Tieňové IT za chrbtom CIO a IT oddelenia
Dynamický biznis kladie stále náročnejšie požiadavky na IT podporu a v mnohých prípadoch pracovníci, hlavne manažéri a obchodníci, nie sú ochotní akceptovať hardvér a softvér poskytnutý firmou či cloudové služby, ktoré im navrhne IT oddelenie. Preto používajú vlastný hardvér v rámci BYOD (Bring Your Own Device) a individuálne zakúpený softvér.
Tento nekoncepčný postup sa zvykne nazývať aj „tieňové IT“. IT oddelenia prestávajú mať prehľad o používanom hardvéri a softvéri či cloudových službách a infraštruktúrach, takže ani nevedia, či vyhovujú bezpečnostnej politike firmy. Neskôr však väčšinou títo individualisti z tieňa vystúpia a obrátia sa na IT oddelenie, ak očakávajú, že prevezme na seba nákladové, bezpečnostné a ďalšie atribúty „ich“ hardvéru a softvéru, alebo, čo je oveľa horšie, v prípade bezpečnostného incidentu.
Politika BYOD (Bring Your Own Device) umožňuje zamestnancom používať svoje osobné zariadenia na pracovné účely. Napriek tomu, že z pohľadu firmy ide o „cudzie“ zariadenia, sú stále prísne spravované a majú kľúčový význam pre zachovanie integrity vnútorných systémov firiem, ktoré ich prevádzkujú. Zamestnanci využívajúci BYOD to často nemajú radi, okrem iného pre vnímané narušenie súkromia. Niektorí preto konajú v duchu, „čo moji IT pracovníci nevedia, to im neublíži“. Zamestnanci, ktorí sa rozhodnú nedodržiavať firemné zásady, začínajú pristupovať k interným sieťam s vlastnými neoverenými zariadeniami bez toho, aby premýšľali o dôsledkoch takéhoto počínania.
Tieňové IT predstavuje viac ako bežné domáce notebooky pripojené k firemným sieťam. V skutočnosti tento pojem môže zahŕňať niekoľko rôznych typov zariadení a aj softvérové riešenia alebo služby, ako sú cloudové úložiská alebo v poslednom čase služby generatívnych asistentov umelej inteligencie, ktorých používanie bolo podľa náhodne oslovených zamestnancov „v poriadku“ aj bez toho, aby požiadali o povolenie.
Podľa spoločnosti Cisco takmer 80 % koncových používateľov využíva softvér, ktorý nebol schválený IT oddelením. Navyše 83 % IT zamestnancov používa neschválený softvér alebo služby.
Dôvody sú viaceré. Zamestnanci môžu zistiť, že riešenia schválené spoločnosťou nie sú dostatočne flexibilné, aby im pomohli dosiahnuť zvýšenie produktivity. Žiadosť o povolenie na používanie vo svete rozšíreného bezplatného softvéru sa môže zdať zdĺhavá. Podobne aj IT odborníci môžu mať pocit, že ich súčasné nástroje nie sú na úrovni toho, čo je potrebné na zefektívnenie ich práce. To súvisí aj s príkladom BYOD v úvode – správa zariadení sa môže niektorým zdať príliš autoritárska a môžu sa obávať o svoje súkromie.
Za každou politikou riadenia rizík však stojí dôvod, prečo existuje. Neautorizované zariadenia môžu predstavovať bezpečnostné riziko, pretože ich ochrana pravdepodobne nespĺňa firemné štandardy. Zároveň môže tieňové IT znamenať náklady presahujúce bežný rozpočet spoločnosti, ktoré podľa správ tvoria približne 50 % výdavkov na IT vo veľkých podnikoch. Keďže tieto výdavky nie sú súčasťou bežného ročného rozpočtu, pravdepodobne ide o zbytočné náklady.
Organizácie zvyčajne používajú viacero riešení alebo služieb na ochranu pracovných zariadení. Výsledkom je bezpečné prostredie, v ktorom tieto riešenia ľahko zachytávajú škodlivé aktivity tým, že kontrolujú nezrovnalosti súvisiace s existujúcimi pravidlami alebo neobvyklým správaním, ako je napríklad inštalácia podpísaného zraniteľného ovládača zamestnancom (v najhoršom prípade znamenajúceho prítomnosť nástroja EDR killer).
Neschválené zariadenia nemajú nič z toho: žiadne automatické opravy zraniteľností, takmer nulovú ochranu proti pokročilým hrozbám v dôsledku neexistujúceho prístupu k SOC a voľný prístup k firemným dátam pre každého, kto má záujem vykonať útok. Navyše tieňové IT prináša problém aj z hľadiska dodržiavania predpisov, pretože nemonitorované aplikácie či zariadenia sa s najväčšou pravdepodobnosťou vynechajú počas povinných auditov. Jedno z rizík je, že zamestnanec môže veľmi ľahko preniesť firemné dokumenty na svoj USB kľúč, nahrať ich do svojho osobného cloudu alebo v najhoršom prípade zaviesť do firemných sietí škodlivý softvér prostredníctvom kompromitovaného zariadenia. S takými možnosťami sa pravdepodobnosť incidentu zvyšuje na úplnú istotu.
Podľa správy IBM Cost of a Data Breach Report z roku 2025 sú tieňové služby umelej inteligencie zodpovedné až za 20 % bezpečnostných incidentov, čím sa náklady na narušenie bezpečnosti zvyšujú o 670 000 USD a dochádza aj k ohrozeniu duševného vlastníctva a osobných údajov.
Tieňové IT však nie je niečo, čo by sa malo úplne odpísať. Hoci je to určite rizikový faktor, má aj niektoré výhody, napríklad zvýšenie produktivity či de facto informovanie IT oddelenia o tom, že nimi poskytované nástroje už nestačia. Ak má IT oddelenie o hardvéri a softvéri zamestnancov prehľad, dozvie sa, aké nástroje zamestnanci chcú používať, a podľa toho sa zariadia. Zavedením nových objektov do podnikového prostredia môže bezpečnostný personál lepšie pochopiť, ako riadiť externé riziká, a v tomto prípade lepšie určiť, čo je a čo nie je rizikové správanie zamestnancov.
Hlavný problém tieňového IT je v tom, že je ťažké posúdiť jeho rozsah v rámci organizácie. Vzhľadom na obrovský počet zariadení a programov, ktoré sa pravdepodobne používajú, je takmer nemožné ich kontrolovať. Takmer. V prípade softvéru nainštalovaného na pracovných počítačoch to môže byť jednoduchšie, pretože sú už vybavené softvérom na vzdialenú správu alebo bezpečnostným softvérom, ale v prípade neautorizovaných zariadení je to zrejme o niečo zložitejšie. Firmy sa snažia riešiť tento problém prostredníctvom segmentácie siete, napríklad hosťovskými Wi-Fi a správou prístupu k interným serverom cez VPN, to však nezabráni ľuďom kopírovať alebo posielať súbory do neautorizovaných priestorov. Preto treba uprednostniť prevenciu, jednak dôsledným presadzovaním interných politík vrátane vynucovania a sankcií za porušenie a takisto zvyšovať povedomie o bezpečnosti. Školenia o kybernetickej bezpečnosti by mali vysvetľovať riziká spojené s neoverenými zariadeniami alebo aplikáciami a riešiť tieňové IT ako kľúčový bod. Rovnako je dôležité zisťovať názory zamestnancov, či majú objektívne dôvody na používanie tieňového IT. Problém nie je ani monitorovanie zariadení BYOD, na ktorých nie je nainštalovaný monitorovací agent. Ak sa títo zamestnanci pripájajú k firemným sieťam, jednoducho skontrolujte sieťovú aktivitu a prevádzku, aby ste zistili podozrivé správanie a prijali opatrenia, prípadne vyvodili dôsledky.
Hoci tieňové IT môže podporovať inovácie, ak nie je riadne spravované, môže sa stať prekážkou, ktorá môže viesť k vážnym incidentom alebo v najhoršom prípade ku katastrofálnemu zlyhaniu organizácie.
Na komplexnú ochranu koncových zariadení je potrebné nasadiť osvedčené a spoľahlivé riešenie, napríklad ESET Endpoint Security s nástrojom ako ESET Inspect a na mobilných zariadení využívaných pri práci ESET Mobile Threat Defense.
