Теневые IT: определение, риски и способы борьбы

Автор: Талабуев Я.

В Gartner подсчитали, что более 40% сотрудников пользуются технологиями, к которым IT-отделы не имеют отношения, а уже к 2027 году их доля вырастет до впечатляющих 75%. Речь идет о так называемых теневых IT (Shadow IT), с которыми сталкиваются до 57% компаний СМБ-сегмента. Что лежит в основе этого явления, какие риски оно несет и можно ли их снизить — наша статья. 

• Что такое теневые IT и чем они опасны
• Примеры теневых IT и причины их распространения
• Риски теневых IT и возможности, которые они открывают
• Как создать безопасную IT-среду в компании

Что такое теневые IT и чем они опасны

Теневые IT — это использование сотрудниками информационных технологий, цифровых устройств, программного обеспечения и IT-услуг без одобрения со стороны IT-подразделения компании. Часто Shadow IT упоминают в негативном контексте, но это не всегда так: сотрудники часто устанавливают стороннее ПО или покупают сервисы по подписке в стремлении более качественно или с меньшими затратами ресурсов выполнять свою работу. В то же время 76% малого и среднего бизнеса уверены, что теневые IT угрожают их безопасности. 

Масштабы распространения этого явления впечатляют: почти треть сотрудников имеют доступ к SaaS-приложениям, которыми они пользовались у предыдущего работодателя,  а 65% процентов таких сервисов внедряются без одобрения со стороны компании. При этом 55% компаний в прошлом году столкнулись с инцидентами безопасности, связанными именно с SaaS-приложениями.

За последние пару лет ситуация с теневыми IT усложнилась благодаря ChatGPT и другим массовым ИИ-инструментам: чуть больше половины тех, кто использует их в рабочих целях, не информируют об этом своих руководителей по данным Microsoft. 

Примеры теневых IT и причины их распространения

Чаще всего под определение теневых IT попадают всевозможные SaaS-приложения (Google Docs, Dropbox, Slack) и другие облачные сервисы, а также популярные ИИ-инструменты вроде того же ChatGPT. Если рассматривать это явление более детально, то можно выделить такие группы информационных систем, которые сотрудники используют без согласования с руководством:

• платформы для текстового и видеообщения (Zoom, WhatsApp, Telegram, Google Meet);
• сервисы для хранения и обмена данными (Google Disk, Box, Mega, OneDrive);
• сервисы планирования и повышения производительности (Trello, Asana, Miro);
• редакторы документов (Google Docs, Microsoft Office 365);
• бесплатные менеджеры паролей (KeePass, Keeper, Dashline);
• сервисы проведения опросов и сбора обратной связи (Google Forms, Typeform);
• VPN-сервисы (ExpressVPN, CyberHost, HydeMe);
• платформы для обучения (Coursera, Udemy).

Сотрудники самостоятельно выбирают ИТ-инструменты, потому что одобренные IT-отделом неудобные, медленно работают, не отвечают требованиям к функциональности, не имеют необходимых настроек. Иногда инструменты, которые нужны для эффективной работы, просто отсутствуют. При этом большинство специалистов не осознают риски использования несанкционированных информационных систем и не видят в них угрозы для компании. 

Риски теневых IT и возможности, которые они открывают

Главными причинами распространения Shadow IT называют цифровую трансформацию, которая охватила все сферы бизнеса, рост количества облачных сервисов и переход на удаленный или гибридный формат работы. Кроме того, IT-отделы медленно реагируют на меняющиеся потребности сотрудников и не всегда могут своевременно предоставить им необходимые инструменты. В результате работники отдают предпочтение эффективности работы, а не безопасности.

Какие негативные последствия это может иметь?

• распространение вредоносного ПО, которое усложняет ситуацию с кибербезопасностью в целом;
• увеличение количества уязвимостей, которые останутся незамеченными для IT-отдела;
• потеря и кража данных (в том числе из-за того, что для них не были сделаны резервные копии или администратор хранил пароли доступа ненадлежащим образом — например, в Google Таблицах);
• невозможность централизовано управлять всеми аспектами безопасности на предприятии;
• увеличение доли необоснованных бизнес-решений, так как они принимаются на основе результатов, которые предоставляют разные инструментов;
• проблемы с несоответствием отраслевым нормативным требованиям, которые могут привести к штрафам и другим непредвиденным расходам.

Теневые IT часто используют для снижения затрат, однако это работает не всегда, и при масштабировании некоторых таких систем или сервисов на всю компании может возникнуть обратный эффект. Например, облачный сервис хранения данных будет бесплатным для частных пользователей, однако стоимость корпоративной лицензии может оказаться слишком высокой. 

В то же время в истории с Shadow IT есть и положительные моменты. Например, теневые системы:

• повышают удобство и продуктивность работы сотрудников, что может иметь выраженный экономический эффект для всей компании;
• снижают затраты на IT благодаря использованию бесплатных общедоступных инструментов;
• стимулируют внедрение инноваций на корпоративном уровне. 

Как создать безопасную IT-среду в компании

По прогнозам экспертов к 2026 году до 10% компаний примут модель нулевого доверия – она предполагает, что все цифровые устройства, технологии и системы как внутри, так и за пределами организации, по умолчанию являются не доверенными (или не авторизованными). Однако это один из множества компонентов в системе безопасной и централизованно управляемой IT-системы.

Другие шаги по сокращению количества Shadow IT включают:

• постоянный мониторинг, который позволит оперативно выявлять теневые IT (устройства, системы и приложения) в организации;
• разработка и внедрение политики «открытых дверей» в сфере IT, которая предполагает открытость руководства к новым идеям, советам и проектам;
• просветительская работа в командах (сотрудники должны осознавать все возможные риски);
• постоянное обучение сотрудников безопасным методам работы, согласованных с отраслевыми нормативами и корпоративными требованиями;
• создание продуктивных и удобных пользовательских сред, обеспечение им простого доступа к необходимым ресурсам и инструментам для эффективной работы;
• оптимизация работы с учетными записями с помощью единого входа (SSO).

Комментарий эксперта:

«Мы осознаем проблему теневых IT и предлагаем нашим корпоративным клиентам облачные решения, которые могут стать одним из инструментов для борьбы с ними. В то же время мы понимаем, что это комплексная задача, решение которой требует не только технических мероприятий, но и серьезных изменений в корпоративной культуре и бизнес-процессах. Свою роль мы видим в том, чтобы предоставлять актуальные облачные решения и всю необходимую экспертизу (IT-консалтинг для бизнеса, администрирование, помощь в миграции)».

Узнайте больше о том, как облачные и инфраструктурные решения Colobridge помогут создать безопасную, продуктивную среду для выполнения ваших IT-нагрузок и как повысить безопасность данных в компании.