De-a lungul pandemiei, numeroase companii au prioritizat desfășurarea neîntreruptă a business-ului în detrimentul securității cibernetice: o perioadă marcată de eforturi sustinute pentru ducerea la bun sfârșit a taskurilor, sprijinirea unei migrări rapide la sistemul de muncă de acasă și găsirea de noi modalități de a ajunge la clienți. Prețul plătit: o slăbire a politicilor de securitate.
Traversăm acum o nouă etapă unde este prevalent sistemul de lucru de tip hibrid, care presupune un set complet nou de procese IT, lipsit de transparență, de care echipele de securitate IT sunt însă la fel de responsabile. Noua provocare lansată de aceste activități de lucru derulate „din umbră”, este aceea ca ele vin la pachet cu riscurile cibernetice mult mai mari.
Fără un control în timp real, activitatea derulată de angajați în afara reglementărilor departamentul IT ar putea să devină o amenințare majoră pentru organizație.
Ce este „shadow IT”?
Fenomenul nu e deloc nou. El se referă, în linii mari, la aplicațiile, software-urile sau echipamentele hardware folosite de angajați fără acordul și controlul departamentului IT. De cele mai multe ori este vorba de tehnologii nevalidate de departamentul IT, unele din ele chiar tehnologii de larg consum, nesigure pentru mediul business:
- Stocarea de fișiere, dar una de tip consumer-grade – preferată deseori pentru rapiditatea colaborării
- Diverse instrumentele de management de proiect și de productivitate alese arbitrar și neaprobate de echipele IT
- Date transmise prin diferite platforme de mesagerie și comunicare consumer, preferate pentru că sunt la îndemâna tuturor
- Chiar și unele activități în sisteme cloud, Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), atunci când implică date business neautorizate pentru acest tip de expunere
Care sunt cauzele care fac ca acest fenomen să aibă loc?
Apariția shadow IT e favorizată de reticența angajaților față de instrumentele IT business, considerate greu de folosit și ineficiente, ce au fost puse la dispoziție în noul scenariu hibrid sau de lucru de acasă. Odată cu venirea pandemiei, multe organizații, forțate de situație, au permis folosirea de către personal a echipamentelor proprii în munca de acasă. Astfel, au deschis și posibilitatea pentru numeroase instalări de aplicații neautorizate.
Efectele shadow IT sunt amplificate și de faptul că nu toți angajați sunt familiarizați cu politica de securitate a companiei sau că managerii IT, înșiși, au fost forțați să suspende unele dintre politicile IT existente înainte de pandemie, pentru a „a mijloci tranziția către noul sistem de lucru”. Într-o cercetare recentă, 76% dintre echipele IT recunosc că, în timpul pandemiei, lista priorităților a suferit modificări, securitatea cibernetică ajungând pe locul doi, iar continuitatea pe primul loc. De asemenea, 91% dintre echipele IT chestionate confirmă că au fost impuse modificări în fluxurile de lucru care au favorizat o diminuare semnificativă a gradului de protecție.
Pandemia a încurajat o folosire mai intensă a practicilor shadow IT, pentru că echipele IT erau mai puțin vizibile fizic pentru angajați, stare de fapt care i-a făcut pe aceștia mai predispuși să nu se supună politicilor oficiale și a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente pe care aveau de gând să le folosească.
Conform datelor publicate într-un alt studiu recent, mai mult de jumătate dintre angajații care lucrează de la distanță, la nivel global, folosesc o aplicație ce nu este destinată pentru uzul pe un echipament business. În plus, 66% dintre cei intervievați au recunoscut că au încărcat date aparținând companiei în astfel de aplicații sau platforme neautorizate și aproape o treime speră că această stare de fapt va rămâne nedetectată. Au recurs la astfel de practici pentru că au găsit nepotrivite soluțiile propuse anterior de departamentul IT.
Amploarea problemei
Folosirea echipamentelor personale într-un scenariu BYOD (bring your own device) poate explica parțial riscurile aduse de shadow IT. O altă amenințare importantă, deseori trecută cu vederea, vine din partea anumitor unități business specifice, care găzduiesc resurse în cloud-ul corporativ de tip IaaS sau PaaS. Vulnerabilitatea provine din faptul că mulți utilizatori nu dau atenție modelului de responsabilitate comună în cloud și presupun că furnizorul de servicii cloud (CSP) este direct și unic răspunzător de securitate. De fapt, securizarea aplicațiilor și a datelor revine în egală măsură și organizației client, pentru majoritatea proceselor de lucru care au loc acolo.
Natura fenomenului face ca înțelegerea dimensiunii reale a problemei să fie și mai dificilă. 64% dintre angajații din SUA și-au creat cel puțin un cont online fără a înștiința departamentul IT, arată un studiu din 2019. Alte date indică că folosirea unor instrumente neaprobate de departamentul tehnic era deja o practică comună în rândul angajaților care lucrau remote de dinainte de pandemie (65%), în vreme ce 40% dintre angajații actuali folosesc soluții de comunicare și colaborare „în umbră”. Același studiu arată că vârsta are un cuvânt de spus în tendința de folosire a practicilor shadow IT: generația Millennials e mai predispusă (54%) să apeleze la astfel de practici, pe când Baby Boomers înregistrează un procent de doar 15%.
În ce fel este “shadow IT” o amenințare?
Riscul potențial pe care shadow IT-ul îl poate aduce organizației există și nu poate fi contestat. Putem lua ca exemplu o situație de la începutul acestui an, în care o companie de identificare a contactelor din SUA a expus accidental detaliile a 70.000 de persoane. Cum a avut loc acest incident? Personalul a folosit un „canal de colaborare neautorizat”, partajând informații prin conturi Google.
Iată o scurtă prezentare a riscului potențial al shadow IT-ului pentru organizații:
- Este plasat în afara controlului IT – utilizatorii și datele companiei sunt expuse la atacuri dacă software-ul neautorizat nu are patch-uri aplicate sau este configurat greșit (de exemplu, cu parole slabe)
- Nu sunt utilizate deseori soluții anti-malware adecvate, de tip business sau alte soluții de securitate care să protejeze activele sau rețelele de tip shadow IT
- Nu pot fi controlate scurgerile de date sau partajarea accidentală sau neautorizată a datelor
- Provocări mari legate de conformitate cu regulile de confidențialitate și audit a datelor
- Riscul unor pierderi de date, întrucât procesele de backup nu sunt extinse și la aplicațiile și datele shadow IT
- Daune financiare și de reputație cauzate de o breșă de securitate a datelor cu caracter personal și nu numai
Cum trebuie abordat shadow IT
Departamentele IT trebuie să conștientizeze răspândirea fenomenului și să nu subestimeze riscurile aduse. Următoarele măsuri, adresate lor, pot atenua riscurile aduse de shadow IT:
- Elaborați o politică complexă pentru combaterea practicilor descrise – realizați o listă de componente software și hardware aprobate și neaprobate și implementați o procedură comunicată clar, obligatorie în procesul de obținere a unei aprobări de utilizare
- Folosiți-vă de feedback-ul de la angajați, referitor la programele care funcționează pentru ei, pentru a adapta politicile legate de instrumentele folosite. Poate fi momentul oportun pentru aducerea la zi a politicilor în această noua eră de lucru în sistem hibrid, în care este important un echilibru cât mai bun între securitatea și confortul muncii de acasă
- Încurajați transparența în rândul angajaților, instruindu-i cu privire la impactul potențial al acestui fenomen, promovând pe un dialog sincer în ambele sensuri
- Folosiți instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activități riscante și luați măsurile adecvate
Shadow IT are efecte la nivel corporativ, prin extinderea suprafeței de atac a companiei și sporirea riscurilor cibernetice. Dimensiunea acestui fenomen a ajuns la amploarea din prezent pentru că politicile și instrumentele actuale sunt deseori considerate excesiv de restrictive. O soluție ar fi o adaptare a culturii departamentelor IT pentru a se apropia cât mai mult de forța de lucru din organizații. Și evident integrarea unor soluții software puternice de securizare a infrastructurii business.
ESET, un lider global pe piața de soluții de securitate cibernetică, cu peste 30 de ani de experiență și inovație, oferă o gama completă de soluții antivirus și antimalware, cu protecție multi-strat integrată, care pot depista din timp cele mai complexe atacuri, inclusiv cele de tip ransomware, evitând astfel daunele severe care se pot înregistra la nivelul resurselor și reputației companiei.
Pachetele sale de soluții oferă securitate IT integrată pe mai multe niveluri și au capacitatea de a identifica și bloca toate tipurile de amenințări, oferind permanent o privire și control centralizat asupra stării de securitate a infrastructurii business, inclusiv a uneia adaptate pentru un stil de lucru hibrid, datorită unei console cloud care controlează securitatea centralizat și la care toate stațiile de lucru raportează sau de a care primesc noi politici de securitatate.
ESET PROTECT Advanced este unul dintre pachetele predefinite complex de soluții antivirus si anti-malware destinat companiilor care oferă, prin layer-ul ESET Dynamic Threat Defense, protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day) dar și protecție dedicată a datelor la acces neautorizat în caz de furt sau pierdere echipamente (prin criptarea completă a hard disk-urilor – pentru datele stocate pe laptopuri). Produsul face față cu succes provocării de a proteja și gestiona rețelele IT business în cazul amenințărilor cibernetice tot mai dinamice.
Toate soluțiile business ESET se pot fi testate gratuit, de către orice companie, fără obligații ulterioare. Puteți găsi mai multe detalii și puteți descărca o variantă de test aici.
