.jpg)
То, что вначале выглядело, как эвакуация на удалённый режим работы, вызванный пандемией COVID-19, со временем стало напоминать эмиграцию. Службы ИТ и ИБ хорошо знают, какими проблемами оборачиваются для них рождественские каникулы.
Сотрудники успевают забыть пароли, инструкции и регламенты. В это время в корпоративном периметре фиксируется больше всего сомнительных гаджетов, которые были подарены в период новогодних каникул. А тут страна почти два месяца провела на удалённом режиме. В результате была сформирована какая-то партизанская ИТ-инфраструктура, с которой в офисы начнут возвращаться не только сотрудники, но и проблемы — с ними предстоит столкнуться службам ИБ.
Построенное за карантин новое shadow ИТ
По мнению менеджера по развитию бизнеса «Лаборатории Касперского» Виктора Ивановского, ничего не строилось и shadow ИТ существовало уже давно, просто условия для её развития стали удобнее.
«Лаборатория» проводила исследование большое по миру, опрашивала сотрудников различных компаний о том, какими сервисами из сферы теневого ИТ они сейчас активно пользуются. И выводы лежат на поверхности. Что у нас изменилось за последние пару месяцев? У нас стало сильно меньше личного общения и люди стараются это компенсировать. И компенсировать это можно только общением, но в онлайне. И согласно опросу, количество людей, корпоративных пользователей, которые в текущей жизни сейчас используют неразрешённые ИТ-безопасниками сервисы для голосового общения, сервисы для видео-конференц-связи, персональные мессенджеры какие-то, которыми они раньше не пользовались — это всё цифры выше 30%», — рассказал Виктор Ивановский в эфире «Новая реальность ИБ». И тут же добавил, что в первую очередь теневое ИТ связано со средствами коммуникации, то есть здесь речь идёт о ПО как сервисе.
И если раньше все полагали, что теневое ИТ — это только софт, ПО, то сейчас проявилась некая новая его особенность — теперь туда входит ещё и железо. По словам Виктора Ивановского, сейчас во многих компаниях творится зоопарк: пользователи дома используют ноутбуки, которые у них были, ноутбуки, которые им выдали, кто-то может быть графические станции забирает себе домой, домашние ПК, ноутбуки, которые кто-то делит со своими детьми, у кого-то тонкие клиенты установлены для подключения к удалённым рабочим столам, кто-то использует только смартфон и так далее. «Я бы сказал, что сейчас мы столкнулись с тем, что теневой ИТ из плоскости программного обеспечения перешла в сферу программно-аппаратных решений, программно-аппаратных комплексов. Теперь у нас полный зоопарк не только в софте, но и в харде. Чем она отличается от корпоративной инфраструктуры? Не типизированным составом ПО, не типизированным составом железа. Просто давайте рассматривать это как некий хаос неупорядоченный», — поделился эксперт.
«В теневом ИТ нет ничего плохого. Shadow ИТ — это реализованные потребности пользователей. Для того, чтобы узнать о потребностях пользователей нам обычно приходится придумывать сервисы, разрешать, апрувить и так далее. Shadow ИТ — это реализованные потребности пользователей, и нормальная ИТ-служба, нормальная ИБ-служба должны найти принципы реализации вот этих потребностей пользователей. То есть привести shadow ИТ в нормальную корпоративную сетку, в нормальные корпоративные ресурсы. И сама постановка вопроса о том, что как-то пересекаются корпоративные ресурсы, корпоративные политики и shadow ИТ — это неправильно. Вот пользователям надо, им нужен такой сервис. И если мы обнаруживаем такой shadow ИТ, мы должны им такой сервис предоставить. То есть это даже хорошо, плюс есть в этом», — высказал своё мнение руководитель группы информационной защиты «Ростелеком-Солар» Алексей Пятигорский.
С этим согласился и Виктор Ивановский, отметив, что опыт использования сотрудниками сервисов shadow ИТ должен быть использован дальше для того, чтобы модифицировать в инфраструктуру — либо в сторону облачных сервисов, либо в сторону улучшения удалённой работы, либо в сторону улучшения коммуникаций каких-то, которых сотрудникам не хватало в штатном режиме.
Какие риски теневого ИТ перейдут в корпоративную сеть?
Если говорить про риски, по словам Виктора Ивановского, то «Лаборатории Касперского» со своей стороны видит рост брутфорс атак на открытые или предположительно открытые RDP-сервисы. «Рост кратный количества брутфорс атак на RDP ресурсы. Это то, что мы видим нашими средствами защиты, которые раскинуты по всему миру. Кратные — это не в 2-3 раза, а в 5-6-7 раз. Это про бэкенд», — пояснил он.
В то же время со стороны пользователей видно, что увеличилось количество сработок антивируса на фишинговые и потенциально вредоносные ресурсы. «Видим тоже кратный рост фишинговых атак на пользователей. С какими целями? Самая простая цель — это попробовать украсть данные кредитных карт из-за того, что люди сейчас больше вовлечены в онлайн-коммерцию. А с другой стороны, не использовать возможность залезть в корпоративный ноутбук — для злоумышленника наверно это слишком сладкая цель для того, чтобы отказаться от неё», — рассказал Виктор Ивановский.
Но что будет, когда пользователи начнут возвращаться в офисы? Во-первых, они понесут обратно в офис железо, с которым они работали, с которым они подключались к корпоративным ресурсам, смотрели YouTube, смотрели какие-нибудь ещё сервисы, пользовались небезопасными приложениями, на которых работали дети и делали свои домашние задания, качали торренты и так далее. Это та проблема, которая будет очень актуальна для ИБ.
Второй момент — люди, которые пользовались неразрешёнными службами безопасности внешними сервисами, понесут привычку пользоваться этими сервисами. И здесь, по словам Виктора Ивановского, возможно два варианта. Вариант проактивный — это действительно понять потребность и дать людям реализованный какой-то механизм делать то, что они привыкли делать за эти 2-3 месяца дома. Это дорого. Но это не только текущие затраты, это в том числе проблемы будущие, которые могут появится из-за того, что не решишь эту проблему, поставив её на паузу. Второй вариант — сказать просто, что «добро пожаловать обратно в наш суровый справедливый мир, и те ограничения, которые мы придумали, они прописаны кровью, давайте снова жить по старым правилам». «Это значит, что людям надо будет ломать привычки, а это, с моей точки зрения, затраты для службы ИБ на оперативный какой-то мониторинг и выявление таких непослушных товарищей», — высказался Виктор Ивановский.
Однако Алексей Пятигорский предложил более щадящий вариант: сказать сотрудникам, которые пользуются неразрешёнными сервисами, что если они им очень нужны, то пусть заранее предупреждают ИБ-службу, чтобы она не считала это как за инцидент и пыталась как-это защитить новые выходы. «Это замечательный вариант, потому что у нас сразу куча обследований, исследований, аналитики, бизнес-аналитики и так далее отпадает, потому что вот оно, оно есть, оно работает, с этим надо что-то делать», — добавил он.
В то же время надо понимать, что пользователи как пользовались почтой с домашних компьютеров и собственных смартфонов, так они и будут пользоваться корпоративными сервисами с устройств из серой зоны shadow ИТ. «Просто появляется дополнительный стимул для того, чтобы это систематизировать. В тех компаниях, где ещё нет политик по тому, с каких устройств, при каких условиях подключаться к корпоративным ресурсам, вот самое время взять и в домашнем режиме провести домашнюю работу и подготовиться», — заключил Виктор Ивановский.
.jpg)
