Тіньові IT: визначення, ризики та способи боротьби

Автор: Талабуєв Я.

У Gartner підрахували, що понад 40% співробітників користуються технологіями, до яких IT-відділи не мають стосунку, а вже до 2027 року їхня частка зросте до вражаючих 75%. Йдеться про так звані тіньові IT (Shadow IT), з якими стикаються до 57% компаній СМБ-сегмента. Що лежить в основі цього явища, які ризики воно несе і чи можна їх знизити — наша стаття.

• Що таке тіньові IT і чим вони небезпечні
• Приклади тіньових IT і причини їхнього поширення
• Ризики тіньових IT та можливості, які вони відкривають
• Як створити безпечне IT-середовище в компанії

Що таке тіньові IT і чим вони небезпечні

Тіньові IT — це використання співробітниками інформаційних технологій, цифрових пристроїв, програмного забезпечення та IT-послуг без схвалення з боку IT-підрозділу компанії. Часто Shadow IT згадують у негативному контексті, але це не завжди так: співробітники часто встановлюють стороннє ПЗ або купують сервіси за підпискою в прагненні якісніше або з меншими витратами ресурсів виконувати свою роботу. Водночас 76% малого та середнього бізнесу впевнені, що тіньові IT загрожують їхній безпеці.

Масштаби поширення цього явища вражають: майже третина співробітників мають доступ до SaaS-додатків, якими вони користувалися у попереднього роботодавця, а 65% відсотків таких сервісів впроваджуються без схвалення з боку компанії. При цьому 55% компаній минулого року зіткнулися з інцидентами безпеки, пов’язаними саме з SaaS-застосунками.

За останні кілька років ситуація з тіньовими IT ускладнилася завдяки ChatGPT та іншим масовим ШІ-інструментам: більш ніж половина тих, хто використовує їх з робочою метою, не інформують про це своїх керівників за даними Microsoft.

Приклади тіньових IT і причини їхнього поширення

Найчастіше під визначення тіньових IT потрапляють всілякі SaaS-застосунки (Google Docs, Dropbox, Slack) та інші хмарні сервіси, а також популярні ШІ-інструменти на кшталт того ж ChatGPT. Якщо розглядати це явище більш детально, то можна виокремити такі групи інформаційних систем, які співробітники використовують без узгодження з керівництвом:

• платформи для текстового та відеоспілкування (Zoom, WhatsApp, Telegram, Google Meet);
• сервіси для зберігання та обміну даними (Google Disk, Box, Mega, OneDrive);
• сервіси планування та підвищення продуктивності (Trello, Asana, Miro);
• редактори документів (Google Docs, Microsoft Office 365);
• безкоштовні менеджери паролів (KeePass, Keeper, Dashline);
• сервіси проведення опитувань і збору зворотного зв’язку (Google Forms, Typeform);
• VPN-сервіси (ExpressVPN, CyberHost, HydeMe);
• платформи для навчання (Coursera, Udemy).

Співробітники самостійно обирають ІТ-інструменти, бо ті, що схвалені IT-відділом, незручні, повільно працюють, не відповідають вимогам до функціональності, не мають необхідних налаштувань. Деколи інструменти, які потрібні для ефективної роботи, просто відсутні. При цьому більшість фахівців не усвідомлює ризики використання несанкціонованих інформаційних систем і не бачить у них загрози для компанії.

Ризики тіньових IT та можливості, які вони відкривають

Головними причинами поширення Shadow IT називають цифрову трансформацію, яка охопила всі сфери бізнесу, зростання кількості хмарних сервісів і перехід на віддалений або гібридний формат роботи. Крім того, IT-відділи повільно реагують на мінливі потреби співробітників і не завжди можуть своєчасно надати їм необхідні інструменти. У результаті працівники віддають перевагу ефективності роботи, а не безпеці.

Які негативні наслідки це може мати?

• поширення шкідливого ПЗ, яке ускладнює ситуацію з кібербезпекою загалом;
• збільшення кількості вразливостей, які залишаться непоміченими для IT-відділу;
• втрата і крадіжка даних (зокрема через те, що для них не були зроблені резервні копії або адміністратор зберігав паролі доступу неналежним чином — наприклад, у Google Таблицях);
• неможливість централізовано керувати всіма аспектами безпеки на підприємстві;
• збільшення частки необґрунтованих бізнес-рішень, оскільки їх ухвалюють на основі результатів, які надають різні інструменти;
• проблеми з невідповідністю галузевим нормативним вимогам, які можуть призвести до штрафів та інших непередбачених витрат.

Тіньові IT часто використовують для зниження витрат, однак це працює не завжди, і під час масштабування деяких таких систем чи сервісів на всю компанію може виникнути зворотний ефект. Наприклад, хмарний сервіс зберігання даних буде безкоштовним для приватних користувачів, проте вартість корпоративної ліцензії може виявитися занадто високою.

Водночас в історії з Shadow IT є й позитивні моменти. Наприклад, тіньові системи:

• підвищують зручність і продуктивність співробітників, що може мати виражений економічний ефект для всієї компанії;
• знижують витрати на IT завдяки використанню безкоштовних загальнодоступних інструментів;
• стимулюють впровадження інновацій на корпоративному рівні.

Як створити безпечне IT-середовище в компанії

За прогнозами експертів, до 2026 року до 10% компаній приймуть модель нульової довіри — вона передбачає, що всі цифрові пристрої, технології та системи як усередині, так і за межами організації, за замовчуванням є не довіреними (або не авторизованими). Однак це один із безлічі компонентів у системі безпечної та централізовано керованої IT-системи.

Інші кроки зі скорочення кількості Shadow IT включають:

• постійний моніторинг, який дасть змогу оперативно виявляти тіньові IT (пристрої, системи та додатки) в організації;
• розробка і впровадження політики «відкритих дверей» у сфері IT, яка передбачає відкритість керівництва до нових ідей, порад і проєктів;
• просвітницька робота в командах (співробітники повинні усвідомлювати всі можливі ризики);
• постійне навчання співробітників безпечним методам роботи, узгоджених з галузевими нормативами та корпоративними вимогами;
• створення продуктивних і зручних користувацьких середовищ, забезпечення їм простого доступу до необхідних ресурсів та інструментів для ефективної роботи;
• оптимізація роботи з обліковими записами за допомогою єдиного входу (SSO).

Експерт Colobridge:

«Ми усвідомлюємо проблему тіньових IT і пропонуємо нашим корпоративним клієнтам хмарні рішення, які можуть стати одним з інструментів для боротьби з ними. Водночас ми розуміємо, що це комплексне завдання, розв’язання якого вимагає не тільки технічних заходів, а й серйозних змін у корпоративній культурі та бізнес-процесах. Свою роль ми вбачаємо в тому, щоб надавати актуальні хмарні рішення і всю необхідну експертизу (IT-консалтинг для бізнесу, адміністрування, допомога в міграції)».

Дізнайтеся більше про те, як хмарні та інфраструктурні рішення Colobridge допоможуть створити безпечне, продуктивне середовище для виконання ваших ІТ-навантажень і як підвищити безпеку даних у компанії.