Важную тему для безопансости информации в Мурманской области поднимает наш автор, эксперт по кибербезопансости Дмитрий Телушкин. Любая компания или сеть удаленных сотрудников может столкнуться с теневым IT, о чем важно знать не только руководителям компаний и начальникам отдела айтишников. Как обойти риски, расскажет серия статей эксперта.
Shadow IT (Теневое ИТ, Теневая инфраструктура) — это всё программное обеспечение, облачные сервисы, приложения и даже не легитимные устройства, которые сотрудники используют в рабочих целях без ведома и одобрения IT-отдела. Личный Max или Telegram для рабочей переписки. Яндекс.Диск для хранения отчётов или промежуточных вариантов корпоративных документов. AnyDesk, установленный «чтобы коллега помог с автоматизацией таблиц». Бесплатный VPN, потому что «тот сайт почему-то не открывается, а дома все с ним нормально».
Непосвященному кажется — ничего страшного, человек просто хочет работать удобнее. Но с точки зрения информационной безопасности каждый такой инструмент — это дверь во внутреннюю сеть компании, которую оставили без замка.
По различным оценкам, более 80% сотрудников компаний признают использование хотя бы одного несанкционированного инструмента в рабочих целях. При этом работодатели, как правило, даже не подозревают о реальном масштабе теневой инфраструктуры внутри своей сети.
Прежде чем бороться с теневой инфраструктурой, важно понять: откуда она берется.
Shadow IT — это в большинстве симптом неэффективности корпоративной ИТ-инфраструктуры. Что-то не работает, что-то неудобно, что-то нельзя получить без двухнедельного согласования. И человек берёт то, что есть под рукой.
Значительный вклад несут и бюрократические барьеры. Когда для установки любой программы требуется многоуровневое согласование, занимающее недели, сотрудники неизбежно ищут обходные пути. Задача горит, корпоративный инструмент недоступен — человек возьмёт то, что работает прямо сейчас.
Нередко привычные инструменты также могут стать причиной появления теневой инфраструктуры. Устаревшее ПО, неудобные интерфейсы, ограниченный функционал — всё это вынуждает людей искать альтернативы. Если корпоративный мессенджер работает нестабильно, а Max или Telegram — мгновенно и «даже с парковки», выбор очевиден. Формально — нарушение. Практически — единственный способ не сорвать дедлайн.
C ростом числа удаленных сотрудников большой вклад внесло и размытие границ между личным и рабочим. Сотрудники привыкли работать на личных устройствах с личными аккаунтами. Вернувшись в офис, они продолжают использовать привычные инструменты — просто, потому что так удобнее.
В отдельных ситуациях причина появления теневой инфраструктуры в неэффективности работы отдела ИТ или информационной безопасности с пользователями-сотрудниками. Например, сотрудники просто не знают или не понимают, что использование неавторизованного ПО нарушает внутренние регламенты и создаёт риски для компании. Никто не объяснял им, почему нельзя пользоваться личным Яндекс.Диск для хранения рабочих файлов.
Запретительные меры без устранения первопричин приведут лишь к появлению новых теневых инструментов — ещё более изощрённо скрывающихся от систем контроля. Это нужно понимать с самого начала.
Теневое IT существует во множестве форм. Условно их можно разделить на несколько категорий.
Облачные хранилища. Это наиболее распространённая категория. Сотрудники загружают рабочие документы в Google Drive, Dropbox, OneDrive или Яндекс Диск, чтобы получить к ним доступ с домашнего компьютера или передать коллеге. С точки зрения удобства — идеально. С точки зрения безопасности — корпоративные данные оказываются на серверах, не подконтрольных компании, без шифрования, без контроля доступа и без возможности отследить, кто и когда ими воспользовался.
Мессенджеры. Max, Telegram — сотрудники используют привычные личные мессенджеры для обсуждения рабочих вопросов. В таких переписках регулярно мелькают конфиденциальные данные: проекты, персональные данные клиентов, финансовые показатели, стратегические планы. Эти данные хранятся на серверах мессенджеров, в том числе иностранных, не проходят корпоративное архивирование и недоступны для проверки в случае инцидента.
Инструменты удалённого доступа. Remote Administrator, TeamViewer, AnyDesk и аналогичные программы, установленные без ведома IT-службы, потенциально открывают прямой туннель во внутреннюю сеть компании в обход всех периметровых средств защиты, в случае если на них нет функционала анализа приложений и их трафика, о чем поговорим позднее в рамках статьи. Злоумышленники активно эксплуатируют именно такие инструменты: одна из популярных схем атак — сначала начала создать какие-либо проблемы удаленному сотруднику, а затем позвонить якобы от лица техподдержки / сотрудника ИТ-отдела и попросить установить программу удаленного управления. Хост скомпрометирован, над ним имеется полный доступ, за счет наличия VPN подключения к сети компании — компрометируется и сеть без необходимости обхода периметровых средств защиты. Звучит банально — работает почти безотказно.
Средства обхода корпоративных ограничений. К данной категории относятся, например браузерные расширения-анонимайзеры, TOR-браузер, сторонние ПРОКСИ-клиенты — всё это позволяет сотруднику получать доступ к заблокированным ресурсам, полностью скрывая свою активность от корпоративных систем мониторинга. Особую опасность представляют бесплатные VPN-сервисы: многие из них перехватывают трафик и собирают данные пользователей.
Торренты и развлекательные сервисы. Торрент-клиенты, стриминговые платформы, игровые сервисы, социальные — помимо очевидного снижения производительности сети за счет больших объемов скачиваемых файлов, такие инструменты несут прямые технические угрозы. Исполняемые файлы, загруженные через торрент, потенциально содержат вредоносное ПО, а сами P2P-протоколы создают открытые соединения, которые могут быть использованы для проникновения в сеть.
ИИ-сервисы. Отдельная и всё более актуальная история — неавторизованные ИИ-инструменты. Сотрудники вставляют в ChatGPT, Gemini и другие публичные языковые модели корпоративные документы, клиентские данные, исходный код и финансовые отчёты, чтобы получить помощь с задачами. Введённые данные могут использоваться для обучения моделей или храниться на серверах — а это прямая утечка конфиденциальной информации.
Соответствует редакционной политике
