Így kezelhetjük az árnyékinformatika biztonsági kockázatait

forrás: Prím Online, 2021. december 2. 16:59

A hibrid munkavégzés terjedése új kihívás elé állítja az IT csapatokat: az alkalmazottak által használt olyan szoftverek és eszközök, melyek az IT csapat ellenőrzési körén kívül esnek, komoly fenyegetést jelenthetnek a szervezetre nézve. Az ESET kiberbiztonsági szakértői szerint a kérdés az, hogy mit tehetünk ellene, amikor még azt is nehéz felmérni, milyen mértékű a probléma. 

 

Mi is az árnyékinformatika? 

Az árnyékinformatika – más néven shadow IT - a gyűjtőneve minden olyan alkalmazásnak, hardvernek és informatikai megoldásnak, amelyet az alkalmazottak az IT csapat jóváhagyása és ellenőrzése nélkül használnak. Ezek lehetnek vállalati szintű megoldások is, ám a leggyakrabban magánfelhasználásra szánt technológiákról van szó, amelyek komoly veszélynek tehetik ki a szervezetet:

•  Magánfelhasználói szintű fájltároló, illetve megosztó, amelyet a dolgozók a hatékonyabb együttműködés érdekében használnak.

•  Produktivitás- és projektmenedzsment-eszközök, amelyek szintén támogathatják az együttműködést és a napi feladatok elvégzését.

•  Üzenetküldő és e-mail alkalmazások a munkahelyi és magán kommunikációhoz.

•  Felhőalapú IaaS (Infrastructure as a Service) és PaaS (Platform as a Service) rendszerek, amelyek nem engedélyezett erőforrások tárolására is használhatók.

 

Mi az oka a shadow IT jelenségnek? 

Az ESET szakértői szerint az árnyékinformatika létrejötte mögött általában az áll, hogy az alkalmazottak megkerülik a szerintük nem eléggé hatékony vállalati IT-eszközöket, amelyekről úgy gondolják, hogy gátolják produktivitásukat. A világjárvány hatására sok szervezet kénytelen volt engedélyezni, hogy a dolgozók a személyes eszközeiket használják az otthoni munkavégzéshez, ez pedig egyúttal megnyitotta az utat a nem engedélyezett alkalmazások letöltése előtt is.

 

Súlyosbító tényező, hogy sok alkalmazott nem ismeri a vállalati biztonsági szabályzatot vagy éppen az IT csapatok vezetői maguk voltak kénytelenek felfüggeszteni a szabályokat a home office átállás során. Egy nemrégiben készült kutatásban a megkérdezett IT csapatok 76 százaléka elismerte, hogy a pandémia idején a biztonság háttérbe szorult az üzletmenet folytonosságának javára, míg 91 százalékuk szerint nyomás nehezedett rájuk, hogy csökkentsék a kiberbiztonság színvonalát. 

 

A home office emellett megnehezíti az új eszközök jóváhagyását, és hajlamosabbá teheti a dolgozókat a biztonsági szabályok figyelmen kívül hagyására. Egy 2020-as globális tanulmány szerint az otthonról dolgozók több mint fele (56%) használ nem munkahelyi alkalmazást a vállalati eszközén, és 66 százalékuk töltött fel erre vállalati adatokat. Közel egyharmaduk (29 százalék) válaszolta, hogy úgy érzi, „megúszhatja” a nem munkahelyi alkalmazás használatát, mert nem találja hatékonynak az IT által támogatott hivatalos megoldásokat. 

 

 

A probléma mértéke

A saját eszközök mellett annak is megvan a maga veszélye, hogy bizonyos vállalkozások ellenőrzés nélkül tárolnak erőforrásokat IaaS vagy PaaS vállalati felhőalapú szolgáltatásokon. Sokan félreértik a felhők megosztott felelősség modelljét, és azt feltételezik, hogy a szolgáltató (CSP) gondoskodik a biztonságról. Pedig valójában az alkalmazások és az adatok biztonságának megőrzése az ügyfélszervezet feladata – de amiről nem tud, azt nem képes megvédeni sem. 

 

Egy 2019-es kutatás szerint az amerikai munkavállalók 64 százaléka létrehozott legalább egy olyan fiókot, amiről nem szólt az IT-nek. Egy másik felmérésből kiderült, hogy a távolról dolgozó alkalmazottak 65 százaléka használt olyan eszközöket a járványt megelőzően, amelyeket az IT nem hagyott jóvá. Ugyanez a tanulmány rámutat egy érdekes jelenségre, mégpedig arra, hogy az árnyékinformatika iránti hajlandóság az életkorral változik: az idősebb baby boomerek mindössze 15 százaléka él vele, szemben a fiatal ezredfordulós generáció 54 százalékával, akik ezt hajlamosak sokkal lazábban kezelni.

 

Miért veszélyes az árnyékinformatika? 

A potenciális kockázatot jól példázza az az amerikai kontaktkutató vállalat esete, amely az év elején 70 ezer ember adatait hozhatta nyilvánosságra, miután az alkalmazottak jóváhagyás nélkül használtak Google-fiókokat az információk megosztására. 

 

Íme, néhány példa az ESET kiberbiztonsági szakértőitől az árnyékinformatika veszélyeire:

•  Az IT ellenőrzésének hiánya: így a szoftverek biztonsági frissítések nélkül vagy rosszul konfiguráltan (pl. gyenge jelszavakkal) működnek, ami támadásoknak teheti ki a felhasználókat és így a vállalati adatokat.

•  Nincs vállalati vírusirtó vagy egyéb biztonsági megoldás az árnyékinformatikai eszközök vagy a vállalati hálózatok védelmére.

•  Nem lehet ellenőrizni a véletlen vagy szándékos adatszivárgást/adatmegosztást.

•  Problémák a megfeleléssel és auditálással.

•  Adatvesztés veszélye: az árnyékinformatikai alkalmazások és adatok nem részei a vállalati biztonsági mentésnek.

•  Pénzügyi és reputációs károk egy súlyos biztonsági incidens, például adatszivárgás miatt.

 

Hogyan kezeljük az árnyékinformatikát?

Az ESET szakértői szerint érdemes megfontolni a következő lépések megtételét: 

•  Egy átfogó árnyékinformatikai szabályzat létrehozása, benne az engedélyezett és nem engedélyezett szoftverek és hardverek egyértelmű listájával, valamint az engedélykérés folyamatának leírásával.  

•  Az alkalmazottak ösztönzése az átláthatóságra, edukációval és őszinte, kétirányú párbeszéd kezdeményezésével értetve meg velük az árnyékinformatika lehetséges hatásait, kockázatait.

•  Az alkalmazottak visszajelzésének meghallgatása arra vonatkozóan, hogy mely eszközök hasznosak, illetve hatékonyak a számukra és melyek nem. Talán itt az ideje felülvizsgálni a szabályzatot a hibrid munkavégzés hozta új korszaknak megfelelően, hogy jobban egyensúlyba kerülhessen a biztonság és a kényelem. 

•  Felügyeleti eszközök használata a vállalaton belüli árnyékinformatika-használat és a kockázatos tevékenységek nyomon követésére, hogy idejében fel lehessen ismerni a szabályszegőket.  

 

Az árnyékinformatika egyértelműen megnöveli a vállalat támadási felületét és komoly kiberbiztonsági kockázatot rejt magában. A probléma eredményes megoldásához az IT-nak szorosabb és hatékonyabb együttműködést kell kialakítania a munkavállalókkal.