Теневые ИТ — не враг, а ваше секретное оружие

CIO больше не являются привратниками технологий. Сами ворота рухнули. О сложившейся реальности рассказывают опрошенные порталом InformationWeek эксперты.

Несанкционированное использование технологий и данных, так называемые «теневые ИТ» и «теневой ИИ», не дают покоя командам безопасности и специалистам по соблюдению нормативных требований уже несколько десятилетий. «Отдельные работники могут решить использовать их, никому не говоря об этом, и даже скрывать от коллег. Скрытое использование увеличивает связанные с ним риски», — объясняет Крис Бонди, генеральный директор и соучредитель компании Mimoto AI. Реальность такова, что технологические команды проигрывают борьбу, особенно с натиском дешевого и легкодоступного ИИ. Ворота, наконец, рухнули, и теперь привратники должны использовать новый подход.

Тщетность борьбы за ликвидацию теневых ИТ

«Мы часто видим, что с теневыми ИТ ведут игру на уничтожение, в которой организации пытаются ликвидировать эти службы одну за другой. Это всегда проигрышная битва. Команды безопасности могут работать над устранением таких сервисов с помощью автоматизации, но это может привести к нарушению рабочих процессов и дополнительной нагрузке на и без того перегруженных аналитиков», — говорит Кайл Кюрдзиолек, вице-президент по безопасности компании BigID.

Ставки не могут быть выше. Угрозы безопасности и штрафы за несоблюдение нормативных требований растут, а внедрение теневых ИТ подпитывает и то, и другое.

Отчет Skyhigh Security «2025 Cloud Adoption and Risk Report» показал, что на каждом предприятии используется более 320 несанкционированных ИИ-приложений, а трафик ИИ-приложений в прошлом году вырос на 200% (по сравнению с 23% для приложений, не связанных с ИИ). Хуже того, 11% файлов, загружаемых в ИИ, содержат конфиденциальные корпоративные данные.

Отчет LayerX Security «Enterprise GenAI Security Report 2025» свидетельствует о широком распространении теневого ИИ:

• 18% сотрудников вставляют данные в инструменты генеративного ИИ (GenAI), причем 50% из них — информация компании;
• 20% корпоративных пользователей установили GenAI-расширения для браузеров; 58% этих расширений имеют высокие или критические разрешения, а 5,6% являются откровенно вредоносными и способны похищать данные.

Тем временем исследование Harness «The State of Software Delivery 2025» показывает, что только 48% разработчиков используют одобренные ИТ-отделом инструменты ИИ. Остальные, судя по всему, предпочитают использовать ИИ «в тени».

«По моему опыту, основная проблема заключается в неправильно расставленных приоритетах и инвестициях [со стороны работодателей]. В последнее время мы стали свидетелями появления множества инструментов ИИ — например, ассистентов по кодированию, — которые призваны ускорить разработку. Но многие разработчики по-прежнему тратят значительную часть своего дня на задачи, которые им не по душе, например, нянчатся с развертыванием или ждут окончания тестирования», — говорит Ник Дуркин, технический директор Harness, ИИ-нативной платформы доставки ПО.

Спрос превышает страх обязательств, поэтому «сопротивление бесполезно», как любили говорить борги в «Звездном пути».

Перестаньте бороться, начните адаптироваться

«Нам нужно перестать бороться с теневыми ИТ и начать работать с ними. Конечно, заносите в черный список сомнительные приложения и черные ящики с данными, но не вводите кодекс молчания. Разбираясь в том, что и почему происходит с теневыми ИТ, вы сможете пресечь эту проблему в зародыше», — говорит Апу Павитран, основатель и генеральный директор компании Hexnode, поставщика унифицированных систем управления устройствами.

Тем не менее многие по-прежнему пытаются поддерживать сломанные ворота, притворяясь, что все идет своим чередом.

«Мандат на нулевое использование приводит к обратному результату. Это только подстегивает скрытое использование, — предупреждает Бонди. — Финансовые последствия могут быть разными, но несанкционированный ИИ может привести к штрафам со стороны регулирующих органов, утечкам и потере интеллектуальной собственности».

Превращение из привратника в инноватора

Так как же CIO перейти от принуждения к содействию? Начните с переосмысления несанкционированных технологий.

«То, что начинается как теневые ИТ, может оказаться неиспользованными инновациями, — говорит Амит Басу, CIO/CISO компании International Seaways, занимающихся транспортировкой сырой нефти и нефтепродуктов танкерами по всему миру. — Вместо того чтобы закрывать их, дальновидные организации определяют, что работает, оценивают риски и масштабируют лучшие инструменты».

Он не одинок.

«Как руководитель поставщика ИТ-решений для здравоохранения, я рассматриваю теневые ИТ не столько как угрозу, сколько как проверку пульса на то, где наши внутренние системы не работают, — говорит Рикен Шах, основатель и генеральный директор OSP Labs. — Сегодня мы отслеживаем шаблоны использования, проверяем их и формализуем соответствующие решения».

Если вдуматься, это ответ на извечную проблему, когда ИТ-специалисты пытаются (и часто терпят неудачу) правильно соотнести бизнес-процессы и сценарии использования с техническими возможностями.

«Расширение возможностей реальных пользователей, которые лучше всего понимают свои собственные сценарии использования, повышает шансы на успех ИИ [и технологий] и может дать организациям значительное преимущество в гонке за инновациями», — отмечает Басу.

Более разумный подход к рискам

«Вместо того чтобы полностью исключить риск, сосредоточьтесь на минимизации ущерба, если что-то пойдет не так», — советует Илия Бадеев, руководитель отдела науки о данных Trevolution Group, одном из крупнейших в США консолидаторов туристических билетов на нишевые рынки. Обеспечивайте устойчивость, а не просто вводите ограничения, советует он

«Когда мы только начали масштабироваться, наша креативная команда втихую взяла на вооружение собственные ИИ-инструменты для улучшения изображений — несанкционированные, технически „теневые ИТ“. Поначалу я воспринимал это как управленческую головную боль, — говорит Каз Марзо, менеджер по операциям платформы для работы с изображениями Image Acquire. — Но когда я вник в ситуацию, я понял, что эта неавторизованная технология решает реальные проблемы быстрее, чем это может сделать наш одобренный стек. Вместо того чтобы закрыть ее, мы формализовали путь проверки новых инструментов, превратив то, что могло стать помехой, в конвейер для инноваций».

Каков урок? Теневые ИТ — это не враг, это ваше секретное оружие. Реальный риск — это не несанкционированные технологии, а отказ адаптироваться.