Недавно я публиковал заметку про базовые принципы подхода People-Centric Security , в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.
Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже "вызовом" для ИБ, становится Shadow IT.
Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?
Ну, ладно, попробую "разложить все по полочкам" в этой заметке.
Что такое "Shadow IT"?
Кстати, иногда еще встречается термин "Stealth IT".
Gartner дает такое определение:
Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже "вызовом" для ИБ, становится Shadow IT.
Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?
Ну, ладно, попробую "разложить все по полочкам" в этой заметке.
Что такое "Shadow IT"?
Кстати, иногда еще встречается термин "Stealth IT".
Gartner дает такое определение:
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.Мне больше нравится вот такой вариант:
Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ейЭто, например, персональные облачные хранилища ("я дома хочу поработать"), и скаченное ПО ("я к этой программе привык, много лет ее использую"), и личный ноутбук ("он легче и батарея дольше держит заряд"), и персональная почта ("через рабочую не могу отправить файлы большого размера"), и личная WiFi-точка доступа ("у меня Интернет быстрее"), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: "сроки горят, надо делать проект", "давно просил ИТ, но они до сих пор не сделали", "так эффективнее", "это надо для работы"...
В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!
Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:
- Skyhigh : 72% организаций не понимают область охвата Shadow IT, но осознают проблему.
- Cisco : Только 8% организаций понимают область охвата Shadow IT у себя.
- Forbes : 71% сотрудников используют несанкционированное ПО.
- Cisco : 80% сотрудников используют несанкционированное ПО.
- Skyhigh : В среднем сотрудники использует 30 облачных сервисов.
- Cisco : В среднем организации используют 91 облачный сервис.
- ITP.net : В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.
- Cisco (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.
- 2016 BYOD and Mobile Security : В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.
И, пожалуй, самое важное:
- Gartner : к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.
Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку "доступно всем"), можно случайно принести вредоносное ПО, и много другое...
Как с этим жить?
Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут ), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.
Как мы видим, Shadow IT многообразно поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.
Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут ), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.
- Надо понять и принять проблему. Постараться оценить "масштаб бедствия" у себя.
- Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов...
- Необходимо определить и документировать Политику допустимого использования (про этот документ писал тут ) и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ.
- Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление "теней". Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие... Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами ("quick wins").
- Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь ("что хорошо, что плохо").
Битва с Shadow IT не проста и может длится очень долго! Но ее точно стоит начать! Успехов!
