За пределами контроля: Shadow IT в организации

Зачастую сотрудники компаний игнорируют правила информационной безопасности, когда речь заходит об удобстве работы. Они используют популярные мессенджеры и приложения для онлайн-конференций, облачные сервисы для хранения и передачи данных коллегам, приносят на рабочие места свои роутеры, ноутбуки и флешки.

С одной стороны все это позволяет им оптимизировать свою работу, с другой — может стать точкой входа для хакеров. В этой статье разбираемся в причинах появления Shadow IT и о том, как своевременно выявлять неучтенные активы и управлять ими

Почему появляется Shadow IT

К Shadow IT можно отнести любые сервисы, ПО или устройства, которые используют сотрудники компании, но IT-отдел о них не знает, не обслуживает и не контролирует их работу. Shadow IT может представлять серьезную угрозу информационной безопасности компании.

Парк незарегистрированных устройств и приложений в организации разрастается не из-за чьего-то злого умысла. Как правило, отделы компании и инициативные сотрудники сами закупают или устанавливают ПО, используют облачные сервисы и хранилища данных без уведомления IT-отдела. Они находят более удобные для себя решения, которые не используются в компании. При этом сотрудники не всегда устанавливают новейшие инструменты, а наоборот скачивают программы, в которых привыкли работать.

Руслан Ратуш

Эксперт по информационной безопасности STEP LOGIC

Встречались случаи, когда сотрудники отдела кадров или продаж, стремясь упростить совместную работу, начинали использовать облачные сервисы типа Dropbox для обмена документами, включая работу из дома и с личных устройств. Это иногда приводило к утечке конфиденциальной информации через уязвимости в системе безопасности данных сервисов, в результате чего документы получали несанкционированные пользователи. Использование сторонних облачных хранилищ несёт риски, связанные с доверием третьей стороне, и не гарантирует сохранность корпоративных данных.

Нередки случаи, когда Shadow IT появляется из-за недосмотра IT-департамента — им оказывается давно неиспользуемый облачный сервис, сайт, корпоративный аккаунт или софт компании. О нем просто забывают и не обслуживают, хотя он остается дырой в защите всей системы. Такая ситуация часто встречается после модернизации системы — устаревшие инструменты и решения остаются без внимания.

Сергей Зыбнев

Пентестер, Awillix

Из практики могу рассказать несколько случаев. Например, бизнес-подразделение без ведома ИТ и ИБ подняли свой сервис, торчащий в сеть, и благополучно забыли о нем. Никто ничего не обновлял естественно, и со временем он «оброс» открытыми известными уязвимостями.

Еще была инвентаризация ИТ-оборудования. Мы ходили по всему зданию и подвальным помещениям, пересчитывали камеры наблюдения и проверяли их работоспособность. Итог: из порядка 70 камер, 40-50 было украдено, висел только провод питания и ethernet провод. За десятилетия работы никто ранее не проверял камеры и даже не смотрел в них, поэтому недобросовестные сотрудники снимали их для себя или чтобы что-то выносить из офиса физически.

В результате появления Shadow IT в компании утрачивается контроль над частью устройств и снижается уровень защиты, разрастается «IT-зоопарк» и возрастают траты на обслуживание.

Какие риски для информационной безопасности компании несет Shadow IT

Неучтенные приложения и устройства, которые используют сотрудники компании, могут стать одной из главных угроз корпоративной кибербезопасности. Принесенная из дома флешка, ноутбук или телефон могут оказаться уязвимы или уже заражены. Они открывают доступ в контур компании и помогают злоумышленникам нанести ущерб организации.

Владимир Емышев

Директор по развитию MFlash

Все риски Shadow IT связаны с тем, что оно находится вне требований безопасности:

Не применяются корпоративные парольные политики и требования к аутентификации. Скомпрометированная УЗ на Shadow IT сервисе может стать первым шагом для дальнейших зловредных активностей.

В большинстве случаев Shadow IT не покрывается процессом управления уязвимостями и, соответственно, своевременными обновлениями. Очень часто такое ПО эксплуатируется злоумышленниками в рамках целевых атак.

Личные устройства сотрудников, используемые для подключения к корпоративным ресурсам, зачастую не защищены должным образом и могут быть использованы как точка входа для киберпреступников.

Корпоративная информация циркулирует без должного контроля, что чревато рисками утечки конфиденциальных данных.

При взаимодействии с контрагентами Shadow IT может использоваться как средство доставки вредоносного ПО.

Риски появления неучтенных активов могут возрастать и по причинам, которые не связаны с сотрудниками компании. Например, в ходе масштабирования бизнеса, поглощения одной компании другой.

Для технологичных компаний с большим количеством сервисов систематической проблемой можно назвать «бесхозные» тестовые серверы, которые могут быть напрямую связаны с основной инфраструктурой компании, либо хранить «боевые» данные.

Способы управления Shadow IT

Борьба с shadow IT, как и ИБ в целом – это многоуровневый процесс. Чем больше сотрудников и «зоопарк» устройств в компании – тем выше риски и больше мер необходимо принимать.

Прежде всего необходимо составить и донести до сотрудников правила, регламентирующие использование софта и устройств, как при удаленном доступе из дома, так и на рабочем месте.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Типичный кейс сегодня — это собственные средства доступа в сеть Интернет в обход политик организации. Сотрудники могут приносить с собой всевозможные 5G модемы и пользоваться рабочими компьютерами для доступа в Интернет на запрещенные сайты. Или даже ставить VPN-клиенты на свои компьютеры и через них подключаться к каким-либо ресурсам. Но тут довольно тонкая грань, потому что смартфоны — это тоже устройства для доступа в сеть Интернет, а вы вряд ли запретите приносить их на рабочее место.

Департаментам IT и ИБ важно вовремя узнавать о потребностях других отделов и находить удобные инструменты и решения. Это снизит риск попыток самостоятельных скачиваний и установок неблагонадежного ПО, заражения вирусами и утечки конфиденциальных данных.

Кирилл Лукьянов

Руководитель отдела контроля доступа и защиты данных iTPROTECT

В нашей практике есть много различных примеров Shadow IT. Один из наиболее распространенных кейсов — теневая передача данных, а именно, файлов, в том числе с использованием популярных облачных сервисов, которые не являются безопасными с точки зрения ИБ. Например, один из наших проектов заключался в переводе сотрудников на работу с системой безопасного обмена файлами с помощью специального решения, без использования популярного облака. Для этого мы не только внедрили продукт, но и выстроили политики доступа, и интегрировали его с другими системами, чего нельзя сделать при использовании обычного облачного сервиса.

Для решения вопроса контроля неучтенных активов в компании важно внедрить автоматизированные технологии для выявления всех используемых сотрудниками систем, а также использовать ПО для автоматизации и централизованного управления доступом класса IdM/IGA.

Руслан Ратуш

Эксперт по информационной безопасности STEP LOGIC

Необходимо использовать специализированные инструменты для управления активами и мониторинга сети, позволяющие выявлять аномалии и нестандартное ПО. Примеры могут включать классы СЗИ, такие, как CASB, SIEM, NAC, DLP, MDM/EMM, шифрование данных и др. Важно проводить регулярные аудиты и ревизии сервисов, а также сканирование на предмет неконтролируемых решений. Разработка политики BYOD, активное обучение сотрудников основам кибербезопасности и поощрение открытого диалога между сотрудниками и ИТ-отделом поможет минимизировать риски, связанные с Shadow IT.

Заключение

Shadow IT — серьезная угроза безопасности компании, которая требует комплексных мер. Небольшие организации могут обойтись выстроенными процессами инвентаризации своих технических активов и работой над уровнем кибергигиены своих сотрудников.

В случае с крупными компаниями не обойтись без использования специальных решений и внедрения развитых практик ИБ, например – концепции Zero Trust, и соответствующих программных решений.