Stínové IT

Šedé IT nebo shadow IT je termín označující pořizování technologií mimo koncept interního IT. Jedná se o paralelní strukturu vznikající bez souhlasu a vědomí zaměstnanců, kteří jsou za IT odpovědní. Nejčastěji se jedná o cloudové služby, například datová úložiště, nástroje pro sdílení dokumentů či vzdálený přístup. Tyto služby jsou oblíbené, protože zpravidla ihned řeší problém, který by jinak musel procházet interním schvalovacím procesem reflektujícím bezpečnostní strategii firmy.

Problematika stínového IT souvisí s využíváním soukromých mobilních zařízení (BYOD - Bring Your Own Device), v užším smyslu se tím však myslí spíše práce pomocí neschválených aplikací. V této souvislosti se někdy setkáváme i se zkratkou BYOC (Bring Your Own Cloud). Nejčastějším příkladem stínového IT bývá instalace vlastních aplikací na podnikové počítače nebo používání neschválených webových služeb, typicky se např. s citlivými firemními daty pracuje pomocí osobních účtů na Gmailu nebo v Dropboxu.

 

Bezpečnostní rizika

Rizika stínového IT jsou evidentní. Zaměstnanci mohou do firemní sítě dostat nebezpečné aplikace nebo naopak podniková data vystavit do nedostatečně důvěryhodného prostředí služeb třetích stran. I když nedojde k úniku dat, důsledkem může být, že takové prostředí neobstojí v auditu, nesplní podmínky vyžadované legislativou, ISO normami nebo dalšími regulačními požadavky. Při používání neschválených aplikací také pochopitelně nelze spoléhat na podporu podnikového IT oddělení, může dojít k nekompatibilitám a obtížně řešitelným problémům s funkčností. Má-li se původně neschválená aplikace integrovat do dalších procesů ve firmě, vznikají dodatečné náklady - a to i pokud samotná aplikace je zdarma.

Zapomínat nelze ani na další rizika. Zaměstnanci takto mohou instalovat do podnikové sítě nelegální software, eventuálně programy, které jsou zdarma pouze pro osobní použití - rázem dochází k porušení licenčních podmínek se všemi možnými důsledky.

 

Snadnost použití a produktivita

Na druhé straně ale existenci stínového IT nelze hodnotit pouze jako prohřešek zaměstnanců - vesměs se takto snaží zvýšit produktivitu své práce, takže podobně jako v případě BYOD může firma mít z tohoto trendu i prospěch. Podle průzkumu společnosti Frost & Sullivan je hlavním důvodem pro používání neschválených aplikací to, že uživatel "cizí" program lépe ovládá či mu umožňuje vykonávat práci efektivněji (49 % případů). Druhá nejčastější odpověď pak zněla, že proces schvalování nových aplikací ze strany IT je příliš pomalý. Mezi čtyřmi nejpoužívanějšími neschválenými typy aplikací byly podle této analýzy na prvním místě právě nástroje na zvýšení produktivity, následovala sociální média, veřejná úložiště a webový e-mail. Bezpečnostní incidenty nejčastěji vyplývaly z používání sociálních médií (22 % incidentů) a z veřejných úložišť/nástrojů pro sdílení souborů (16 %).

Stínové IT je často důsledkem stavu, kdy politika IT oddělení bývá příliš restriktivní nebo IT ve firmě nefunguje dostatečně pružně. Shadow IT lze nasadit naproti tomu obvykle prakticky okamžitě. "Mobilní a webové aplikace jsou příjemnější na používání, rychle a jednoduše dostupné v App Storu či na jiných webech bez zbytečně velkých investic. Opakem jsou robustní a zastaralé systémy, které svým uživatelům často servírují podniková IT oddělení. Je tedy přirozeným důsledkem, že uživatelé začali hledat pracovní IT řešení na vlastní pěst," uvádí v této souvislosti Martin Lohnert, výkonný ředitel společnosti Soitron.

Někdy probíhá přechod na neschválené webové aplikace dokonce v rámci celých oddělení a se souhlasem jejich vedení, jež tak obchází IT oddělení. V tomto případě jde běžně i o placené aplikace, respektive služby provozované v rámci soukromých cloudů. Jinde je zase neschválených aplikací plné naopak oddělení IT - protože zde mají lidé nejvíce technických znalostí potřebných k tomu, aby si vytvořili ekosystém aplikací opravdu podle svého.

Stejně jako v případě používání soukromých smartphonů představuje i snaha zcela eliminovat stínové IT boj s větrnými mlýny, navíc může snadno odradit především mladé talentované zaměstnance, kteří chtějí mít při práci větší volnost. Pomineme-li skutečně speciální obory podnikání typu bankovnictví, efektivní je spíše vzít existenci stínového IT na vědomí, stanovit pravidla a situaci regulovat tak, aby se omezila největší bezpečnostní rizika. Zaměstnanci by měli být seznámeni s firemní politikou v této oblasti i s tím, že za její porušování jsou odpovědní. Samostatnou kapitolou je pak nastavení vnitrofiremních procesů tak, aby aktivity IT jednotlivých oddělení probíhaly koordinovaným způsobem. Přitom je ale v některých případech užitečné, aby jednotlivci či celá oddělení měli možnost volby.

"I pokud nebudeme jako pochybení vnímat samotnou existenci stínového IT, tak za to zásadní považuji neuvědomění si rizika, které může být se stínovým IT spojeno. Jde především o ohrožení důvěryhodnosti společnosti, zákaznických dat či know-how," uvádí v této souvislosti Miroslav Dvořák, technický ředitel bezpečnostní společnosti Eset.

 

Whitelist, blacklist, DLP

Jak situaci řešit po technické stránce? Na úrovni klasických aplikací v operačním systému lze nasadit whitelist - tedy umožnit spouštění pouze povolených aplikací. V případě webových služeb (cloudových aplikací, SaaS) je si tuace komplikovanější. Zájemci si tyto služby mohou aktivovat velmi snadno, aniž by něco přímo instalovali na úrovni operačního systému. Lze vytvořit blacklist - seznam zakázaných webů/služeb (který třeba stejně existuje i kvůli produktivitě práce), ale podobné blokování je dvojsečné, a lze jej navíc obcházet.

"Využití veřejných cloudových služeb za poslední rok vzrostlo podle údajů společnosti Cisco o 112 procent. Velké podniky v současné době využívají v průměru 1220 cloudových služeb. To je ale asi pětadvacetkrát více, než odhadují jejich IT oddělení," popisuje situaci Ivo Němeček, obchodní ředitel Cisca ČR. Trend je přitom jednoznačný, počet cloudových aplikací neustále roste. V podniku se tak nepoužívají jen jednotlivé neschválené aplikace, ale přímo celý paralelní ekosystém.

V průzkumu Intel/McAfee už před třemi roky připustilo užívání neschválených cloudových služeb 80 procent respondentů. V případě zaměstnanců IT oddělení bylo toto číslo ještě vyšší. Z druhé strany i mezi respondenty z IT oddělení byl nejfrekventovanější odpovědí názor, že jednotlivá oddělení by měla mít možnost používat SaaS aplikace dle vlastního výběru, ale nejprve musí svůj záměr konzultovat s IT oddělením.

Možný přístup spočívá v tom, že při kontrole IT se pozornost primárně nesoustřeďuje na aplikace, ale na data. Neřešíme, zda zaměstnanec používá například Gmail, ale omezují se operace, které lze provádět s konkrétními soubory, databázemi apod. Kromě řízení přístupu lze zabránit, aby se příslušný soubor odesílal, ukládal na přenosná paměťová média nebo jeho obsah i třeba jen kopíroval přes schránku.

49 %

Podle průzkumu společnosti Frost & Sullivan je hlavní důvod pro používání neschválených aplikací to, že uživatel "cizí" program lépe ovládá či mu umožňuje vykonávat práci efektivněji (49 % případů).

Systémy specializující se na takové řízení dat označujeme jako DLP (Data Loss Prevention). "Systémy DLP rozhodně podporuji, vnímám je i jako alternativu k zakazování webových služeb," souhlasí Miroslav Dvořák. "DLP nástroje totiž umožňují důsledně realizovat pravidla pro přístup k jednotlivým datovým souborům, což právě ony stínové IT struktury obcházejí." Nicméně jak připouští, systémy DLP jsou poměrně komplikované z hlediska nasazení. "Úskalím je v mých očích především proces správného nasazení DLP systému ve společnosti. Není to pouze záležitost softwaru, ale především procesů a uvědomění si skutečnost typu, jaká data, jak důvěrná, kde a v jakém množství jsou společností produkována. V neposlední řadě se také musíme bavit o kvalitě samotného DLP řešení. Systém generující spousty falešných poplachů nebo blokující efektivní práci s dokumenty určitě není nic, po čem by někdo toužil."

"Technologie se sice vyvíjejí velice rychle a například řešení sledování anomálií chování v síti (NBAD) či DLP jsou už dnes dostatečně inteligentní a mohou v tomto směru výrazně pomoci, ovšem minulost i současnost nám ukazují, že lidská vynalézavost dokáže být stále o krok napřed. Za dobrý přístup považujeme prostřednictvím technologií chránit ty nejcennější, resp. nejrizikovější oblasti a v ostatních případech zapojit uživatele," tvrdí Martin Lohnert.

 

Nabídka dodavatelů

Obecně řešení proti stínovému IT včetně systémů DLP poskytuje řada dodavatelů, nejen firem orientovaných primárně na bezpečnost.

Jak uvádí Ivo Němeček, např. Cisco nabízí formou služby nástroj Cisco Cloud Consumption, který umí odhalovat a průběžně sledovat využití veřejného cloudu v celé organizaci. Ve spojení s dalšími nástroji pro detailní analýzu a srovnání pak pomáhají tyto informace snižovat bezpečnostní rizika i lépe chápat a řídit náklady.

Technologie proti stínovému IT v poslední době začal nabízet také Microsoft. Služby Cloud App Security jsou mj. založeny na technologiích, které Microsoft získal loni při akvizici společnosti Adallom. Systém Cloud App Security se na jedné straně propojuje s firemním firewallem nebo proxy serverem, na druhé straně obsahuje konektory na rozhraní poskytovatelů cloudových služeb, čímž detekuje jejich používání zaměstnanci a umožňuje prosazovat bezpečnostní politiky.

 

Článek byl publikován v ICT revue 6/2016.