Подписаться
Читать в телеграм
Что скрывается в тени?
Откуда в организациях берутся теневые ИТ? Если вы ознакомитесь с аналитическими публикациями последних лет, то скорее всего придете к выводу, что Shadow IT — обратная сторона технического прогресса и консьюмеризации ИТ. Бизнес-пользователи все меньше нуждаются в помощи ИТ-специалистов, чтобы повышать эффективность своей работы с помощью ИТ-инструментов. Зачем делать заявку в ИТ-отдел, если у тебя есть «умное устройство» и возможность скачать практически любое нужное приложение? Иногда (и в последние годы все чаще) бизнес-подразделения самостоятельно внедряют информационные технологии для собственных нужд — без привлечения и ведома ИТ-департамента. Или покупают облачные сервисы, благо выбор становится все шире. Для таких ИТ появился даже особый термин — BUIT (Business Unit IT). Еще пару лет назад консалтинговая группа CEB (недавно ставшая частью Gartner) подсчитала, что 40% всех корпоративных затрат на ИТ проходят мимо ИТ-департаментов.
Некоторые эксперты считают, что Shadow IT — это не так уж плохо. Если бизнес-пользователи заводят себе некие ИТ-инструменты, значит, они им нужны. Это инициатива снизу, которую нужно использовать. Сторонники так называемой бимодальной ИТ-модели утверждают, что два источника инвестиций в ИТ: со стороны ИТ-департамента и со стороны бизнес-под разделений, — это путь к скорейшей диджитализации бизнеса, столь актуальной в цифровую эпоху.
Но, на наш взгляд, эта идея сомнительна. Она ведет к децентрализации ИТ, разрастанию «ИТ-зоопарка» и лишним затратам. А главное, она ведет к утрате полноты контроля над ИТ, что чревато рисками безопасности. Тем более что Shadow IT — это далеко не всегда технологии на острие прогресса. Бывает и совсем наоборот: их наличие оказывается результатом консерватизма или просто привычек пользователей. Думаете, неучтенные макросы Excel или офисные пакеты, установленные самими пользователями, — это вчерашний день? Или базы данных, кустарно разработанные в параллель корпоративной учетной системе? Ничуть не бывало! А ведь это системы, которые создают потенциальные точки несанкционированного проникновения в корпоративную сеть. Не меньшая проблема — устаревшие системы, которые эксплуатируются бизнес-подразделениями без надзора ИТ/ИБ- департаментов.
Приведем несколько примеров из нашей практики.
Выполняя пентесты в одном из банков, мы убедились в прекрасной защищенности периметра — ИТ- департамент об этом позаботился. Однако из его поля зрения выпала система call-центра, которая много лет эксплуатировалась соответствующим бизнес-подразделением. Она не обновлялась и, будучи подключенной как к Интернету, так и к корпоративной сети, представляла удобный вход для хакера.
Другой пример. Компания запустила спецпроект для клиентов и разработала для него специальную web-страницу. Проект завершился, про страницу все благополучно забыли. И она годами висела на безнадежно устаревшем сервере, создавая опять-таки дырку в корпоративной защите.
Но порой и внутри корпоративной сети дела обстоят не лучше. Довольно часто, выполняя ИБ-аудит у заказчиков, мы находим массу сервисов, которые были кем-то когда-то созданы, своевременно не учтены, а потом всеми забыты. Нередкое явление — виртуальные машины, о которых никто не может сказать, кто их создал и что на них находится: вроде, и не нужна никому, а «погасить» боязно — вдруг там что-то важное? Если компания с самого начала не вела учет изменений в ИТ-инфраструктуре, впоследствии распутать образовавшийся хаос будет крайне сложно. И можно утверждать: если такую компанию захотят взломать, ее со 100-процентной вероятностью взломают.
Учитывая сказанное, прогноз, который сделал Gartner на 2020 г., скорее всего, уже реализовался.
Тень, знай свое место!
Даже если учет в организации хорошо поставлен, Shadow IT в ней все равно будут. Теневые ИТ — это как теневая экономика: ее не победить, пока она кому-то выгодна. Что делать? Прежде всего признать, что проблема существует.
Далее — вопрос корпоративной политики. Отношение руководства к несанкционированным ИТ-средствам должно быть сформулировано, зафиксировано в документе и доведено до сведения всех сотрудников. Строгость в отношении нарушителей регламентов использования ИТ, конечно, нужна. Но и запрещать да искоренять все подряд — тоже не лучшее решение, поскольку это будет создавать неудобства собственным сотрудникам. Лучше задуматься, хорошо ли осведомлен ИТ-департамент о потребностях бизнес-пользователей. Чем теснее взаимодействие бизнеса и ИТ, чем гибче ИТ-политика, тем меньше искушений у бизнес-пользователей действовать в обход ИТ-отдела. И в любом случае необходимо выстраивать процессы управления ИТ-активами.
Если говорить о технических мерах, необходима регулярная инвентаризация ИТ-ресурсов с помощью специализированных средств. Если для этого использовать сканер безопасности, он не только позволит обнаружить все устройства в корпоративной сети, но и послужит дополнительной «мерой гигиены», т.е. найдет имеющиеся уязвимости. Традиционный сканер безопасности — средство, которое несложно установить и настроить на нужные периодичность сканирования и детализацию отчетов.
Инвентаризация — процедура достаточно трудоемкая и кропотливая, а интерпретировать результаты сканирования корпоративной сети иногда не так уж просто. Неудивительно, что аутсорсинг таких работ, уже ставший обычным делом на Западе, стремительно набирает популярность и в России.
Полностью исключить Shadow IT в организации, особенно крупной, едва ли возможно. Но взять их под контроль можно и нужно. Для этого нужно, повторимся, осознать факт их наличия, четко сформулировать отношение к теневым ИТ и вести контроль исполнения политики безопасности. А также постараться сделать так, чтобы процессы получения бизнес-пользователями нужных ИТ-сервисов не были слишком медленными или сложными.
