Jak zabezpieczyć się przed cyberzagrożeniami związanymi z shadow IT?

Podczas pandemii wiele organizacji priorytetowo traktuje przede wszystkim zachowanie ciągłości biznesowej. Cyberbezpieczeństwo schodzi często na drugi plan. Efektem takiego podejścia jest narastające zjawisko shadow IT, czyli wykorzystywania niezatwierdzonego przez pracodawcę czy dział bezpieczeństwa IT sprzętu oraz oprogramowania.

Wspomnianą sytuację pogarsza także rozluźnianie polityki bezpieczeństwa IT. Według 76% zespołów IT uczestniczących w badaniu Hewlett Packard, w pandemicznej rzeczywistości bezpieczeństwo w ich organizacji straciło priorytet na rzecz ciągłości biznesowej, a 91% twierdzi, że odczuwa presję, aby rozluźniać polityki bezpieczeństwa.

“To realny problem, z którym możemy zetknąć się praktycznie w każdej organizacji prywatnej czy publicznej. W nowej rzeczywistości pracy hybrydowej powstała dodatkowa przestrzeń dla rozwoju shadow IT a tym samym wzrosło ryzyko ataków nowymi kanałami” – ostrzega Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa w ESET.

Czym jest shadow IT?

Zjawisko shadow IT istnieje od lat. Termin ten odnosi się do używanych przez pracowników bez zgody i kontroli działu IT lub pracodawcy aplikacji, oprogramowania czy też podłączonego do firmowej sieci sprzętu. Najczęściej są to urządzenia i oprogramowanie dla użytkowników indywidualnych, które używane w środowisku firmowym mogą narazić organizację na dodatkowe ryzyko w obszarze cyberbezpieczeństwa.

Shadow IT zwykle pojawia się, gdy pracownicy mają dość nieefektywnych korporacyjnych narzędzi informatycznych, które ich zdaniem blokują produktywność lub proces pracy (tzw. workflow) jest zaburzony. Wraz z pandemią wiele organizacji zostało zmuszonych do umożliwienia pracownikom korzystania z urządzeń prywatnych do wykonywania pracy w domu, a to otworzyło drzwi do pobierania i wykorzystywania niezatwierdzonych aplikacji na telefonach i komputerach, tłumaczą specjaliści ESET.

Pandemia wzmacnia zjawisko shadow IT także poprzez fakt, że zespoły IT – za sprawą zdalnego trybu pracy – mogą być w mniejszym stopniu dostępne dla pracowników i proces weryfikacji może trwać o wiele dłużej. Jak podkreślają eksperci, utrudnia to sprawdzanie nowych narzędzi przed ich użyciem w ramach firmowej sieci i może przyczyniać się do łamania obowiązującej polityki bezpieczeństwa.

“Chociaż rozpowszechniony w czasie pandemii trend „Bring your own device” (BYOD), czyli wykorzystywanie prywatnych urządzeń do celów służbowych, może częściowo wyjaśniać ryzyko związane z shadow IT, nie jest to pełen obraz problemu. Zagrożenie związane jest także z hostowaniem firmowych zasobów na prywatnych dyskach chmurowych, np. Dropbox itp. Problemem jest brak zrozumienia przez pracowników istoty problemu jakim jest przechowywanie na przykład firmowych dokumentów lub kontaktów w prywatnych serwisach. Zagrożeniem jest założenie, że dostawca usług dba o bezpieczeństwo zasobów na tym samym poziomie jak w organizacji, w której pracujemy. W rzeczywistości zabezpieczenie aplikacji i danych zależy od pracownika. A dział bezpieczeństwa IT nie może chronić zasobów shadow IT, gdy ich nie widzi” – komentuje Beniamin Szczepankiewicz z ESET.

Dlaczego shadow IT jest groźne?

Nie ma wątpliwości, że zjawisko shadow IT stanowi zagrożenie dla organizacji. Potencjalne ryzyko może obejmować następujące aspekty:

• brak kontroli działu IT oznacza, że używane przez pracowników oprogramowanie może zostać źle skonfigurowane lub zabezpieczone zbyt słabymi hasłami, co wzmaga zagrożenie cyberatakami,
• brak stosowania firmowych rozwiązań przeciw złośliwemu oprogramowaniu lub innych narzędzi zabezpieczających zasoby sieci korporacyjnych,
• brak kontroli nad przypadkowymi lub celowymi przypadkami wycieku lub udostępniania danych,
• narażenie na utratę danych spowodowane brakiem firmowych procedur tworzenia kopii zapasowych dla aplikacji i narzędzi shadow IT,
• wyzwania w zakresie procedur compliance i audytu,
• szkody finansowe i wizerunkowe dla organizacji wynikające z poważnych naruszeń polityki bezpieczeństwa i wycieków danych.

Jak przeciwdziałać negatywnym skutkom shadow IT?

Pierwszym krokiem jest świadomość skali zagrożeń wynikających dla organizacji za sprawą shadow IT. Zdaniem ekspertów ESET ograniczeniu potencjalnego ryzyka pomóc może również:

• wdrożenie kompleksowej polityki postępowania z shadow IT, która będzie między innymi zawierać listę zatwierdzonego i niezatwierdzonego w organizacji oprogramowania i sprzętu oraz jasno określony proces ubiegania się o zgodę na użycie rozwiązań spoza listy,
• szkolenie pracowników z zakresu potencjalnego wpływu shadow IT na cyberbezpieczeństwo,
• wsłuchiwanie się w opinie pracowników nt. skuteczności stosowanych w organizacji narzędzi oraz dostosowanie zasad, które zapewnią bezpieczeństwo i wygodę pracy,
• korzystanie z narzędzi monitorujących wykorzystywanie shadow IT w organizacji – narzędzi oraz niebezpiecznego zachowania.