Shadow IT. Между цейтнотом и безопасностью
Shadow IT — это ПО и решения, не рекомендованные к использованию в рамках рабочей инфраструктуры, а также решения, устройства, которые не разрешаются к применению политикой компании по ИБ, ИТ или СБ, но используются сотрудниками в рамках бизнес-задач.
Я бы выделил следующие причины появления Shadow IT.
Иногда надо реализовать срочную задачу, и ИТ служба вынуждена пренебрегать правилами ради скорости. Например, компания подключает мониторинг инцидентов Zabbix, но ИТ-специалист допускает ошибки конфигурации, запускает мониторинг без использования SSL-сертификата, что понижает уровень безопасности сервера. В дальнейшем «костыль», конечно, надо убрать, но на практике руки не всегда до этого доходят.
Случается, нужно внедрить что-то сложное и ИТ может пойти долгим путем, а может пойти быстрым и простым, и это станет компромиссным решением. Например, используется скрипт power-shell вместо качественной работы сервиса. Я был свидетелем, когда установленный сервис ИБ требовал полноценного внедрения, но по факту работал благодаря самописному скрипту. В таком случае «костыль» стал компромиссным решением, хотя и небезопасным.
Иногда Shadow IT возникает из личных предпочтений кого-то из сотрудников или руководства: допустим, топ-менеджер предпочитает ПО или ОС определенной версии, которая обладает известными уязвимостями и, по сути, остается брешью в инфраструктуру компании. В таком случае ИТ службе приходится просто мириться с этим, а ИБ придумывать, как обезопасить инфраструктуру.
Часто руководствуются принципом «Пока работает — не трогай». Скажем, есть старый сервис электронной почты, базы знаний или СКУД, который не обновляется и действует исключительно на Windows Server 2000-х годов. Очевидно, что с точки зрения ИБ подобное не рекомендуется, но приходится мириться, потому что ни избавиться от сервиса, ни обновить его нельзя. В идеале нужно найти новый сервис, развернуть с нуля, перенастроить все под него, но это требует временных и финансовых затрат.
Почему компании не избавляются от Shadow IT?
Ответ на этот вопрос я бы описал фразой «Нет ничего более постоянного, чем что-то временное».
Сотруднику нужно реализовать задачу «здесь и сейчас» любым доступным способом, и он ищет «теневое» решение. Часто к этому приводит слишком сложный механизм оформления заявок для доступа или приобретения необходимого ПО, а также ограничения по бюджету. В любом случае, когда срочная задача выполнена, тому же сотруднику уже не до заявок: он продолжит пользоваться найденным способом.
Часто сам бизнес не хочет тормозить бизнес-процесс, в частности, терять прибыль ради обновления сервиса, который пока работает.
В некоторых ситуациях обновление в обозримом будущем просто невозможно. Я был свидетелем, когда многомиллионное производство работало на иностранном оборудовании. Компания ушла из России, и для того чтобы не останавливать производство, ИТ пришлось делать самописные «костыли». И принципиально эту ситуацию изменить никак нельзя. Даже если опустить уход зарубежных вендоров, АСУ ТП на многих предприятиях может послужить аналогичным примером.
Распространена ситуация, когда для ИТ-подразделения shadow IT не является приоритетной задачей: сервисы работают, ИТ отдел загружен, ИБ инциденты не происходят (но, как мы понимаем, это вопрос времени). У руководства не доходят руки до управления shadow IT, и зря: компания Entrust Datacard опросила ИТ-специалистов, и 77% респондентов ответили, что shadow IT может стать одной из главных угроз корпоративной кибербезопасности к 2025 году.
Ситуацию, когда каждый сотрудник своевременно обеспечен всеми необходимыми сервисами, соответствующими современным политикам ИБ, ИТ и СБ, я считаю утопией. Shadow IT — явление неизбежное, вопрос, как его контролировать, и об этом мы поговорим далее.
Стоит ли интегрировать Shadow IT?
Внедрять Shadow IT в инфраструктуру намеренно точно не рекомендуется, с точки зрения ИБ это неразумная практика. Здесь можно провести аналогию с технологическим долгом, который присутствует во многих компаниях, но это не значит, что его не нужно «выплачивать».
В идеале не создавать условия, при которых Shadow IT будет расширяться. Следует иметь политику компании по части сервисов, план-график внедрения новых сервисов, обновления предыдущих, а также держать руку на пульсе потребностей штатных сотрудников. Имея план, компания может избежать ситуации, когда один из сотрудников хочет пользоваться чем-либо, не включенным в установленный набор ПО или план. А своевременный сбор обратной связи позволяет наш план корректировать.
Как управлять Shadow IT, или ИБ- и ИТ-директор всему голова
В наше время у руля ИТ-инфраструктурой компании все же должен быть человек с глубокими знаниями в информационной безопасности, с хорошим пониманием объема киберугроз. Часто требуется кооперация ИТ, ИБ и службы безопасности. Грамотное руководство способно задать общий вектор (роадмап) избавления от теневых сервисов, «костылей», устройств и подобрать работающие способы.
Опыт администрирования в Simplity и работы с клиентскими инфраструктурами позволяет в качестве наиболее эффективных предложить следующие решения. Очень хорошо показывает себя строгое разделение ролей: например, младший админ должен быть ограничен в правах по внедрению сервисов из недостоверных источников в инфраструктуру.
Доступ в инфраструктуру должен быть грамотно настроен для сотрудников, работающих в соответствии с концепцией BYOD. Обязательно подключение второго фактора для удаленщиков, и строгая ролевая модель для пользователей в инфраструктуре, чтобы минимизировать доступы сотрудника сверх необходимых для рабочих задач.
Компании любого размера все же необходимо ввести правила обращения с чувствительными данными. К Shadow IT можно отнести и использование мессенджеров, облаков, файлообменников и многое другое. Например, если сотрудник работает с чувствительными данными, то их можно пересылать только через корпоративное облако, корпоративную почту или внутренний необлачный мессенджер (да, такое есть!). Если сотрудник нарушает это правило и, допустим, базы 1С пересылает по WhatsApp, следуют санкции. При этом условные макеты визиток можно и в мессенджере переслать. Вспомним, что каждая компания сама решает, что для нее чувствительно, а что нет.
Может быть обосновано ограничение открытия сервисов, скачивания файлов, проноса устройств, в том числе совместно со службой безопасности. Чем чувствительнее данные, тем строже должны быть правила, и это обоснованно. Я знаю компании, в которых сервисы google, «Яндекс», веб-версии мессенджеров в принципе не открываются с рабочих компьютеров, а также есть компании, куда нельзя заходить со своим компьютером или телефоном и пользоваться ими.
В ряде случаев стоит ввести контроль подключения жестких дисков и флешек, минуя контроль «в песочнице» или на тестовом компьютере, потому что они могут быть источником опасности.
Если вернуться к роадмапу, то временная интеграция Shadow IT в инфраструктуру все же может быть компромиссным решением. Имеющиеся «костыли» могут быть переходным решением, важно, чтобы было понимание.
Вместо вывода: немного о взаимопонимании пользователей с ИТ- и ИБ-службой
По опыту, конфликты на почве удобства пользователей и безопасности данных неизбежны: введение политики на сервере уже ставит пользователя перед фактом, что его удобство находится на втором месте после безопасности и задачи придется решать в рамках доступных сервисов.
Мы, как айтишники, должны помнить, что у пользователей всегда в приоритете стремление решить задачу, а не разбираться в тонкостях ИБ. И все же киберугрозы в 2025 году склоняют к определенному авторитаризму. Я убежден, что задача ИТ- и ИБ-отдела, а где-то и службы безопасности — политикой компании оградить сотрудника от ошибки. Должна быть создана и донесена документальная основа — политика, и сотрудники просто обязаны ее соблюдать.
Опубликовано 27.04.2025
