Podczas pandemii wiele organizacji priorytetowo traktuje ciągłość biznesową kosztem cyberbezpieczeństwa, zwłaszcza w pierwszej fazie lockdownu skupiając się na szybkim przechodzeniu w tryb pracy zdalnej i poszukiwaniu nowych sposobów docierania do klientów. Efektem zmian jest narastające zjawisko shadow IT, czyli wykorzystywania niezatwierdzonego przez pracodawcę czy dział bezpieczeństwa IT sprzętu i oprogramowania.
– To realny problem, z którym możemy zetknąć się praktycznie w każdej organizacji prywatnej czy publicznej. W nowej rzeczywistości pracy hybrydowej powstała dodatkowa przestrzeń dla rozwoju shadow IT a tym samym wzrosło ryzyko ataków nowymi kanałami – ostrzega ekspert ESET.
Sytuację pogarsza rozluźnianie polityki bezpieczeństwa IT. Według 76 procent zespołów IT uczestniczących w badaniu Hewlett Packard, w pandemicznej rzeczywistości bezpieczeństwo w ich organizacji straciło priorytet na rzecz ciągłości biznesowej, a 91 procent twierdzi, że odczuwa presję, by rozluźniać polityki bezpieczeństwa.
Czym jest shadow IT?
Zjawisko shadow IT istnieje od lat. Termin ten odnosi się do używanych przez pracowników bez zgody i kontroli działu IT lub pracodawcy aplikacji, oprogramowania lub podłączonego do firmowej sieci sprzętu. Najczęściej są to urządzenia i oprogramowanie dla użytkowników indywidualnych, które używane w środowisku firmowym mogą narazić organizację na dodatkowe ryzyko w obszarze cyberbezpieczeństwa.
– Zjawisko shadow IT zwykle pojawia się, gdy pracownicy mają dość nieefektywnych korporacyjnych narzędzi informatycznych, które ich zdaniem blokują produktywność lub proces pracy (tzw. workflow) jest zaburzony. Wraz z pandemią wiele organizacji zostało zmuszonych do umożliwienia pracownikom korzystania z urządzeń prywatnych do wykonywania pracy w domu. To otworzyło drzwi do pobierania i wykorzystywania niezatwierdzonych aplikacji na telefonach i komputerach – mówi Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa w ESET.
Pandemia wzmacnia zjawisko shadow IT także ponieważ zespoły IT – za sprawą zdalnego trybu pracy – mogą być w mniejszym stopniu dostępne dla pracowników i proces weryfikacji może trwać o wiele dłużej. Utrudnia to sprawdzanie nowych narzędzi przed ich użyciem w ramach firmowej sieci i może przyczyniać się do łamania obowiązującej polityki bezpieczeństwa.
– Chociaż rozpowszechniony w czasie pandemii trend „Bring your own device” (BYOD), czyli wykorzystywanie prywatnych urządzeń do celów służbowych, może częściowo wyjaśniać ryzyko związane z shadow IT, nie jest to pełen obraz problemu. Zagrożenie związane jest także z hostowaniem firmowych zasobów na prywatnych dyskach chmurowych, np. Dropbox itp. Problemem jest brak zrozumienia przez pracowników istoty problemu jakim jest przechowywanie na przykład firmowych dokumentów lub kontaktów w prywatnych serwisach. Zagrożeniem jest założenie, że dostawca usług dba o bezpieczeństwo zasobów na tym samym poziomie jak w organizacji, w której pracujemy. W rzeczywistości zabezpieczenie aplikacji i danych zależy od pracownika. A dział bezpieczeństwa IT nie może chronić zasobów shadow IT, gdy ich nie widzi – przestrzega Beniamin Szczepankiewicz z ESET.
Sytuację pogarsza rozluźnienie polityki bezpieczeństwa IT, która w czasach pandemii koronawirusa ma miejsce w wielu firmach. Choć 83 proc. przebadanych przez Hewlett Packard specjalistów z działów IT uważa pracę zdalną za tykającą bombę dla zagrożeń sieci, to jednocześnie 76 proc. przyznało, że podczas pandemii bezpieczeństwo straciło priorytet na rzecz ciągłości biznesowej, a 91 procent twierdzi, że odczuwa presję, by rozluźniać politykę bezpieczeństwa.
Dlaczego shadow IT jest groźne?
Nie ma wątpliwości, że zjawisko shadow IT stanowi zagrożenie dla organizacji. Potencjalne ryzyko może obejmować następujące aspekty:
- brak kontroli działu IT oznacza, że używane przez pracowników oprogramowanie może zostać źle skonfigurowane lub zabezpieczone zbyt słabymi hasłami, co wzmaga zagrożenie cyberatakami
- brak stosowania firmowych rozwiązań przeciw złośliwemu oprogramowaniu lub innych narzędzi zabezpieczających zasoby sieci korporacyjnych
- brak kontroli nad przypadkowymi lub celowymi przypadkami wycieku lub udostępniania danych
- narażenie na utratę danych spowodowane brakiem firmowych procedur tworzenia kopii zapasowych dla aplikacji i narzędzi shadow IT
- wyzwania w zakresie procedur compliance i audytu
- szkody finansowe i wizerunkowe dla organizacji wynikające z poważnych naruszeń polityki bezpieczeństwa i wycieków danych.
Jak przeciwdziałać negatywnym skutkom shadow IT?
Pierwszym krokiem jest świadomość skali zagrożeń wynikających dla organizacji za sprawą shadow IT. Zdaniem ekspertów ESET ograniczeniu potencjalnego ryzyka pomóc może również:
- wdrożenie kompleksowej polityki postępowania z shadow IT, która będzie między innymi zawierać listę zatwierdzonego i niezatwierdzonego w organizacji oprogramowania i sprzętu oraz jasno określony proces ubiegania się o zgodę na użycie rozwiązań spoza listy
- szkolenie pracowników z zakresu potencjalnego wpływu shadow IT na cyberbezpieczeństwo
- wsłuchiwanie się w opinie pracowników nt. skuteczności stosowanych w organizacji narzędzi oraz dostosowanie zasad, które zapewnią bezpieczeństwo i wygodę pracy
- korzystanie z narzędzi monitorujących wykorzystywanie shadow IT w organizacji – narzędzi oraz niebezpiecznego zachowania.