Így kezelhetjük az árnyékinformatika biztonsági kockázatait

A táv- és hibrid munka korszakában egyre égetőbb problémává válik, ha az alkalmazottak nem engedélyezett hardvereket és szoftvereket használnak.

A hibrid munkavégzés terjedése új kihívás elé állítja az IT csapatokat: az alkalmazottak által használt olyan szoftverek és eszközök, melyek az IT csapat ellenőrzési körén kívül esnek, komoly fenyegetést jelenthetnek a szervezetre nézve. Az ESET kiberbiztonsági szakértői szerint a kérdés az, hogy mit tehetünk ellene, amikor még azt is nehéz felmérni, milyen mértékű a probléma.

Mi is az árnyékinformatika?Az árnyékinformatika – más néven shadow IT - a gyűjtőneve minden olyan alkalmazásnak, hardvernek és informatikai megoldásnak, amelyet az alkalmazottak az IT csapat jóváhagyása és ellenőrzése nélkül használnak. Ezek lehetnek vállalati szintű megoldások is, ám a leggyakrabban magánfelhasználásra szánt technológiákról van szó, amelyek komoly veszélynek tehetik ki a szervezetet:

• Magánfelhasználói szintű fájltároló, illetve megosztó, amelyet a dolgozók a hatékonyabb együttműködés érdekében használnak.
• Produktivitás- és projektmenedzsment-eszközök, amelyek szintén támogathatják az együttműködést és a napi feladatok elvégzését.
• Üzenetküldő és e-mail alkalmazások a munkahelyi és magán kommunikációhoz.
• Felhőalapú IaaS (Infrastructure as a Service) és PaaS (Platform as a Service) rendszerek, amelyek nem engedélyezett erőforrások tárolására is használhatók.

Mi az oka a shadow IT jelenségnek?

Az ESET szakértői szerint az árnyékinformatika létrejötte mögött általában az áll, hogy az alkalmazottak megkerülik a szerintük nem eléggé hatékony vállalati IT-eszközöket, amelyekről úgy gondolják, hogy gátolják produktivitásukat. A világjárvány hatására sok szervezet kénytelen volt engedélyezni, hogy a dolgozók a személyes eszközeiket használják az otthoni munkavégzéshez, ez pedig egyúttal megnyitotta az utat a nem engedélyezett alkalmazások letöltése előtt is.

Súlyosbító tényező, hogy sok alkalmazott nem ismeri a vállalati biztonsági szabályzatot vagy éppen az IT csapatok vezetői maguk voltak kénytelenek felfüggeszteni a szabályokat a home office átállás során. Egy nemrégiben készült kutatásban a megkérdezett IT csapatok 76 százaléka elismerte, hogy a pandémia idején a biztonság háttérbe szorult az üzletmenet folytonosságának javára, míg 91 százalékuk szerint nyomás nehezedett rájuk, hogy csökkentsék a kiberbiztonság színvonalát.

A home office emellett megnehezíti az új eszközök jóváhagyását, és hajlamosabbá teheti a dolgozókat a biztonsági szabályok figyelmen kívül hagyására. Egy 2020-as globális tanulmány szerint az otthonról dolgozók több mint fele (56%) használ nem munkahelyi alkalmazást a vállalati eszközén, és 66 százalékuk töltött fel erre vállalati adatokat. Közel egyharmaduk (29 százalék) válaszolta, hogy úgy érzi, „megúszhatja” a nem munkahelyi alkalmazás használatát, mert nem találja hatékonynak az IT által támogatott hivatalos megoldásokat.

A probléma mértéke

A saját eszközök mellett annak is megvan a maga veszélye, hogy bizonyos vállalkozások ellenőrzés nélkül tárolnak erőforrásokat IaaS vagy PaaS vállalati felhőalapú szolgáltatásokon. Sokan félreértik a felhők megosztott felelősség modelljét, és azt feltételezik, hogy a szolgáltató (CSP) gondoskodik a biztonságról. Pedig valójában az alkalmazások és az adatok biztonságának megőrzése az ügyfélszervezet feladata – de amiről nem tud, azt nem képes megvédeni sem.

Egy 2019-es kutatás szerint az amerikai munkavállalók 64 százaléka létrehozott legalább egy olyan fiókot, amiről nem szólt az IT-nek. Egy másik felmérésből kiderült, hogy a távolról dolgozó alkalmazottak 65 százaléka használt olyan eszközöket a járványt megelőzően, amelyeket az IT nem hagyott jóvá. Ugyanez a tanulmány rámutat egy érdekes jelenségre, mégpedig arra, hogy az árnyékinformatika iránti hajlandóság az életkorral változik: az idősebb baby boomerek mindössze 15 százaléka él vele, szemben a fiatal ezredfordulós generáció 54 százalékával, akik ezt hajlamosak sokkal lazábban kezelni.

Miért veszélyes az árnyékinformatika?

A potenciális kockázatot jól példázza az az amerikai kontaktkutató vállalat esete, amely az év elején 70 ezer ember adatait hozhatta nyilvánosságra, miután az alkalmazottak jóváhagyás nélkül használtak Google-fiókokat az információk megosztására.

Íme, néhány példa az ESET kiberbiztonsági szakértőitől az árnyékinformatika veszélyeire:

• Az IT ellenőrzésének hiánya: így a szoftverek biztonsági frissítések nélkül vagy rosszul konfiguráltan (pl. gyenge jelszavakkal) működnek, ami támadásoknak teheti ki a felhasználókat és így a vállalati adatokat.
• Nincs vállalati vírusirtó vagy egyéb biztonsági megoldás az árnyékinformatikai eszközök vagy a vállalati hálózatok védelmére.
• Nem lehet ellenőrizni a véletlen vagy szándékos adatszivárgást/adatmegosztást.
• Problémák a megfeleléssel és auditálással.
• Adatvesztés veszélye: az árnyékinformatikai alkalmazások és adatok nem részei a vállalati biztonsági mentésnek.
• Pénzügyi és reputációs károk egy súlyos biztonsági incidens, például adatszivárgás miatt.

Hogyan kezeljük az árnyékinformatikát?

Az ESET szakértői szerint érdemes megfontolni a következő lépések megtételét:

Egy átfogó árnyékinformatikai szabályzat létrehozása, benne az engedélyezett és nem engedélyezett szoftverek és hardverek egyértelmű listájával, valamint az engedélykérés folyamatának leírásával. 

Az alkalmazottak ösztönzése az átláthatóságra, edukációval és őszinte, kétirányú párbeszéd kezdeményezésével értetve meg velük az árnyékinformatika lehetséges hatásait, kockázatait.

Az alkalmazottak visszajelzésének meghallgatása arra vonatkozóan, hogy mely eszközök hasznosak, illetve hatékonyak a számukra és melyek nem. Talán itt az ideje felülvizsgálni a szabályzatot a hibrid munkavégzés hozta új korszaknak megfelelően, hogy jobban egyensúlyba kerülhessen a biztonság és a kényelem.

Felügyeleti eszközök használata a vállalaton belüli árnyékinformatika-használat és a kockázatos tevékenységek nyomon követésére, hogy idejében fel lehessen ismerni a szabályszegőket. Az árnyékinformatika egyértelműen megnöveli a vállalat támadási felületét és komoly kiberbiztonsági kockázatot rejt magában. A probléma eredményes megoldásához az IT-nak szorosabb és hatékonyabb együttműködést kell kialakítania a munkavállalókkal.