Коллеги, хотим поделиться с вами публикацией члена АРСИБ Андрея Прозорова, руководителя экспертного направления в Solar Security — о том, что такое Shadow IT и как снизить риски, с ним связанные. Оригинал статьи был опубликован в личном блоге автора.

Недавно я публиковал заметку про базовые принципы подхода People-Centric Security, в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.

Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже «вызовом» для ИБ, становится Shadow IT.

Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?

Ладно, попробую «разложить все по полочкам» в этой заметке.

Что такое «Shadow IT»?

Кстати, иногда еще встречается термин «Stealth IT».

Gartner дает такое определение:

«Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations».

Мне больше нравится вот такой вариант:

«Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ей».

Это, например, персональные облачные хранилища («я дома хочу поработать»), и скаченное ПО («я к этой программе привык, много лет ее использую»), и личный ноутбук («он легче и батарея дольше держит заряд»), и персональная почта («через рабочую не могу отправить файлы большого размера»), и личная WiFi-точка доступа («у меня Интернет быстрее»), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: «сроки горят, надо делать проект», «давно просил ИТ, но они до сих пор не сделали», «так эффективнее», «это надо для работы»…

Насколько тема актуальна?

В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!
Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:

·                 Skyhigh: 72% организаций не понимают область охвата Shadow IT, но осознают проблему.

·                 Cisco: Только 8% организаций понимают область охвата Shadow IT у себя.

·                 Forbes: 71% сотрудников используют несанкционированное ПО.

·                 Cisco: 80% сотрудников используют несанкционированное ПО.

·                 Skyhigh: В среднем сотрудники использует 30 облачных сервисов.

·                 Cisco: В среднем организации используют 91 облачный сервис.

·                 ITP.net: В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.

·                 Cisco (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.

·                 2016 BYOD and Mobile Security: В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.

И, пожалуй, самое важное:

·                 Gartner: к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.

Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку «доступно всем»), можно случайно принести вредоносное ПО и многое другое...

Как с этим жить?

Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.

Как мы видим, Shadow IT многообразно, поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.

1. Надо понять и принять проблему. Постараться оценить «масштаб бедствия» у себя.

2. Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов…

3. Необходимо определить и документировать Политику допустимого использования и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ.

4. Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление «теней». Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие… Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами («quick wins»).

5. Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь («что хорошо, что плохо»).

Битва с Shadow IT не проста и может длиться очень долго! Но ее точно стоит начать! Успехов!