Когда мало контроля ИБ, то приходят тени… Тени ИТ

• Андрей Прозоров
• 17.08.2017
• Категории: Кибербезопасность, Эксперты
• Теги: Shadow IT, кибербезопасность

Недавно я публиковал заметку про базовые принципы подхода People-Centric Security, в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.

Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже «вызовом» для ИБ, становится Shadow IT.

Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?

Ну, ладно, попробую «разложить все по полочкам» в этой заметке.

Что такое «Shadow IT»?

Кстати, иногда еще встречается термин «Stealth IT».

Gartner дает такое определение:

Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.

Мне больше нравится вот такой вариант:

Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ей

Это, например, персональные облачные хранилища («я дома хочу поработать»), и скаченное ПО («я к этой программе привык, много лет ее использую»), и личный ноутбук («он легче и батарея дольше держит заряд»), и персональная почта («через рабочую не могу отправить файлы большого размера»), и личная WiFi-точка доступа («у меня Интернет быстрее»), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: «сроки горят, надо делать проект», «давно просил ИТ, но они до сих пор не сделали», «так эффективнее», «это надо для работы»…

Насколько тема актуальна?

В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!

Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:

• Skyhigh: 72% организаций не понимают область охвата Shadow IT, но осознают проблему.
• Cisco: Только 8% организаций понимают область охвата Shadow IT у себя.
• Forbes: 71% сотрудников используют несанкционированное ПО.
• Cisco: 80% сотрудников используют несанкционированное ПО.
• Skyhigh: В среднем сотрудники использует 30 облачных сервисов.
• Cisco: В среднем организации используют 91 облачный сервис.
• ITP.net: В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.
• Cisco (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.
• 2016 BYOD and Mobile Security: В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.

И, пожалуй, самое важное:

• Gartner: к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.

Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку «доступно всем»), можно случайно принести вредоносное ПО, и много другое…

Как с этим жить?

Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.

Как мы видим, Shadow IT многообразно поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.

1. Надо понять и принять проблему. Постараться оценить «масштаб бедствия» у себя.
2. Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов…
3. Необходимо определить и документировать Политику допустимого использования (про этот документ писал тут) и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ.
4. Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление «теней». Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие… Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами («quick wins»).
5. Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь («что хорошо, что плохо»).

Битва с Shadow IT не проста и может длится очень долго! Но ее точно стоит начать! Успехов!

Источник >>>

Об авторе: Андрей Прозоров, руководитель экспертного направления в Solar Security

Мнение автора, опубликованное в рубрике «Эксперты», может не совпадать с мнением редакции