Такого нет даже в Samsung
Весной 2023 года технологический гигант Samsung оказался в центре скандала, связанного с утечкой данных. Это случилось после того, как предположительно кто-то из инженеров компании решил спросить совета по улучшению написанного им программного кода у нейросети. До сих пор непонятно, насколько серьезной была утечка. Но она в очередной раз поставила специалистов по кибербезопасности перед крайне сложной и неоднозначной проблемой так называемых теневых ИТ.
К числу таких «сумрачных» технологий относятся софт, «железо» и сервисы, которые находятся вне сферы контроля ИТ-отделов компаний. Есть данные, что масштаб этой «серой зоны» гораздо значительнее, чем можно себе представить. Число применяемых ИТ-инструментов в 14,6 раза больше списка ПО, которое так или иначе «админится» департаментом информационных технологий. 67% сотрудников и команд привносят в рабочие практики привычный им софт и «железо», которого до того момента в компаниях просто не было. Теневыми ИТ пользуются 40% сотрудников в своей повседневной работе. А среди сотрудников с особыми полномочиями — айтишников и топ-менеджеров — эта доля превышает 90%. Неудивительно, что именно через теневые ИТ пролегает вектор почти половины (49%) покушений на кибератаки.
Запретить всё, что не разрешено, либо совсем «отпустить» ситуацию — решения настолько простые, насколько и неправильные. Директору информационной службы и его коллеге, ответственному за корпоративный кибербез, имеет смысл сократить размах теневых ИТ. Результаты этого упражнения не только повысят защищенность от инцидентов, но и могут повлиять на компанию в целом — причем с не самой очевидной стороны. Давайте посмотрим, как это может работать.
Утечки против инсайдеров
Сразу же — небольшой дисклеймер. Shadow IT — это точно не про работу внедренных в структуру компании «секретных агентов». Скорее, эта история больше про инциденты, которые в значительной степени вызваны беспечностью пользователей и отсутствием у них всестороннего понимания рисков. Об этом говорят многочисленные отчеты вендоров и поставщиков услуг кибербезопасности. Об аналогичном свидетельствует и наш опыт. Противоборство с инсайдерами — отдельная и очень большая задача, для решения которой существуют своя методология и специфический инструментарий. Соответственно, в этой статье мы будем рассматривать причины появления серых зон в корпоративных ИТ, способы их локализации, а также пользу, которую можно извлечь из грамотной интерпретации анализа вокруг Shadow IT.
Источники «тени»
Для начала было бы неплохо разобраться в предпосылках возникновения теневых ИТ. И первая из них — это несоответствие имеющихся ИТ-инструментов реалиям рынка или особенностями бизнес-процессов конкретной компании. Собственно, утечка Samsung, на наш взгляд, продиктована именно этим обстоятельством. Поэтому — без иллюзий: даже транснациональные монстры типа корейского концерна не могут обеспечить сотрудников вообще всем мыслимым инструментарием. А о компаниях поменьше и говорить нечего.
Как с этим быть? Решение в этом случае достаточно простое, но вместе с тем требующее креативного подхода к реализации. Вам предстоит постоянно отслеживать, насколько ИТ-стек отвечает рыночной ситуации и запросам сотрудников. Готовность быстро дать доступ к нужному ПО, обучить сотрудников и каким-то образом доработать стороннюю платформу сильно снижают шансы на то, что ваши сотрудники будут делать то же самое, но без вашего ведома.
Второе — стандартными инструментами недовольны именно «звезды» компании. Имеющееся ПО часто может не поддерживать высокую скорость коммуникации и принятия решений. А между тем, именно эти качества и делают ключевых сотрудников «работниками класса А», приносящими максимум пользы. Задача ИТ- и ИБ-направлений как исполнителей для внутренних заказчиков — быть в диалоге с такими людьми, выяснять их потребности и помогать им в поиске оптимальных решений.
Регулярные беседы с «передовиками производства» помогут не упустить момент, когда их терпение лопнет и они возьмут инициативу в свои руки, тем самым невольно расширив «серую зону» и добавив задач ИБ-специалистам. Здесь уместно действовать единым фронтом с коллегами из департамента информационных технологий и совместно предлагать лидерам актуальные и эффективные решения, подходящие «в моменте» для конкретных задач.
Третье — пользователи могут не знать, что в компании под их задачи уже есть подходящий инструмент. Это типичная проблема информированности коллектива о возможностях ИТ-отдела. Регулярно рассказывайте вашим сотрудникам, что компетенции департамента намного шире, чем настройка почты и замена батарейки в беспроводной мыши. Помогите им понять, как они могут использовать доступные решения в своей работе — пусть даже для этого потребуется осуществить несколько волн коммуникаций для каждого структурного подразделения. В некоторых случаях важно также подчеркнуть, что использование утверждённых программных средств имеет значение для соблюдения политик безопасности и комплаенса.
Четвертое — избыточное регулирование ИТ-процессов. Время на согласование использования нового ПО порой растягивается, что вызывает раздражение. В таких случаях сотрудники начинают искать быстрые альтернативы. Нередко — даже в ущерб информационной безопасности. Например, в нашей пентестерской практике был случай, когда через посадочную страницу, сделанную отделом маркетинга заказчика на субдомене без учета требований к ИБ, мы получили контроль над интернет-магазином крупной производственной фирмы. Расследование показало, что маркетологи просто устали ждать. Они купили виртуальный сервер у первого попавшегося провайдера, «прикрутили» его к домену по туториалу из YouTube и на получившейся посадочной странице начали проверку ряда гипотез. В общем, реализовался классический риск теневых ИТ: безопасность пострадала из-за того, что благая цель наткнулась на неидеальное воплощение.
Способ противодействия — сделать согласование и «раскатку» нужного ПО гибкими и быстрыми. Периодически устраивайте «краш-тесты» придуманным вами же процедур на запрос софта. Это поможет выяснить, нет ли внутри процесса бутылочных горлышек, и создаст правильную атмосферу конструктивного взаимодействия ИТ-отдела с другими департаментами.
Ну и пятая предпосылка — обучение коллектива. Очень часто сотрудники просто не осознают, какие опасности таит в себе применение несогласованных с айтишниками решений. Бывает, что простые объяснения не действуют. В нашей практике был случай, когда сотрудница бухгалтерии не захотела мириться с блокировкой соцсетей в компании. Через Telegram она нашла специальное приложение для обхода блокировок. Приложение оказалось замаскированным средством удаленного администрирования.
Как-то раз, выйдя на обед, наша героиня не извлекла из разъема рабочего ПК USB-ключ системы «банк-клиент». Вернулась и увидела, что из банка ей пришел отказ в переводе, которого она не совершала. Оказалось, что в ее отсутствие злоумышленники получили полный контроль над ее компьютером. Они перевели круглую сумму на другой счет, но ошиблись буквально в одном символе. Случайность спасла фирму от потери круглой суммы.
Этот кейс мы регулярно приводим на тренингах. Как только речь идет о деньгах — особенно в беседе с материально ответственными сотрудниками — пользователи начинают понимать, почему стоит придерживаться корпоративных политик в плане применения конкретных решений, и какие риски могут возникнуть при использовании сторонних сервисов.
Загоняем в рамки
Как и большинство активностей, связанных с кибербезом, работа с предпосылками — это процесс. Ждать мгновенного результата, пожалуй, не стоит. Для измеримого эффекта даже в относительно небольших коллективах и при быстром влиянии на все факторы сразу должно пройти не менее года. Пока же можно техническими средствами локализовать распространение теневых ИТ.
Самый очевидный и самый неоднозначный шаг — отключить возможность ставить и запускать на рабочем компьютере несогласованное ПО. Мы воздержимся от категорической рекомендации применять эту меру, но и отговаривать тоже не станем. В конце концов, все зависит от особенностей корпоративной культуры, от взглядов владельцев компании и от цены ошибки, которая может быть спровоцирована рисками теневых ИТ. Ограничимся лишь замечанием: жесткие ограничения провоцируют сотрудников на поиск более изощренных способов их обхода, и уже поиск этих самых хитрых способов ложится дополнительной нагрузкой на ИБ-департамент.
Мониторинг сети — совершенно точно то, что необходимо в любом случае. С помощью анализа сетевой активности можно оперативно обнаружить аномалии, сформировать гипотезы об их природе и быстро локализовать участок, на котором есть проблемы. Сюда же отнесем контроль за использованием портов на коммутаторах/маршрутизаторах. Это хорошая мера для снижения шансов обнаружить в инфраструктуре «железо», которого там быть не должно.
Если в вашей компании запрещены беспроводные сети, но есть сотрудник, который мечтает работать с ноутбуком или планшетом по Wi-Fi и готов для этого принести роутер из дома, у него ничего не получится. Маршрутизатор распознает MAC-адрес нового устройства как недружественный, и самодельная беспроводная сеть просто «не взлетит». И тем самым не увеличит возможную поверхность атаки на инфраструктуру. Конечно, можно подменить MAC-адрес, но это уже отдельная история.
Еще одна хорошая идея — использование DLP-систем. Решения Data Loss Prevention помогают определять факты утечки данных и автоматически не допускает подобные инциденты. Среди всего многообразия DLP доступны опенсорсные решения, либо бесплатные версии вендорского софта — скажем, с ограничением на количество рабочих мест. Так что выбор можно сделать исходя из возможностей вашей организации. Можно «раскатать» DLP на один департамент, собрать статистику использования и уже исходя из нее принимать дальнейшее решение о целесообразности повсеместного применения для безопасности.
Чему научит работа с Shadow IT
В заключение — пара слов про прикладной смысл попыток взять Shadow IT под контроль. В силу своей многоплановости эта задача перестает быть только прерогативой ИТ и ИБ. При должной мотивации руководителей и собственников бизнеса информация, полученная в ходе сбора данных, может оказать влияние на работу компании. В чем это может выражаться?
Во-первых, в повышении эффективности работы организации. Если сотрудники активно используют несанкционированные решения и при этом показывают отличные результаты, это сигнализирует о том, что эти инструменты действительно имеют смысл. Поэтому, когда в рамках этой статьи рассматривались технические возможности противостояния теневым ИТ, я указал, что тотальная блокировка — возможно, далеко не лучший вариант. Вместо того, чтобы их блокировать сервисы, приложения и «железо», уместно подумать о возможности интегрировать их в официальный рабочий процесс. Поддержка «серых» сервисов в рамках компании может повысить общую продуктивность.
Во-вторых, в снижении затрат. При выборе оптимального решения инициатива исходит от сотрудника. Следовательно, он обычно выбирает бесплатные или недорогие инструменты, и/или «пересобирает» бизнес-процесс так, чтобы получить от бесплатного или недорогого решения максимум эффекта. Его опыт может быть внедрен на уровне всей компании, что позволит значительно снизить расходы на софт и «раскатать» лучшие практики на целый отдел или весь коллектив, что повысит средний уровень производительности труда.
Однако тут нужно быть осторожным: бесплатные или бюджетные решения могут не подходить для долгосрочного использования из-за проблем с поддержкой или функциональностью. Поэтому важно провести тщательный анализ применимости: то, что может быть оправдано «в моменте», окажется неподходящим вариантом в долгосрочной перспективе.
В-третьих, ИБ-отдел получает редкую возможность «сконструировать» и/или укрепить свой статус доверенного партнера для других структурных подразделений. Сейчас корпоративные кибербезопасники воспринимаются остальным коллективом как сборище мрачных типов с «синдромом вахтера»: якобы им проще запретить, чем разбираться, почему запрещаемый софт на самом деле нужен и как лучше сделать его применение безопасным.
Если в компании ИБ-экспертов воспринимают именно так, есть возможность с этим восприятием поработать. Нет ничего более ценного для сотрудников, чем понимание того, что компания заботится о том, чтобы они могли работать комфортно и эффективно. Быть союзником для своих коллег, помогать им добиваться лучших результатов — это не только шанс улучшить рабочий процесс, но и стать источником доверия внутри команды. В ваших руках появляются рычаги, с помощью которых можно поддержать развитие продуктивности сотрудников конкретных подразделений.
Поэтому вместо того чтобы бороться с теневыми ИТ-решениями силовыми методами, постарайтесь взглянуть на ситуацию с другой стороны. Используя инструменты мониторинга и просвещения, вы можете не только устранить риски, но и значительно улучшить рабочие процессы, снизить расходы и повысить эффективность компании. Shadow IT — это не только угроза, но и шанс на развитие, если правильно подойти к решению проблемы.
