10:30
31/3/2022

Gdy administratorzy IT są pytani o to, z ilu aplikacji w chmurze korzystają pracownicy w ich organizacji, odpowiadają zazwyczaj, że z około 30, może 40. W rzeczywistości, te liczby są nawet kilka razy większe. Wniosek? Admini nie zawsze zdają sobie sprawy z tego, gdzie użytkownicy “wypychają” firmowe dane. Ten problem określa się mianem Shadow IT i dziś przyjrzymy się temu, jak można sobie z tym problemem poradzić.

Hybrydowy model pracy nie ułatwia kontroli

Obecnie wiele firm zdecydowało się na pracę w modelu hybrydowym lub w pełni zdalnym. Spowodowało to istotny wzrost zapotrzebowania pracowników na nowe narzędzia. Aby jak najszybciej ułatwić sobie wykonywanie zadań, pracownicy często sami instalują potrzebne im aplikacje, niekoniecznie takie, które pozytywnie wpływają na ich bezpieczeństwo.

Dane Microsoft wskazują, że nawet 80% pracowników wykorzystuje niezatwierdzone aplikacje, które są niezgodne z polityką bezpieczeństwa firmy. A IT nie zawsze to “widzi”.

Co gorsza, ponieważ pracownicy mogą jednocześnie uzyskiwać dostęp do zasobów i aplikacji spoza sieci firmowej, tworzenie reguł i zasad dotyczących zapór sieciowych często jest niewystarczające. W rezultacie, w organizacji rozprzestrzenia się zjawisko zwane Shadow IT, a zespół informatyczny musi mierzyć się ze stale rosnącą liczbą zadań związanych z wyszukaniem zagrożenia i zabezpieczeniem punktów końcowych.

Czym jest Shadow IT?

Shadow IT jest zjawiskiem polegającym na samodzielnym instalowaniu przez pracowników aplikacji lub oprogramowania, które nie zostały wcześniej odpowiednio zweryfikowane i zatwierdzone przez dział IT lub też korzystaniu przez nich z niezarządzanych i niezaakceptowanych rozwiązań chmurowych. Tego rodzaju praktyka może stanowić duże zagrożenie dla bezpieczeństwa cyfrowego firmy.

Ważna uwaga! Pracownicy prawie nigdy nie chcą szkodzić firmie! Shadow IT to nie instalacja narzędzi, które mają potencjalnie służyć do zaszkodzenia organizacji, np.: wyniesienia danych, szyfrowania dysków lub zainfekowania komputerów. Pracownicy chcą po prostu usprawnić swoją pracę lub po prostu w ogóle ją wykonać.

Wykrywanie i zapewnienie niezbędnych narzędzi

Ze względu na Shadow IT, działy IT coraz częściej muszą wykrywać aplikacje oraz identyfikować ich poziom ryzyka w oparciu o czynniki takie jak bezpieczeństwo czy regulacje branżowe i prawne obowiązujące w danej organizacji. Następnym etapem jest ocena i analiza wykrytych aplikacji pod kątem zgodności z przepisami i standardami samej organizacji. Dopiero wtedy, dział IT może podjąć decyzję, czy dostęp do aplikacji działającej w chmurze powinien zostać zablokowany.

Ważne, żeby zwracać także uwagę na to, w jakim celu użytkownicy wykorzystują dane aplikacje i w jaki sposób miały one ułatwić pracę, a następnie wyciągać z tego wnioski. Zrozumienie potrzeb pracowników jest kluczowe, bez tego ciężko będzie im zapewnić dostęp do bezpiecznych narzędzi poprzez zezwolenie na używanie tego, z czego już korzystają lub podsunięcie lepszej z punktu widzenia organizacji alternatywy. Organizacja nie powinna tylko blokować. Jeśli udostępni się użytkownikom niezbędne i wygodne do pracy oprogramowanie i usługi, to nie będą oni widzieli potrzeby poszukiwania i korzystania z kolejnych aplikacji, które potencjalnie mogą zagrażać bezpieczeństwu firmy.

Jakie narzędzie może pomóc w wykrywaniu aplikacji z obszaru “Shadow IT”, a następnie ich badaniu pod kątem zgodności z GDPR i innymi wymogami prawnymi oraz regulacjami?

Użyj Microsoft Defender for Cloud Apps do walki z ShadowIT

Microsoft Defender for Cloud Apps to kompleksowe rozwiązanie przeznaczone dla zespołów do spraw bezpieczeństwa i zgodności. Usługa ta posiada zintegrowane funkcje zabezpieczeń z zakresu tożsamości, punktów końcowych, aplikacji, poczty e-mail, IoT, infrastruktury oraz platform w chmurze.

Dodatkowo, w sposób przejrzysty pokazuje zainstalowane aplikacje w chmurze i wykrywa Shadow IT, chroniąc przy tym poufne informacje i zapewniając ochronę przed zagrożeniem cyfrowym.

Zobacz Microsoft Defender for Cloud Apps w akcji!

Jeśli chcecie poznać bliżej to rozwiązanie, to rzućcie okiem na moją demonstrację tej usługi, wraz z licznymi przykładami jej użycia, które pokazałem podczas niebezpiecznikowego LIVE poświęconego problemowi Shadow IT.

Niniejszy artykuł jest artykułem sponsorowanym, a jego autorem jest Paweł Łakomski, Security & Compliance Technical Specialist z Microsoft Polska

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Jeśli pracodawca nie zapewni swojego sprzętu, a praca będzie się odbywać na sprzęcie domowym to nic nikomu do tego jakie tam są aplikacje. Jeśli zaś jest to sprzęt firmowy to instalacja oprogramowania przez użytkownika jest zablokowana. Coś pominąłem?

    • @M.
      Nie do konca. Jesli pracujesz na wlasnym sprzecie, zgadzasz sie z pewnymi wytycznymi dotyczacymi jego stosowania w pracy, podobnie jak pracodawca i to niezaleznie od tego czy druga strona przestrzega warunkow. Kazdy ma swoje zobowiazania do przestrzegania.
      Gdyby szef kazal ci wozic dzieciaki przez 10dni 24godziny kazdego dnia, to gdyby (kiedy) dojdzie do wypadku odpowiada i on i ty…

    • Oczywiście że coś pominąłeś. Masa aplikacji działa przeglądarkowo i jeśli ich nie zablokujesz na firmowym firewallu (a nie zablokujesz, bo nie będziesz świadomy ich istnienia), to nie zapobiegniesz nieoficjalnym wdrożeniom. Na domiar złego coraz więcej windowsowych desktopowych aplikacji instaluje się do katalogów typu %appdata%, gdzie uprawnienia admina do instalacji są niepotrzebne.

    • jak pracodawca na serio chce ochrony swoich danych, to niestety pozostaje tylko praca terminalowa, a wyświetlanie w okienku video. to co skopiujemy staje się wtedy zielonym podkładem. tyle że to kosztuje.

  2. No cóż, pracuję w PSG. Obecnie już chyba nie da się nic zainstalować, nawet nie próbuję. Ale kilkanaście lat temu jak zaczynałem tu pracę, to dało się o ile pamiętam przez jakiś myk z Excelem (dawało się jakoś wywołać terminal) zainstalowałem parę rzeczy, nawet SETI@Home odpaliłem zdalnie i poszukiwało innych cywilizacji po godzinach ;)

    • Swego czasu (8 lat temu, 10?) dało się ustawić by pliki bat i inne skryptowe odpalały się w notatniku. Po odblokowaniu kompa po nocce witały notatniki odpalone na prawach admina :D.

  3. Jeśli pracodawca nie udostępnia narzędzi do pracy, sam prosi się o kłopoty. W takiej sytuacji radzę szukać innego pracodawcy.

    Z drugiej strony znam projekty całkowicie zdominowane przez wymagania bezpieczeństwa doprowadzone do absurdu, i jeszcze dalej. Jeśli pracodawca nie ufa pracownikom do tego stopnia że zabrania zmiany tapety na pulpicie, a każde wejście na Youtube skutkuje przymusowym szkoleniem BHP, nie dziwię się że pracownicy tworzą shadowIT. A potem płacz, bo repo kodu wyciekło na S3.

    • No rozumiem ze można przesadzić ale dopuszczać użytkownika ściągania tapet i ich odpalania na służbowy z jakiś nieznanych stron. To prawie tak samo jak by im pozwolić ściągać oprogramowanie z torrentow. Szkolenie i edukowanie personelu jest czasochłonne. A często problem trzeba rozwiązać ad hoc wiec najpierw trzeba wszystko zablokować nauczyć usera i dawać mu więcej swobody. To tak jak z prawem jazdy nie nauczysz się jeździć na b to na c będzie to trudniejsze. Może i ty wiesz z jakich stron korzystać ale na 100% nie jest tak u wszystkich w twojej organizacji. Po za tym niektórzy mimo świadomości próbują ominąć reguły bo im wygodniej. A pozniej zdziwienie ze trzeba szkolenie robić mimo znajomosci tematu ;) . Pozdrawiam

    • Tu się zgadzam. Już widziałem u Klienta sytuacje, kiedy pracownicy synchronizowali sobie (na różne sposoby) firmową pocztę ze swoim prywatnym kontem na WP, ponieważ w innym wypadku nie mogliby pracować z domu. Powód był prozaiczny: niewystarczająca ilość licencji na VPN, co powodowało poranny “wyścig” do pracy. Kto nie zestawił tunelu chociaż parę minut po 8:00 rano, nie miał dostępu ani do poczty, ani do współdzielonych plików. Z czasem każdy nauczył się obchodzić problem po swojemu.

      Wystarczy po prostu dać ludziom pracować. Żadne firmowe narzędzie nie będzie tak wygodne, jak Google Drive i publiczne linki, ale warto przynajmniej spróbować powalczyć o przybliżenie do tego poziomu. W innym wypadku pracownicy będą używać tego, co jest wygodniejsze, żeby zdążyć z realizacją swoich zadań.

    • “problem trzeba rozwiązać ad hoc wiec najpierw trzeba wszystko zablokować nauczyć usera i dawać mu więcej swobody”
      Tylko, że wciąż ten pracownik ma zadania, które bez zablokowanego narzędzia będą dużo trudniejsze do wykonania, czasem wręcz niemożliwe. Co taki pracownik zrobi? Ano poszuka sobie nowego obejścia.
      Jeżeli dostanie alternatywne, zatwierdzone i porównywalnie funkcjonalne narzędzie, to dopiero wtedy jest szansa, że obejścia szukać już nie będzie.

  4. warto zwrocic uwagę ze artykuł nie jest artykułem a reklama. stąd wiele bzdur. niebezpiecznik? widzę że wszystkie serwisy w Polsce to jeden wielki syf. każdy jeden się sprzedaje byle by wcisnąć artykuły sponsorowane

  5. Po części racja, pandemia wymusiła rozwiązania, które niekoniecznie były przez konkretną firmę preferowane. Wprowadzają różne rozwiązania typu SASE, czyli cloudowy SD-WAN i inne metody na ochronę danych. Ale no, różnie wychodzi :P

  6. Lol. Pierwsze co robię na nowym PC to wyłączam synchro polis domenowych i usuwam to śledzące badziewie. Dzięki temu nadal jestem w domenie a mam kompa o pełnych możliwościach.
    Uważam że laptop firmowy (i telefon) to kula u nogi.

  7. Szczerze? Z jednej strony mam poblokowanego w pracy stackoverflow, czy gita, a wykrycie wejścia przez użytkownika i nie dajcie ludzie pobrania kodu grozi niemalże wywaleniem. Z drugiej eBay i strony z filmami xxx nie są w żaden sposób blokowane…

    Co do instalek wystawianych przez IT to tylko wymienię:
    Python 0.9
    Node.js 0.14
    Których bez uprawnień administratora nie da się podnieść do ludzkiej wersji, a część instalatorów nie działa poprawnie np. instalują program w jednym katalogu, a konfigurują środowisko pod inny katalog

    • Hehe zmień pracodawcę i to szybko, chyba że pracujesz w muzeum

  8. Czy kogoś to dziwi?
    Od wieków tak było że jeśli regulacje prawne są nieżyciowe to wszystko załatwia się ‘bokiem’.
    Zaryzykowałbym twierdzenie że gdyby nie te zjawisko, to część firm by nie działała.
    Z czego rozliczają kierownictwo? Czy wykonali robotę. A jakim wewnętrznym kosztem to drugorzędne.

  9. hARCują :p

  10. Jeśli chodzi o chmury, to nigdy nie korzystam z niezatwierdzonych przez firmę. To jest dosyć logiczne, przesyłanie wrażliwych czy chronionych danych gdziekolwiek bez pozwolenia jest zabronione. Natomiast instalacja niezweryfikowanych aplikacji to nieco inny temat. Miałem chociażby problem w firmie, bo do analizy logów używam narzędzia, które sam sobie dostosowałem i skompilowałem lata temu. Można znaleźć jego oryginalny kod źródłowy na githubie, moich zmian nigdzie nie ma, binarek też nigdzie nie ma. Musiałbym prosić IT o pozwolenie na używanie mojego programu. W jednej firmie miałem z tym notoryczny problem. Używaliśmy narzędzi, które sami tworzyliśmy i system monitorujący pliki wykonywalne pozwalał wyłącznie na uruchamianie znanych aplikacji. Naturalnie przy każdej zmianie był to nowy program i system nie pozwalał nam ich używać, musieliśmy to wyłączyć. Do tego dochodzi wiele małych narzędzi. Chociażby używam Taskbar Tweaker. Przyzwyczaiłem się do zamykania otwartych programów na pasku środkowym przyciskiem myszy (jak zakładki w przeglądarce), do tego pozwala określić które programy mają na pasku nazwę, a które ikonę. Wiele programów ma jedną instancję i nie wyświetlane ikon dla zaoszczędzenia miejsca (Outlook, team, chrome). Natomiast inne wolę z opisem (kilka edytorów, otwarte foldery). W firmie tylko ja z tego korzystałem, więc IT niechętnie dodawało to do whitelisty.

    • Ty masz takie “widzimisię” inny pracownik inne, a jeszcze inny kolejne. Kilkadziesiąt takich pracowników jak Ty i do działu IT trzeba zatrudnić co najmniej jedną dodatkową osobę, która będzie spełniać te “widzimisię” tych pracowników i będzie przeprowadzać testy czy te aplikacje nie zaszkodzą całemu środowisku. Coś co wydaje się nieszkodliwe na jednym komputerze może mieć opłakane skutki przy spojrzeniu globalnym na całą infrastrukturę. Kto zrobi pełne testy aplikacji niewiadomego pochodzenia i ich wpływu na całe środowisko? Opłacicie pobory tej osoby lub tych osób?
      Nie chcesz zaakceptować warunków jakie ustalił dział IT to załóż własną działalność gospodarczą i będziesz panem i władcą samego siebie i własnego sprzętu.

  11. Trzeba się zdecydować – albo wywalacie zbędny złom IT i przechodzicie na papier, albo IT zapewnia efektywną pracę firmy.

    Zastanów się dobrze – kto dla firmy zarabia pieniądze – dział IT czy pracownicy z “widzimisię”

    • @Wojtek 2022.04.05 19:19
      @Pitu 2022.04.05 22:18

      O ile wlasny kod bywa problematyczny ([b]zwlaszcza[/b] skompilowany i tutaj sie do bonaducciego przyczepie) to na tym wlasnie polega automatyzacja pracy przez pracownika. I chociaz teoretycznie, mozna tworzyc rozne procedury zatwierdzajace, to jesli automatyzacje da sie w ten sposob zatwierdzic (jako cos statycznego) to znaczy ze sama praca jest statyczna czyli tez mozna ja zautomatyzowac wiec po co wogole ten pracownik tam jest?

    • Zapomnialem o najwazniejszym – NIKT, nie zaplaci za dodatkowy koszt odwrocenia faktycznego postepu ostatnich kilku dekad, zastapienie jednego pracownika 10k, dwudziestoma 50k (wyksztalcenie, kompetencja, procent pracownikow je spelniajacych) po prostu sie nie zdarzy. Co w mojej jest raczej oczywista konsekwencja podejscia “wszystko manualnie” jest to, ze praca ktora powinna zostac wykonana nie jest wykonywana i nie dosc ze podstawowa dzialalnosc firmy zaczyna mocno szwankowac, TO I TAK NIE JEST BEZPIECZNIEJ bo zamiast dziur wynikajacych z pracowniczych skryptow masz dziury wynikajace z niechlujnej roboty i geriatrycznego stanu oprogramowania…

      Ps. Wiecie jakie jest najskuteczniejsze rozwiazanie problemow bezpieczenstwa wynikajacych z pracowniczego oprogramowania? Dobre zarobki i dobre traktowanie pracownika, a takze powiazane z powyzszym jego wyzsze kompetencje…
      Bo widzialem w akcji i to i to, i jest niewiarygodne jak wielka (tysiace elementow) jest roznica pomiedzy firmami dobrze zarzadzajacymi swoimi pracownikami, a takimi ktore wyciagna z takiego kazdy grosz jak tylko moga, ale wyp* fortuny na horrendalne wydatki (to jest nawet jakas oficiailna polityka ekonomiczna – bo papierowa wartosc rosnie, nawet jak przy okazji wymienimi pracownikow na makaki).

    • Zarabiają pracownicy jak i IT oraz inne ważne działy. Takie myślenie jest żałosne w wydaniu “bo ja zarabiam kasę dla firmy”. Dział IT chroni dane przed wyciekiem, która w większości powoduje utratę płynności przedsiębiorstwa.

    • Kto zarabia kasę w restauracji? kelnerzy przecież. :)

Odpowiadasz na komentarz Bonaducci

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: