Shadow IT to zjawisko, w którym pracownicy korzystają z narzędzi technologicznych, takich jak oprogramowanie, aplikacje chmurowe czy urządzenia, które nie zostały zatwierdzone przez dział IT ani nie są częścią oficjalnej infrastruktury firmy. Przykłady te obejmują m.in. aplikacje wspierające współpracę w zespole, platformy do przechowywania danych czy komunikatory, które – mimo swej popularności – mogą jednak nie spełniać wymaganych norm bezpieczeństwa. I choć korzyści z wykorzystywania w/w zasobów, jak (przykładowo) zwiększona produktywność pracownika, mogą być odczuwalne, to jednak brak pełnej kontroli pracodawcy nad tymi narzędziami naraża organizację na ryzyko związane z bezpieczeństwem i zgodnością z przyjętymi procedurami IT.

Jakie jest ryzyko?

Konsekwencje wynikające z braku kontroli nad zasobami pochodzenia zewnętrznego mogą być katastrofalne dla organizacji. Przyjmijmy się kilku kluczowym zagrożeniom.

1. Ryzyko naruszenia bezpieczeństwa danych całej organizacji

Głównym ryzykiem związanym z Shadow IT jest zwiększenie podatności organizacji na ataki cybernetyczne. Oprogramowanie, które nie zostało zatwierdzone przez dział IT:

(a) może zawierać luki w zabezpieczeniach, które pozostaną niezauważone i mogą sprowadzić jeszcze większe zagrożenie dla bezpieczeństwa sieci;

(b) może być źródłem złośliwego oprogramowania, które skutkować będzie poważnymi naruszeniami bezpieczeństwa.

Warto również wspomnieć, że oprogramowanie instalowane „samowolnie” przez pracowników, nie zawsze jest regularnie aktualizowane, co dodatkowo zwiększa ryzyko wykorzystania istniejących luk przez cyberprzestępców.

2. Ryzyko utraty kontroli nad danymi

Innym, być może nieoczywistym zagrożeniem wynikającym z Shadow IT, jest brak kontroli nad miejscem przechowywania danych. Pracownicy, korzystając z niezabezpieczonych narzędzi, mogą przechowywać dane firmowe (w tym dane osobowe) w chmurach lub na serwerach, które nie spełniają przyjętych przez pracodawcę wymogów bezpieczeństwa. Może to prowadzić do przechowywania danych w miejscach, które nie gwarantują ich ochrony na odpowiednim poziomie – zarówno w kontekście fizycznym, jak i cyfrowym.

3. Ryzyko naruszenia ochrony danych osobowych

Ryzyko to jest oczywistą konsekwencją utraty kontroli nad danymi. Przechowywanie danych osobowych w narzędziach spoza oficjalnej infrastruktury IT firmy może oznaczać, że dane te są przechowywane w sposób niezgodny z wymogami unijnymi. Pracownicy mogą także nie być świadomi, że niektóre z używanych przez nich usług chmurowych mogą przechowywać dane poza granicami Unii Europejskiej (konkretniej: poza granicami Europejskiego Obszaru Gospodarczego), co wiąże się z ryzykiem nielegalnego transferu danych do państw trzecich.

W tym kontekście warto nadmienić, że zgodnie z art. 45 ust. 1 RODO, przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić jedynie wówczas, gdy Komisja Europejska stwierdzi, że zapewniają one odpowiedni stopień ochrony. Inną możliwością jest zastosowanie standardowych klauzul umownych, o których mowa w art. 46 ust. 3 pkt a) RODO, a które stanowią mechanizm zapewniający odpowiednią ochronę przy przekazywaniu danych osobowych do krajów, które nie zapewniają wystarczającego poziomu ochrony prawnej.

Jednak brak świadomości wśród pracowników na temat takich regulacji może prowadzić do poważnych naruszeń przepisów, narażając firmę na kary finansowe i utratę reputacji.

4. Niewłaściwe zarządzanie dostępem stwarza ryzyko utraty kontroli

Shadow IT wprowadza poważne utrudnienia w zakresie zarządzania dostępem do danych firmowych, co może prowadzić do poważnych luk w bezpieczeństwie organizacji. Gdy pracownicy korzystają z narzędzi i aplikacji niezarejestrowanych przez dział IT lub zatwierdzonych przez pracodawcę, dostęp do wrażliwych informacji może zostać przyznany osobom, które nie posiadają odpowiednich uprawnień. W przypadku takich rozwiązań, które są poza kontrolą firmowych systemów bezpieczeństwa, nie ma pewności, kto faktycznie ma dostęp do danych, jak są one wykorzystywane i w jakim stopniu są zabezpieczone.

Brak centralnej kontroli nad dostępem do tych zasobów może prowadzić do sytuacji, w których dane, szczególnie te wrażliwe, zostaną nieświadomie udostępnione osobom nieuprawnionym – zarówno w firmie, jak i poza nią. Może to obejmować przypadki, w których informacje wyciekną do konkurencji, zostaną ujawnione publicznie lub trafią w ręce cyberprzestępców. Dodatkowo, nieregularne audyty i brak odpowiednich procedur weryfikujących dostęp do takich narzędzi stwarzają ryzyko, że informacje będą przechowywane w niesprawdzonych, potencjalnie niebezpiecznych miejscach, takich jak niezabezpieczone chmury czy aplikacje, które nie spełniają firmowych norm bezpieczeństwa.

Jak skutecznie zarządzać Shadow IT?

Zarządzanie Shadow IT wymaga od organizacji proaktywnego podejścia, które nie tylko pozwala zminimalizować ryzyko związane z tym zjawiskiem, ale również umożliwia pracownikom korzystanie z efektywnych narzędzi wspierających ich codzienną pracę.

Przy wzięciu pod rozwagę wszystkich możliwych ryzyk, proponowane proaktywne podejście pracodawcy powinno obejmować takie działania, jak:

  1. Edukowanie i budowanie świadomości wśród pracowników na temat: (1) zagrożeń, jakie niesie za sobą wykorzystywanie nieautoryzowanych narzędzi oraz (2) konieczności ochrony danych osobowych;
  2. Wdrożenie przejrzystej, zrozumiałej polityki IT, określającej, jakie narzędzia są akceptowalne, a instalacja których wymagać będzie wcześniejszej zgody lub audytu;
  3. Zapewnienie pracownikom wszelkich niezbędnych narzędzi ułatwiających pracę – w taki sposób, by odgórnie skutecznie zmniejszyć potrzebę korzystania z zewnętrznych, niezatwierdzonych aplikacji;
  4. Wprowadzenie procesu oceny ryzyka przed zatwierdzeniem nowych aplikacji (ocena ta powinna obejmować analizę bezpieczeństwa, zgodności z regulacjami prawnymi, w tym RODO, z polityką IT firmy, a także ocenę potencjalnych zagrożeń związanych z wykorzystywaniem tych narzędzi);
  5. Monitorowanie i wykrywanie aplikacji oraz usług niezatwierdzonych przez dział IT;
  6. Ustalenie procedury reagowania na incydenty związane z Shadow IT;
  7. Zastosowanie narzędzi do zarządzania dostępem i uprawnieniami.
Aleksandra Bielat
zobacz inne wpisy tego autora