Árnyékinformatika, más néven shadow IT a gyűjtőneve minden olyan alkalmazásnak, hardvernek és informatikai megoldásnak, amelyet a munkavállalók az informatikai csapat jóváhagyása és ellenőrzése nélkül használnak. Ezek lehetnek vállalati szintű megoldások is, ám a leggyakrabban magánfelhasználásra szánt technológiákról van szó, amelyek komoly veszélynek tehetik ki a szervezetet:
A kiberbiztonsági szakemberek szerint a probléma létrejötte mögött általában az áll, hogy az alkalmazottak megkerülik a szerintük nem eléggé hatékony céges IT-eszközöket, amelyekről úgy gondolják, hogy gátolják produktivitásukat. A világjárvány hatására sok szervezet kénytelen volt engedélyezni, hogy a dolgozók a személyes eszközeiket használják az otthoni munkavégzéshez, ez pedig egyúttal megnyitotta az utat a nem engedélyezett alkalmazások letöltése előtt is.
Súlyosbító tényező, hogy sokan nem ismerik a vállalati biztonsági szabályzatot vagy éppen az IT-csapatok vezetői maguk voltak kénytelenek felfüggeszteni a szabályokat a home office átállás során.
A home office emellett megnehezíti az új eszközök jóváhagyását, és hajlamosabbá teheti a dolgozókat a biztonsági szabályok figyelmen kívül hagyására. Egy 2020-as globális tanulmány szerint az otthonról dolgozók több mint fele (56%) használ nem munkahelyi alkalmazást a vállalati eszközén, és 66 százalékuk töltött fel erre üzleti adatokat. Majdnem egyharmaduk (29 százalék) válaszolta, hogy úgy érzi, „megúszhatja” a nem munkahelyi alkalmazás használatát, mert nem találja hatékonynak az IT által támogatott hivatalos megoldásokat.
A saját eszközök mellett annak is megvan a maga veszélye, hogy bizonyos vállalkozások ellenőrzés nélkül tárolnak erőforrásokat IaaS vagy PaaS vállalati felhőalapú szolgáltatásokon. Sokan félreértik a felhők megosztott felelősség modelljét, és azt feltételezik, hogy a szolgáltató (CSP) gondoskodik a biztonságról. Pedig valójában az alkalmazások és az adatok biztonságának megőrzése az ügyfélszervezet feladata – de amiről nem tud, azt nem képes megvédeni sem.
Egy 2019-es kutatás szerint az amerikai munkavállalók 64 százaléka létrehozott legalább egy olyan fiókot, amelyről nem szólt az IT-csapatnak. Egy másik felmérés szerint a távolról dolgozók 65 százaléka használt olyan eszközöket a járványt megelőzően, amelyeket az informatikai osztály nem hagyott jóvá. Az is érdekes jelenség, hogy az árnyékinformatika iránti hajlandóság az életkorral változik: az idősebb baby boomerek mindössze 15 százaléka él vele, szemben a fiatal ezredfordulós generáció 54 százalékával, akik ezt hajlamosak sokkal lazábban kezelni.
A potenciális kockázatot jól példázza az az amerikai kontaktkutató vállalat esete, amely az év elején 70 ezer ember adatait hozhatta nyilvánosságra, miután az alkalmazottak jóváhagyás nélkül használtak Google-fiókokat az információk megosztására.
Íme, néhány példa a veszélyekre:
Az ESET szakértői szerint érdemes megfontolni a következő lépések megtételét:
– Egy átfogó árnyékinformatikai szabályzat létrehozása, benne az engedélyezett és nem engedélyezett szoftverek és hardverek egyértelmű listájával, valamint az engedélykérés folyamatának leírásával.
– A munkatársak ösztönzése az átláthatóságra, edukációval és őszinte, kétirányú párbeszéd kezdeményezésével.
– Az alkalmazottak visszajelzésének meghallgatása arra vonatkozóan, hogy mely eszközök hasznosak, illetve hatékonyak a számukra, és melyek nem. Talán itt az ideje felülvizsgálni a szabályzatot a hibrid munkavégzés hozta új korszaknak megfelelően, hogy jobban egyensúlyba kerülhessen a biztonság és a kényelem.
– Felügyeleti eszközök használata a vállalaton belüli árnyékinformatika-használat és a kockázatos tevékenységek nyomon követésére, hogy idejében fel lehessen ismerni a szabályszegőket.
– A shadow IT egyértelműen megnöveli a társaság támadási felületét és komoly kiberkockázatot rejt magában. A probléma eredményes megoldásához az IT-nak szorosabb és hatékonyabb együttműködést kell kialakítania a munkavállalókkal.
Legalább is az elmúlt egy évben.