Shadow IT или как стоит обращаться с теневыми ИТ, кейсы и примеры
Информационная безопасность Информационная безопасность

Вероятно, термин «Shadow IT» вам уже знаком, возможно даже, вам самим приходилось иметь дело с теневыми ИТ. Но все же поясним, о чем идет речь: под Shadow IT понимаются ИТ-устройства, ПО и сервисы, которые присутствуют в организации, но не обслуживаются ИТ-отделом.

Информационная безопасность Тема номера

Shadow IT: угроза из тени

Дата публикации:
01.09.2017
Посетителей:
1040
Просмотров:
930
Время просмотра:
2.3
Вероятно, термин «Shadow IT» вам уже знаком, возможно даже, вам самим приходилось иметь дело с теневыми ИТ. Но все же поясним, о чем идет речь: под Shadow IT понимаются ИТ-устройства, ПО и сервисы, которые присутствуют в организации, но не обслуживаются ИТ-отделом. Они не стоят на балансе ИТ-отдела, их состояние и работа не контролируются, более того, ИТ-департамент может вообще ничего о них не знать. Соответственно, политики и регламенты безопасности на них тоже не распространяются. И это серьезная угроза корпоративной безопасности. Согласно прогнозу Gartner, к 2020 году треть успешных атак на информационные ресурсы организаций будут выполняться через Shadow IT.

 

 

Что скрывается в тени?

 

Откуда в организациях берутся теневые ИТ? Если вы ознакомитесь с аналитическими публикациями последних лет, то скорее всего придете к выводу, что Shadow IT — обратная сторона технического прогресса и консьюмеризации ИТ. Бизнес-пользователи все меньше нуждаются в помощи ИТ-специалистов, чтобы повышать эффективность своей работы с помощью ИТ-инструментов. Зачем делать заявку в ИТ-отдел, если у тебя есть «умное устройство» и возможность скачать практически любое нужное приложение? Иногда (и в последние годы все чаще) бизнес-подразделения самостоятельно внедряют информационные технологии для собственных нужд — без привлечения и ведома ИТ-департамента. Или покупают облачные сервисы, благо выбор становится все шире. Для таких ИТ появился даже особый термин — BUIT (Business Unit IT). Еще пару лет назад консалтинговая группа CEB (недавно ставшая частью Gartner) подсчитала, что 40% всех корпоративных затрат на ИТ проходят мимо ИТ-департаментов.

Некоторые эксперты считают, что Shadow IT — это не так уж плохо. Если бизнес-пользователи заводят себе некие ИТ-инструменты, значит, они им нужны. Это инициатива снизу, которую нужно использовать. Сторонники так называемой бимодальной ИТ-модели утверждают, что два источника инвестиций в ИТ: со стороны ИТ-департамента и со стороны бизнес-под разделений, — это путь к скорейшей диджитализации бизнеса, столь актуальной в цифровую эпоху.

 

Но, на наш взгляд, эта идея сомнительна. Она ведет к децентрализации ИТ, разрастанию «ИТ-зоопарка» и лишним затратам. А главное, она ведет к утрате полноты контроля над ИТ, что чревато рисками безопасности. Тем более что Shadow IT — это далеко не всегда технологии на острие прогресса. Бывает и совсем наоборот: их наличие оказывается результатом консерватизма или просто привычек пользователей. Думаете, неучтенные макросы Excel или офисные пакеты, установленные самими пользователями, — это вчерашний день? Или базы данных, кустарно разработанные в параллель корпоративной учетной системе? Ничуть не бывало! А ведь это системы, которые создают потенциальные точки несанкционированного проникновения в корпоративную сеть. Не меньшая проблема — устаревшие системы, которые эксплуатируются бизнес-подразделениями без надзора ИТ/ИБ- департаментов.

Приведем несколько примеров из нашей практики.

 

Выполняя пентесты в одном из банков, мы убедились в прекрасной защищенности периметра — ИТ- департамент об этом позаботился. Однако из его поля зрения выпала система call-центра, которая много лет эксплуатировалась соответствующим бизнес-подразделением. Она не обновлялась и, будучи подключенной как к Интернету, так и к корпоративной сети, представляла удобный вход для хакера.

 

Другой пример. Компания запустила спецпроект для клиентов и разработала для него специальную web-страницу. Проект завершился, про страницу все благополучно забыли. И она годами висела на безнадежно устаревшем сервере, создавая опять-таки дырку в корпоративной защите.

 

Но порой и внутри корпоративной сети дела обстоят не лучше. Довольно часто, выполняя ИБ-аудит у заказчиков, мы находим массу сервисов, которые были кем-то когда-то созданы, своевременно не учтены, а потом всеми забыты. Нередкое явление — виртуальные машины, о которых никто не может сказать, кто их создал и что на них находится: вроде, и не нужна никому, а «погасить» боязно — вдруг там что-то важное? Если компания с самого начала не вела учет изменений в ИТ-инфраструктуре, впоследствии распутать образовавшийся хаос будет крайне сложно. И можно утверждать: если такую компанию захотят взломать, ее со 100-процентной вероятностью взломают.

 

Учитывая сказанное, прогноз, который сделал Gartner на 2020 г., скорее всего, уже реализовался.

 

Тень, знай свое место!

 

Даже если учет в организации хорошо поставлен, Shadow IT в ней все равно будут. Теневые ИТ — это как теневая экономика: ее не победить, пока она кому-то выгодна. Что делать? Прежде всего признать, что проблема существует.

 

Далее — вопрос корпоративной политики. Отношение руководства к несанкционированным ИТ-средствам должно быть сформулировано, зафиксировано в документе и доведено до сведения всех сотрудников. Строгость в отношении нарушителей регламентов использования ИТ, конечно, нужна. Но и запрещать да искоренять все подряд — тоже не лучшее решение, поскольку это будет создавать неудобства собственным сотрудникам. Лучше задуматься, хорошо ли осведомлен ИТ-департамент о потребностях бизнес-пользователей. Чем теснее взаимодействие бизнеса и ИТ, чем гибче ИТ-политика, тем меньше искушений у бизнес-пользователей действовать в обход ИТ-отдела. И в любом случае необходимо выстраивать процессы управления ИТ-активами.

 

Если говорить о технических мерах, необходима регулярная инвентаризация ИТ-ресурсов с помощью специализированных средств. Если для этого использовать сканер безопасности, он не только позволит обнаружить все устройства в корпоративной сети, но и послужит дополнительной «мерой гигиены», т.е. найдет имеющиеся уязвимости. Традиционный сканер безопасности — средство, которое несложно установить и настроить на нужные периодичность сканирования и детализацию отчетов.

 

Инвентаризация — процедура достаточно трудоемкая и кропотливая, а интерпретировать результаты сканирования корпоративной сети иногда не так уж просто. Неудивительно, что аутсорсинг таких работ, уже ставший обычным делом на Западе, стремительно набирает популярность и в России.

 

Полностью исключить Shadow IT в организации, особенно крупной, едва ли возможно. Но взять их под контроль можно и нужно. Для этого нужно, повторимся, осознать факт их наличия, четко сформулировать отношение к теневым ИТ и вести контроль исполнения политики безопасности. А также постараться сделать так, чтобы процессы получения бизнес-пользователями нужных ИТ-сервисов не были слишком медленными или сложными.

Уведомления об обновлении тем – в вашей почте

Слепые пятна ИБ

О чем чаще всего забывает безопасник? Где искать Shadow IT? Что интересного есть выше L7 ISO/OSI?

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня