Когда мало контроля ИБ, то приходят тени... Тени ИТ

Когда мало контроля ИБ, то приходят тени... Тени ИТ
Недавно я публиковал заметку про базовые принципы подхода People-Centric Security , в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.

Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже "вызовом" для ИБ, становится  Shadow IT.

Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?

Ну, ладно, попробую "разложить все по полочкам" в этой заметке.


Что такое "Shadow IT"? 
Кстати, иногда еще встречается термин "Stealth IT".

Gartner дает такое определение:
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.
Мне больше нравится вот такой вариант:
Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ей
Это, например, персональные облачные хранилища ("я дома хочу поработать"), и скаченное ПО ("я к этой программе привык, много лет ее использую"), и личный ноутбук ("он легче и батарея дольше держит заряд"), и персональная почта ("через рабочую не могу отправить файлы большого размера"), и личная WiFi-точка доступа ("у меня Интернет быстрее"), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: "сроки горят, надо делать проект", "давно просил ИТ, но они до сих пор не сделали", "так эффективнее", "это надо для работы"...
Насколько тема актуальна?

В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!

Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:
  • Skyhigh : 72% организаций не понимают область охвата Shadow IT, но осознают проблему.
  • Cisco : Только 8% организаций понимают область охвата Shadow IT у себя.
  • Forbes : 71% сотрудников используют несанкционированное ПО.
  • Cisco : 80% сотрудников используют несанкционированное ПО.
  • Skyhigh : В среднем сотрудники использует 30 облачных сервисов.
  • Cisco : В среднем организации используют 91 облачный сервис.
  • ITP.net : В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.
  • Cisco  (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.
  • 2016 BYOD and Mobile Security : В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.
И, пожалуй, самое важное:
  • Gartner : к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.
Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку "доступно всем"), можно случайно принести вредоносное ПО, и много другое...

Как с этим жить? 

Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут ), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.
Как мы видим, Shadow IT многообразно поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.
  1. Надо понять и принять проблему. Постараться оценить "масштаб бедствия" у себя.
  2. Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов...
  3. Необходимо определить и документировать Политику допустимого использования (про этот документ писал тут ) и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ. 
  4. Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление "теней". Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие... Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами ("quick wins").
  5. Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь ("что хорошо, что плохо").

Битва с Shadow IT не проста и может длится очень долго! Но ее точно стоит начать! Успехов!

Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире