Когда мало контроля ИБ, то приходят тени... Тени ИТ

Когда мало контроля ИБ, то приходят тени... Тени ИТ
Недавно я публиковал заметку про базовые принципы подхода People-Centric Security , в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.

Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже "вызовом" для ИБ, становится  Shadow IT.

Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?

Ну, ладно, попробую "разложить все по полочкам" в этой заметке.


Что такое "Shadow IT"? 
Кстати, иногда еще встречается термин "Stealth IT".

Gartner дает такое определение:
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.
Мне больше нравится вот такой вариант:
Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ей
Это, например, персональные облачные хранилища ("я дома хочу поработать"), и скаченное ПО ("я к этой программе привык, много лет ее использую"), и личный ноутбук ("он легче и батарея дольше держит заряд"), и персональная почта ("через рабочую не могу отправить файлы большого размера"), и личная WiFi-точка доступа ("у меня Интернет быстрее"), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: "сроки горят, надо делать проект", "давно просил ИТ, но они до сих пор не сделали", "так эффективнее", "это надо для работы"...
Насколько тема актуальна?

В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!

Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:
  • Skyhigh : 72% организаций не понимают область охвата Shadow IT, но осознают проблему.
  • Cisco : Только 8% организаций понимают область охвата Shadow IT у себя.
  • Forbes : 71% сотрудников используют несанкционированное ПО.
  • Cisco : 80% сотрудников используют несанкционированное ПО.
  • Skyhigh : В среднем сотрудники использует 30 облачных сервисов.
  • Cisco : В среднем организации используют 91 облачный сервис.
  • ITP.net : В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.
  • Cisco  (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.
  • 2016 BYOD and Mobile Security : В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.
И, пожалуй, самое важное:
  • Gartner : к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.
Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку "доступно всем"), можно случайно принести вредоносное ПО, и много другое...

Как с этим жить? 

Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут ), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.
Как мы видим, Shadow IT многообразно поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.
  1. Надо понять и принять проблему. Постараться оценить "масштаб бедствия" у себя.
  2. Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов...
  3. Необходимо определить и документировать Политику допустимого использования (про этот документ писал тут ) и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ. 
  4. Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление "теней". Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие... Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами ("quick wins").
  5. Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь ("что хорошо, что плохо").

Битва с Shadow IT не проста и может длится очень долго! Но ее точно стоит начать! Успехов!

Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Andrey Prozorov

Информационная безопасность в России и мире