Прожектор на тіні, UK National Cyber Security Centre

Автор

Тіньові ІТ: Прожектор Національного Центру Кібербезпеки Великобританії (NCSC)

13 березня 2025 року Національний Центр Кібербезпеки Великобританії (NCSC) опублікував у своєму блозі статтю під назвою “Прожектор на тіні”, присвячену критично важливій темі – тіньові ІТ. Ця стаття підкреслює зростаючу проблему використання технологій, додатків і сервісів поза контролем та видимістю ІТ-відділу організації. Розуміння сутності тіньових ІТ, їхніх ризиків та стратегій для їх мінімізації є життєво важливим для будь-якої організації, яка прагне захистити свої дані та інфраструктуру.

Що таке тіньові ІТ?

Тіньові ІТ – це використання будь-якого апаратного, програмного або хмарного сервісу, який не підтримується, не санкціонований і не контролюється ІТ-відділом організації. Це може включати в себе:

  • Несанкціоновані додатки: Наприклад, використання особистих додатків для обміну файлами (Dropbox, Google Drive) для робочих документів, або використання несанкціонованого ПЗ для управління проектами.
  • Сторонні хмарні сервіси: Використання неофіційних хмарних сховищ, інструментів для співпраці, CRM або маркетингових платформ.
  • Особисті пристрої для роботи (BYOD): Використання особистих ноутбуків, телефонів або планшетів для доступу до корпоративних даних та додатків без відповідного контролю та захисту.
  • Неавторизоване апаратне забезпечення: Підключення несанкціонованих пристроїв до корпоративної мережі, наприклад, особистих маршрутизаторів або USB-накопичувачів.

Чому люди використовують тіньові ІТ?

Існує кілька причин, чому співробітники вдаються до тіньових ІТ:

  • Зручність та простота використання: Інструменти, які надає ІТ-відділ, можуть бути незручними, застарілими або недостатньо функціональними. Співробітники можуть шукати простіші та ефективніші альтернативи.
  • Потреба в гнучкості та швидкості: ІТ-відділи часто працюють з великою кількістю запитів, і процес затвердження нового програмного забезпечення або сервісу може бути довгим. Співробітники, які потребують швидкого вирішення проблеми, можуть вдатися до тіньових ІТ.
  • Незнання правил та ризиків: Багато співробітників можуть не знати про політику ІТ-безпеки організації або не усвідомлювати ризики, пов’язані з використанням несанкціонованих інструментів.
  • Відсутність альтернатив: Якщо ІТ-відділ не надає потрібних інструментів або сервісів, співробітники можуть шукати їх самостійно.

Ризики, пов’язані з тіньовими ІТ:

NCSC підкреслює ряд серйозних ризиків, пов’язаних з тіньовими ІТ:

  • Вразливості в безпеці: Несанкціоновані додатки та сервіси часто не проходять тестування на безпеку і можуть містити вразливості, які можуть бути використані зловмисниками для отримання доступу до корпоративної мережі та даних.
  • Втрата даних: Відсутність контролю над даними, що зберігаються в несанкціонованих сервісах, збільшує ризик їх втрати або витоку.
  • Недотримання нормативних вимог: Використання несанкціонованих сервісів може призвести до недотримання нормативних вимог, таких як GDPR або HIPAA, що може призвести до штрафів та інших санкцій.
  • Втрата контролю над даними: ІТ-відділ не має видимості над даними, які зберігаються в несанкціонованих сервісах, що ускладнює їх моніторинг та захист.
  • Ускладнення ІТ-підтримки: Тіньові ІТ ускладнюють роботу ІТ-відділу, оскільки він не може надавати підтримку несанкціонованому програмному забезпеченню та сервісам.
  • Збільшення ризику фішингу та інших кібератак: Співробітники можуть використовувати несанкціоновані інструменти для обміну файлами або комунікації, що робить їх більш вразливими до фішингу та інших кібератак.

Стратегії для мінімізації ризиків тіньових ІТ:

NCSC рекомендує наступні стратегії для мінімізації ризиків, пов’язаних з тіньовими ІТ:

  • Видимість: Перший крок – це отримати повну видимість того, які тіньові ІТ використовуються в організації. Це можна зробити за допомогою інструментів виявлення тіньових ІТ, сканування мережі та опитування співробітників.
  • Політики та правила: Розробіть чіткі політики та правила щодо використання ІТ, включаючи перелік дозволеного та забороненого програмного забезпечення та сервісів.
  • Навчання та обізнаність: Навчіть співробітників про ризики, пов’язані з тіньовими ІТ, та про те, як їх можна уникнути.
  • Альтернативи: Запропонуйте співробітникам санкціоновані альтернативи для несанкціонованих інструментів, які вони використовують.
  • Простота використання: Переконайтеся, що санкціоновані інструменти та сервіси зручні та прості у використанні.
  • Автоматизація: Використовуйте автоматизацію для виявлення та блокування несанкціонованого програмного забезпечення та сервісів.
  • Регулярний моніторинг та аудит: Регулярно моніторте мережу та аудит використання ІТ для виявлення та усунення нових випадків тіньових ІТ.
  • Відкрита комунікація: Заохочуйте співробітників до відкритого спілкування з ІТ-відділом щодо їхніх потреб та проблем.

Висновок:

Тіньові ІТ є серйозною проблемою для організацій будь-якого розміру. NCSC акцентує увагу на те, що ігнорування цієї проблеми може призвести до значних ризиків безпеці, втрати даних та недотримання нормативних вимог. Завдяки проактивним заходам, спрямованим на виявлення, управління та пом’якшення ризиків, пов’язаних з тіньовими ІТ, організації можуть значно підвищити свій рівень кібербезпеки та захистити свої критично важливі дані та інфраструктуру. Розуміння мотивацій, що стоять за використанням тіньових ІТ, та забезпечення зручних та ефективних альтернатив, є ключем до зменшення цієї проблеми та створення більш безпечного та контрольованого ІТ-середовища.

Прожектор на тіні

ШІ надав новини.

Наступне питання використовувалося для отримання відповіді від Google Gemini:

О 2025-03-13 08:35 ‘Прожектор на тіні’ було опубліковано відповідно до UK National Cyber Security Centre. Будь ласка, напишіть детальну статтю з відповідною інформацією у зрозумілій формі.


147

Post Views: 3

Залишити коментар