Тень, которая пугает. Что такое shadow IT и как они могут угрожать бизнесу

Расследование инцидента показало, что “криптоджекинг” оказался неумышленным. Один из админов просто тестировал приложение с прицелом на его покупку. Но почему-то скачал дистрибутив не с сайта производителя, а с торрентов, и получил в результате софт с сюрпризом.

Эта реальная история — канонический кейс того, как работают и чем опасны “теневые ИТ”, то есть софт и устройства, не разрешенные к применению в компании корпоративными политиками, но используемых сотрудниками для решения бизнес-задач. Судя по опросу ИТ-специалистов, проведенных компанией Entrust Datacard, shadow IT может стать одной из главных угроз корпоративной кибербезопасности к 2025 году. Об этом говорят 77% профессионалов отрасли.

Восстание “новаторов”

В нынешнюю эру победившего клауда shadow IT вообще появляются в компании даже проще, чем во времена господства систем on-premise. Неразрешенное ПО находится в буквальном смысле на расстоянии клика мышью. Неправильно считать, что источником “теневых ИТ” обязательно будут нечистые на руку сотрудники, чья цель — украсть информацию или саботировать работу организации. Как раз наоборот. Нерегламентированный софт, как и в примере, который мы привели выше, чаще появляется стараниями наиболее мотивированных сотрудников. Такие ”новаторы” знают, как двигаться к выдающимся бизнес-результатам, но считают, что существующий в компании набор ПО недостаточен и не способствует прогрессу.

Программные инструменты для совместной работы, облачные хранилища и приложения на все случаи жизни нередко являются способом такие препятствия успешно преодолеть. Способом, надо сказать, весьма распространенным — вероятно, в силу отсутствия у компаний понимания правильного реагирования на инциденты shadow IT. По данным Entrust Datacard, каждый третий ИТ-сотрудник заявляет, что в его организации никак не прописаны санкции в отношении работников от последствий применения ими “теневых ИТ”.

Именно поэтому маркетолог не задумывается, что загрузка таблицы с персональными данными клиентов в облако публичного провайдера может стать причиной их утечки. Дата-аналитик не забивает себе голову необходимостью удалить массив данных после успешной проверки гипотезы в Amazon Web Services. А генеральный директор может не заметить, как его восьмилетний сын устанавливает на папин смартфон желанную игру с вредоносным кодом из непонятного магазина приложений и тем самым открывает двери злоумышленникам, практически приглашая их в ИТ-периметр организации.

Провайдер не защитит

“Новаторы” возразят: любой облачный сервис — штука подчас более стабильная, чем корпоративное приложение. Это верно: Microsoft, Amazon, Google и другие провайдеры прикладывают много усилий к обеспечению безаварийной работы их SaaS, инфраструктуры и платформ. Но за сохранность клиентских данных они не отвечают. Более того, принимая пользовательское соглашение, вы автоматически подписываетесь под тем, что разделяете так называемую модель распределенной ответственности (shared responsibility model).

Этот подход в том или ином виде зафиксирована в документах каждого провайдера облачных услуг. Поэтому любой эпизод, связанный с последствиями утечки данных с публичного облачного сервиса, становится проблемой пользователя, а не поставщика услуги. И возвращает компании к необходимости самим контролировать своих пользователей и следить за контролем над соблюдением ими корпоративных политик.

Когда нельзя запретить

Очевидно, что пытаться запретить сотрудникам (особенно “новаторам” и особенно на удаленке) использовать приложения, не входящие в список “официального” ПО, принятого в компании так же невозможно, как невозможно остановить прогресс. Что в этом случае можно предпринять?

Компания Spin Technology, которая давно и продуктивно работает над проблемой shadow IT, предлагает как минимум “подсветить” теневой софт и устройства, чтобы взять обнаруженное под контроль, раскрыв над нерегламентированными приложениями “зонтик” платформы SpinOne. Она интегрируется с Google Workspace или Microsoft 365 — самыми популярными облачными пакетами для небольших и средних компаний.

Платформа следит, как и куда передаются данные, как осуществляется доступ, как с данными взаимодействуют сторонние приложения, и нет ли во всем этом признаков нарушений корпоративных норм кибербезопасности. Контроль над данными и приложениями возложен на SpinAudit. Это часть SpinOne, которая использует искусственный интеллект и неусыпно наблюдает за поведением учетных записей вашего облачного аккаунта, а при возникновении отклонений — сигнализирует о них.

Вот какие отклонения она “обучена” замечать:

• Утечка данных из разрешенного к использованию облачного хранилища за пределы рабочего пространства;

• “Атака посредника” (man-in-the-middle, или MITM), которая означает фактическое “прослушивание” корпоративной переписки или перехват файлов, которыми обмениваются сотрудники;

• Перенос данных в личную облачную учетную запись;

• Появление в обойме используемых сотрудниками сторонних приложений;

• Атака программ-вымогателей и предотвращение их распространения на всю организацию;

• Перехват учетной записи администратора;

• Попытки входа в систему методом подбора паролей (брутфорс);

• Эпизоды намеренного или случайного шеринга конфиденциальных данных с пользователями за пределами организации

В следующих постах мы углубимся в тему безопасного использования набора облачных сервисов и выясним, что для этого следует предпринять. Следите за обновлениями в блоге AggreGroup на Facebook, задавайте вопросы и заказывайте демонстрацию SpinOne через форму ниже.