Что такое теневые IT
Теневые IT — это любое программное обеспечение или ресурс, который используют сотрудники для работы с корпоративными данными без разрешения IT-отдела.
Например, компания одобрила для совместного использования Google Workspace, а работники обмениваются файлами через Microsoft 365. К примерам теневого IT также относятся проведение собраний с помощью запрещенной в компании платформы видеоконференцсвязи или создание неофициального группового чата без разрешения IT.
Теневые IT — это не вредоносные программы. Это именно несанкционированные ресурсы. Отдельные сотрудники могут применять теневые IT для своего удобства и продуктивности — они считают, что могут работать более эффективно, если используют свои персональные устройства и те программы, которые им нравятся, а не санкционированные IT-ресурсы компании.
Проблема теневых IT обострилась с распространением IT-технологий и удаленки. Появилось множество удобных сервисов для совместной работы, управления проектами, создания контента. Политика «Принесите свое собственное устройство» (BYOD) поощряет сотрудников использовать для выполнения рабочих задач свои ноутбуки и смартфоны. Но даже при наличии программы BYOD IT-отделы часто не имеют представления о программах и сервисах, которыми сотрудники пользуются на персональных устройствах.
По данным «Лаборатории Касперского», за два предыдущих года 77% компаний в мире столкнулись с киберинцидентами. В 11% случаев инциденты произошли из-за того, что сотрудники использовали запрещенные в компании цифровые инструменты.
Проблему осложняет еще и то, что редко в каких компаниях предусмотрена ответственность персонала за нарушения, связанные с использованием теневых ИТ.
Чем опасны теневые IT
В то время как сотрудники находят в теневых IT преимущества и не задумываются о последствиях, такие программы и приложения несут потенциальную угрозу безопасности компании.
Больше всего от теневых IT страдает IT-сфера — в 2022 и 2023 годах с ними были связаны 16% киберинцидентов. Кроме того, теневые IT затрагивают и другие отрасли: от них за прошедшие года пострадали 13% объектов критической инфраструктуры, транспортных и логистических компаний.
Основные проблемы, связанные с теневыми IT:
Потеря контроля над IT-инфраструктурой компании. Так как IT-отдел не знает о конкретных теневых IT-ресурсах, уязвимости в системе безопасности в них остаются без внимания. По отчету IBM Security Randori о состоянии управления поверхностью атак за 2022 год, в среднем у компании на 30% больше уязвимых ресурсов, чем выявляют системы безопасности.
Пользователи могут не понимать важности обновлений, настройки разрешений и других важных мер безопасности и нормативного контроля для этих активов, что еще влечет еще большую уязвимость компании. Как следствие — появляется вторая проблема.
Кража данных злоумышленниками или утечка данных. Конфиденциальные данные могут храниться на незащищенных устройствах и приложениях теневых IT, что подвергает компанию риску утечки информации.
Показательный пример, как теневые IT создали угрозу безопасности данных, — случай с Okta. Сотрудник пользовался личной учетной записью Google на рабочем устройстве. Из-за этого злоумышленники получили доступ к системе поддержки клиентов и перехватили файлы с токенами сеансов, которые можно было использовать для атак. Инцидент затронул 134 клиента Okta.
Нарушение требований регуляторов. В мире развиваются региональные законы и отраслевые стандарты, которые регулируют работу с персональными данными. Компании должны периодически проходить аудит, чтобы подтвердить соответствие этим требованиям. Если обнаружится, что организация передает персональные данные клиентов или сотрудников через ненадежные сервисы, ее могут оштрафовать.
Трата бюджета организации впустую. Для отдельного сотрудника использование стороннего инструмента — не проблема. Но для компании это пустая трата бюджета. Дело в том, что IT-отдел закупает лицензии для каждого участника рабочего процесса. Если этими инструментами не пользуются, то и смысла в таком вложении средств нет.
Как выявить теневые IT в организации
Теневые IT — это приложения, которые установлены на рабочих ноутбуках персонала, сторонние флешки, смартфоны, устаревшие программы, которые уже не обновляются и не поддерживаются. В таких программах со временем копятся уязвимости, через которые киберпреступники могут проникнуть в корпоративную систему.
Теневые IT не всегда бывают результатом действий сотрудника в одиночку: такие IT-приложения могут использовать и команды. Например, группа программистов внедряет новую интегрированную среду разработки, не посоветовавшись с IT-отделом, поскольку формальный процесс согласования, по их мнению, задерживает разработку и приводит к тому, что компания упускает рыночную возможность.
Сотрудники могут ошибочно полагать, что если у сторонних приложений надежный разработчик, то они безопасны. Но поставщики используют модель «разделенной ответственности»: при нажатии на кнопку «Я согласен» пользователь подтверждает, что будет обновлять программу и нести ответственность за инциденты, которые касаются ее использования.
Поэтому компаниям нужны инструменты, с помощью которых они могут контролировать теневые IT. Например, это Kaspersky Security для бизнеса, которое позволяют ограничить использование несанкционированных приложений, сайтов и устройств.
Кроме того, для обеспечения безопасности компании следует регулярно проводить сканирование внутренней сети. Это поможет обнаружить использование сотрудниками сторонних сервисов и программ.
Как минимизировать использование теневых IT
Рекомендации, которые помогут снизить риски, связанные с теневыми IT:
Обеспечьте взаимодействие между IT-подразделением и остальными отделами компании: собирайте обратную связь от сотрудников о корпоративном ПО и сервисах, чтобы вовремя внедрять новые инструменты и повышать качество тех, что уже используются.
Систематически проводите инвентаризацию IT-активов и проверку внутренней сети. Благодаря этому вы сможете своевременно выявить использование неразрешенного или устаревшего оборудования и ПО.
Предоставляйте сотрудникам, которые работают с личных устройств, только самые нужные инструменты и закрывайте доступ в необязательные для них сервисы.
Установите систему контроля, чтобы допускать в корпоративную сеть только авторизованные устройства.
Ограничьте доступ к сторонним сайтам и приложениям, в том числе к облачным сервисам, которые позволяют обмениваться данными.
Повышайте осведомленность персонала в области информационной безопасности.
Обучение удобно проводить на платформе Kaspersky Automated Security Awareness Platform. С помощью тренингов сотрудники научатся принимать взвешенные решения в сфере кибербезопасности и минимизировать риски социальной инженерии.
Повышайте квалификацию IT-специалистов. Один из способов сделать это — пройти онлайн-тренинги от «Лаборатории Касперского». Они охватывают такие темы, как цифровая криминалистика, анализ вредоносного ПО и реагирование на инциденты ИБ.
Применяйте защитные решения, которые помогают уменьшить риски использования теневых IT — например, Kaspersky Security для бизнеса.
Получите бесплатный чек-лист по киберзащите бизнеса на удаленке
Поможем избежать атак программ-вымогателей
Узнайте, как безопасно организовать работу в условиях удаленной работы
Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KHV1P
Начать дискуссию