеціалістів визнали, що під час пандемії в пріоритеті була безперервність бізнес-процесів, а не безпека. При цьому 91 % заявили, що відчували тиск у питаннях, які ставлять під загрозу кібербезпеку компанії.
Багато користувачів є недостатньо обізнаними щодо корпоративної політики безпеки. У дослідженні 2020 року стверджується, що більше половини віддаленого персоналу використовувало додатки, непризначені для роботи на корпоративному пристрої, а 66 % завантажували корпоративні дані у такі програми. При цьому 64 % співробітників створили хоча б один обліковий запис без участі ІТ-спеціалістів. Крім того, майже третина користувачів вважають, що можуть уникнути негативних наслідків у разі використання сторонніх додатків.
У чому небезпека тіньових ІТ
На початку цього року американська компанія з відстеження контактів могла зазнати витоку даних 70 000 користувачів після того, як співробітники використовували акаунти Google для обміну інформацією як несанкціонований канал спільної роботи.
Потенційні ризики тіньових ІТ для організацій:
- відсутність контролю ІТ-спеціалістів означає, що програмне забезпечення може бути неоновленим або неправильно налаштованим (наприклад, зі слабкими паролями), ставлячи під загрозу користувачів та корпоративні дані;
- відсутність рішень з безпеки, які захищають тіньові ІТ-активи або корпоративні мережі;
- неможливість контролювати випадкові або навмисні витоки чи обміни даними;
- ризик втрати даних, оскільки корпоративне резервне копіювання не охоплює тіньові ІТ-додатки та дані;
- фінансові та репутаційні збитки через серйозні порушення безпеки.
Як боротися з тіньовими ІТ
У першу чергу варто зрозуміти масштаб проблеми та вжити заходи для уникнення потенційних ризиків, зокрема:
- Розробити комплексну політику для роботи з тіньовими ІТ, включно зі списком дозволеного та забороненого програмного та апаратного забезпечення, а також процесом отримання дозволів.
- Заохочувати співробітників до відкритого діалогу, розповідаючи їм про негативні наслідки використання тіньових ІТ.
- Адаптувати політики на основі відгуків персоналу про те, які інструменти працюють, а які ні. Також варто переглянути політики в умовах нової гібридної робочої епохи, щоб досягти балансу між безпекою та зручністю.
- Використовувати інструменти моніторингу для контролю використання тіньових ІТ та будь-якої ризикованої діяльності на підприємстві, а також впровадити відповідні заходи щодо постійних порушників.