Что скрывается в тени? Как управлять рисками безопасности теневых ИТ

Использование сотрудниками несанкционированного оборудования и программного обеспечения становится все более острой проблемой в эпоху удаленной и гибридной работы.

В эпоху пандемии многие организации отдают приоритет непрерывности бизнеса за счет кибербезопасности. Особенно в первые дни пандемии основное внимание уделялось тому, чтобы просто выполнить работу — поддержать быстрый переход к удаленной работе и новым способам связи с клиентами. Это означало ослабление определенных политик, чтобы поддержать персонала по мере того, как они вносили существенные изменения. Раньше это, безусловно, было оправдано. Но поскольку мы входим в новую фазу, характеризующуюся постпандемическим гибридным рабочим местом, это также создает совершенно новый уровень непрозрачности для ИТ-специалистов. Проблема в том, что риски, связанные с киберпространством, процветают в тени.

Суть в том, что использование сотрудниками программного обеспечения и устройств за пределами компетенции ИТ, если его не контролировать, может стать серьезной угрозой для вашей организации. Вопрос в том, что с этим делать, когда трудно разглядеть даже масштаб проблемы.

 

Что такое теневое ИТ?

Теневое IT существует уже много лет. Общий термин может относиться к любому приложению, решению или оборудованию, используемому сотрудниками без согласия и контроля ИТ-отдела. Иногда это технологии корпоративного уровня, которые просто покупаются и используются без ведома ИТ. Но чаще всего это потребительские технологии, что может подвергнуть организацию дополнительному риску.

Есть разные аспекты теневой ИТ. Это может включать:

  • Файловое хранилище потребительского уровня, призванное помочь сотрудникам более эффективно сотрудничать друг с другом.
  • Инструменты повышения производительности и управления проектами, которые также могут повысить эффективность совместной работы и повысить способность сотрудников выполнять повседневные задачи.
  • Обмен сообщениями и электронная почта для более беспрепятственного общения как с рабочими, так и с неработающими контактами.
  • Облачная инфраструктура как услуга (IaaS) и платформа как услуга (PaaS), которые могут использоваться для размещения несанкционированных ресурсов.

 

Почему это происходит?

Теневая ИТ-среда обычно возникает из-за того, что сотрудникам надоели неэффективные корпоративные ИТ-инструменты, которые, по их мнению, мешают производительности. С началом пандемии многие организации были вынуждены разрешить сотрудникам использовать свои личные устройства для работы из дома. Это открыло двери для скачивания несанкционированных приложений.

Это усугубляется тем фактом, что многие сотрудники не осведомлены о корпоративной политике безопасности или что ИТ-руководители сами были вынуждены приостановить действие таких политик, чтобы «добиться цели». В одном из недавних исследований 76% ИТ-команд признали, что приоритетность безопасности была снижена в пользу непрерывности бизнеса во время пандемии, в то время как 91% заявили, что они чувствовали давление, чтобы поставить под угрозу безопасность.

Пандемия также могла стимулировать более широкое использование теневых ИТ, потому что сами ИТ-команды были менее заметны для работников. Это затрудняло пользователям проверку перед использованием новых инструментов и могло психологически сделать их более предрасположенными к неповиновению официальной политике. В исследовании 2020 года утверждается, что более половины (56%) глобальных удаленных сотрудников использовали нерабочие приложения на корпоративном устройстве, а 66% загружали в него корпоративные данные. Почти треть (29%) заявили, что они считают, что им может сойти с рук использование нерабочих приложений, поскольку ИТ-решения — это «ерунда».

 

Масштаб проблемы

Хотя использование принципа «принеси свой собственный девайс» в связи с пандемией может частично объяснить теневой ИТ-риск, это еще не все. Также существует угроза со стороны определенных бизнес-подразделений, размещающих ресурсы в корпоративном облаке IaaS или PaaS, которые поэтому остаются незамеченными. Проблема здесь в том, что многие неправильно понимают природу модели совместной ответственности в облаке и предполагают, что поставщик услуг (CSP) позаботится о безопасности. Фактически, обеспечение безопасности приложений и данных зависит от организации-клиента. И он не может защитить то, что не видит.

К сожалению, сама природа теневых ИТ не позволяет понять истинный масштаб проблемы. Исследование 2019 года показывает, что 64% сотрудников в США создали хотя бы одну учетную запись без участия ИТ-специалистов. Отдельное исследование утверждает, что 65% сотрудников, работавших удаленно до пандемии, использовали инструменты, не одобренные ИТ, а 40% нынешних сотрудников используют решения для теневого взаимодействия и совместной работы. Интересно, что в том же исследовании отмечается, что склонность к теневым ИТ меняется с возрастом: только 15% бэби-бумеров заявили, что участвуют в нем, по сравнению с 54% миллениалов.

 

Почему теневые ИТ представляют собой угрозу?

То, что не подлежит сомнению, — это потенциальный риск, который теневые ИТ могут представлять для организации. В одном случае, произошедшем в начале этого года, американская компания по отслеживанию контактов могла раскрыть данные о 70 000 человек после того, как сотрудники использовали учетные записи Google для обмена информацией в рамках «несанкционированного канала сотрудничества».

Вот краткий обзор потенциального риска теневой ИТ для организаций:

  • Отсутствие ИТ-контроля означает, что программное обеспечение может оставаться без исправлений или быть неправильно настроенным (например, со слабыми паролями), подвергая пользователей и корпоративные данные атакам.
  • Никакие решений для защиты от вредоносных программ корпоративного уровня или других решений безопасности не защищающих теневые ИТ-активы или корпоративные сети.
  • Отсутствие возможности контролировать случайные или преднамеренные утечки/обмен данными.
  • Проблемы комплаенс и аудита.
  • Риск потери данных, поскольку теневые ИТ-приложения и данные не будут покрываться корпоративными процессами резервного копирования.
  • Финансовый и репутационный ущерб, нанесенный серьезным нарушением безопасности.

 

Как бороться с теневым ИТ

Первый этап — понимание потенциального масштаба угрозы. ИТ-команды не должны питать иллюзий, что теневые ИТ широко распространены и могут представлять серьезный риск. Но это можно смягчить. Учтите следующее:

  1. Разработайте комплексную политику для работы с теневыми ИТ, включая четко изложенный список одобренного и неутвержденного программного и аппаратного обеспечения, а также процесс получения одобрения.
  2. Поощряйте прозрачность среди сотрудников, рассказывая им о потенциальном влиянии теневых ИТ и инициируя честный двусторонний диалог.
  3. Слушайте и адаптируйте политики на основе отзывов сотрудников о том, какие инструменты работают, а какие нет. Возможно, пришло время пересмотреть политики новой гибридной рабочей эпохи, чтобы лучше сбалансировать безопасность и удобство.
  4. Используйте инструменты мониторинга, чтобы отслеживать использование теневых ИТ на предприятии и любую рискованную деятельность, а также принимать соответствующие меры в отношении постоянных нарушителей.

Теневое IT расширяет поверхность корпоративных атак и создает кибер-риски. Но он вырос до таких размеров, потому что текущие инструменты и политики часто рассматриваются как чрезмерно ограничивающие. Чтобы исправить это, ИТ-специалистам потребуется адаптировать свою культуру для более тесного взаимодействия с общей рабочей силой.

 

Оригинал материала

27 ноября, 2021