Mi rejtőzködik a sötétben? Így kezelhetjük az árnyékinformatika biztonsági kockázatait

A hibrid munkavégzés terjedése új kihívás elé állítja az IT csapatokat: az alkalmazottak által használt olyan szoftverek és eszközök, melyek az IT csapat ellenőrzési körén kívül esnek, komoly fenyegetést jelenthetnek a szervezetre nézve. Kiberbiztonsági szakértőink szerint a kérdés az, hogy mit tehetünk ellene, amikor még azt is nehéz felmérni, milyen mértékű a probléma.

Mi is az árnyékinformatika?

Az árnyékinformatika – más néven shadow IT - a gyűjtőneve minden olyan alkalmazásnak, hardvernek és informatikai megoldásnak, amelyet az alkalmazottak az IT csapat jóváhagyása és ellenőrzése nélkül használnak. Ezek lehetnek vállalati szintű megoldások is, ám a leggyakrabban magánfelhasználásra szánt technológiákról van szó, amelyek komoly veszélynek tehetik ki a szervezetet:

  • Magánfelhasználói szintű fájltároló, illetve megosztó, amelyet a dolgozók a hatékonyabb együttműködés érdekében használnak.
  • Produktivitás- és projektmenedzsment-eszközök, amelyek szintén támogathatják az együttműködést és a napi feladatok elvégzését.
  • Üzenetküldő és e-mail alkalmazások a munkahelyi és magán kommunikációhoz.
  • Felhőalapú IaaS (Infrastructure as a Service) és PaaS (Platform as a Service) rendszerek, amelyek nem engedélyezett erőforrások tárolására is használhatók.

Mi az oka a shadow IT jelenségnek?

Szakértőink szerint az árnyékinformatika létrejötte mögött általában az áll, hogy az alkalmazottak megkerülik a szerintük nem eléggé hatékony vállalati IT-eszközöket, amelyekről úgy gondolják, hogy gátolják produktivitásukat. A világjárvány hatására sok szervezet kénytelen volt engedélyezni, hogy a dolgozók a személyes eszközeiket használják az otthoni munkavégzéshez, ez pedig egyúttal megnyitotta az utat a nem engedélyezett alkalmazások letöltése előtt is.

Súlyosbító tényező, hogy sok alkalmazott nem ismeri a vállalati biztonsági szabályzatot vagy éppen az IT csapatok vezetői maguk voltak kénytelenek felfüggeszteni a szabályokat a home office átállás során. Egy nemrégiben készült kutatásban a megkérdezett IT csapatok 76 százaléka elismerte, hogy a pandémia idején a biztonság háttérbe szorult az üzletmenet folytonosságának javára, míg 91 százalékuk szerint nyomás nehezedett rájuk, hogy csökkentsék a kiberbiztonság színvonalát.

A home office emellett megnehezíti az új eszközök jóváhagyását, és hajlamosabbá teheti a dolgozókat a biztonsági szabályok figyelmen kívül hagyására. Egy 2020-as globális tanulmány szerint az otthonról dolgozók több mint fele (56%) használ nem munkahelyi alkalmazást a vállalati eszközén, és 66 százalékuk töltött fel erre vállalati adatokat. Közel egyharmaduk (29 százalék) válaszolta, hogy úgy érzi, „megúszhatja” a nem munkahelyi alkalmazás használatát, mert nem találja hatékonynak az IT által támogatott hivatalos megoldásokat.

A probléma mértéke

A saját eszközök mellett annak is megvan a maga veszélye, hogy bizonyos vállalkozások ellenőrzés nélkül tárolnak erőforrásokat IaaS vagy PaaS vállalati felhőalapú szolgáltatásokon. Sokan félreértik a felhők megosztott felelősség modelljét, és azt feltételezik, hogy a szolgáltató (CSP) gondoskodik a biztonságról. Pedig valójában az alkalmazások és az adatok biztonságának megőrzése az ügyfélszervezet feladata – de amiről nem tud, azt nem képes megvédeni sem.

Egy 2019-es kutatás szerint az amerikai munkavállalók 64 százaléka létrehozott legalább egy olyan fiókot, amiről nem szólt az IT-nek. Egy másik felmérésből kiderült, hogy a távolról dolgozó alkalmazottak 65 százaléka használt olyan eszközöket a járványt megelőzően, amelyeket az IT nem hagyott jóvá. Ugyanez a tanulmány rámutat egy érdekes jelenségre, mégpedig arra, hogy az árnyékinformatika iránti hajlandóság az életkorral változik: az idősebb baby boomerek mindössze 15 százaléka él vele, szemben a fiatal ezredfordulós generáció 54 százalékával, akik ezt hajlamosak sokkal lazábban kezelni.

Miért veszélyes az árnyékinformatika?

A potenciális kockázatot jól példázza az az amerikai kontaktkutató vállalat esete, amely az év elején 70 ezer ember adatait hozhatta nyilvánosságra, miután az alkalmazottak jóváhagyás nélkül használtak Google-fiókokat az információk megosztására.

Íme, néhány példa kiberbiztonsági szakértőinktől az árnyékinformatika veszélyeire:

  • Az IT ellenőrzésének hiánya: így a szoftverek biztonsági frissítések nélkül vagy rosszul konfiguráltan (pl. gyenge jelszavakkal) működnek, ami támadásoknak teheti ki a felhasználókat és így a vállalati adatokat.
  • Nincs vállalati vírusirtó vagy egyéb biztonsági megoldás az árnyékinformatikai eszközök vagy a vállalati hálózatok védelmére.
  • Nem lehet ellenőrizni a véletlen vagy szándékos adatszivárgást/adatmegosztást.
  • Problémák a megfeleléssel és auditálással.
  • Adatvesztés veszélye: az árnyékinformatikai alkalmazások és adatok nem részei a vállalati biztonsági mentésnek.
  • Pénzügyi és reputációs károk egy súlyos biztonsági incidens, például adatszivárgás miatt.

Hogyan kezeljük az árnyékinformatikát?

Szakértőink szerint érdemes megfontolni a következő lépések megtételét:

  • Egy átfogó árnyékinformatikai szabályzat létrehozása, benne az engedélyezett és nem engedélyezett szoftverek és hardverek egyértelmű listájával, valamint az engedélykérés folyamatának leírásával.
  • Az alkalmazottak ösztönzése az átláthatóságra, edukációval és őszinte, kétirányú párbeszéd kezdeményezésével értetve meg velük az árnyékinformatika lehetséges hatásait, kockázatait.
  • Az alkalmazottak visszajelzésének meghallgatása arra vonatkozóan, hogy mely eszközök hasznosak, illetve hatékonyak a számukra és melyek nem. Talán itt az ideje felülvizsgálni a szabályzatot a hibrid munkavégzés hozta új korszaknak megfelelően, hogy jobban egyensúlyba kerülhessen a biztonság és a kényelem.
  • Felügyeleti eszközök használata a vállalaton belüli árnyékinformatika-használat és a kockázatos tevékenységek nyomon követésére, hogy idejében fel lehessen ismerni a szabályszegőket.

Az árnyékinformatika egyértelműen megnöveli a vállalat támadási felületét és komoly kiberbiztonsági kockázatot rejt magában. A probléma eredményes megoldásához az IT-nak szorosabb és hatékonyabb együttműködést kell kialakítania a munkavállalókkal.

Hatékony megoldásaink adatainak védelméhez

Az ESET az alábbi megoldásokat kínálja, amelyekkel nagyobb biztonságban tudhatja bizalmas adatait:

Végpontvédelem

Proaktív technológiákon alapuló végpontvédelmi megoldásaink többrétegű védelmet biztosítanak a mai dinamikus kártevők ellen, és könnyen kezelhetők az ingyenes központi menedzsment megoldásnak köszönhetően.

Tudjon meg többet végpontvédelmi megoldásainkról

Merevlemez titkosítás

Az ESET távoli menedzsment felületeibe beépülő ESET Full Disk Encryption erős, teljes merevlemez titkosítást biztosít, amely hatékonyan védi értékes vállalati adatait, és hozzájárul a megfelelőségi előírások teljesítéséhez.

Tudjon meg többet merevlemez titkosítási megoldásunkról

Többfaktoros hitelesítés

Egyszerű és hatékony megoldás különböző méretű szervezetek számára a többfaktoros hitelesítés megvalósításához. Támogatja a mobil alkalmazássokkal, illetve a push értesítésekkel történő hitelesítést, a hardver tokeneket, a FIDO biztonsági kulcsokat, valamint a teljesen egyedi megoldásokat is.

Tudjon meg többet az ESET hitelesítési megoldásáról

Szervervédelem

Megbízható vírusvédelmi megoldások fájlszerverek, levelezőszerverek és átjárószerverek védelmére.

Tudjon meg többet az ESET szervervédelmi megoldásairól

Szeretné kipróbálni megoldásainkat? Találja meg az Önhöz legközelebb eső viszonteladó partnereinket!

Partnerkeresőnkkel Ön is megtalálhatja a vállalkozásához közeli viszonteladó partnereinket, akik megbízható szaktudással rendelkeznek az ESET termékeire vonatkozóan.

ESET vizsgával rendelkező szakértő és kiemelt viszonteladó partnereink kereséséhez kérjük, kattintson a térképre, vagy az alábbi gombra.

Partnerkeresőnkkel Ön is megtalálhatja a vállalkozásához közeli viszonteladó partnereinket, akik megbízható szaktudással rendelkeznek az ESET termékeire vonatkozóan.

ESET vizsgával rendelkező szakértő és kiemelt viszonteladó partnereink kereséséhez kérjük, kattintson a térképre, vagy az alábbi gombra.

Kérdezzen szakértőinktől díjmentesen!

Bizonytalan abban, hogy vállalkozásának milyen szintű védelemre lenne szüksége? Szeretné kötelezettségek nélkül kipróbálni megoldásainkat? Szeretne többet megtudni a fenyegetésekről és kivédésükről? Magyar szakértői csapatunk díjmentesen segít Önnek már a legelső lépések során is - forduljon hozzánk bizalommal! Kérjük, pontosan adja meg elérhetőségeit, hogy kollégáink fel tudják venni Önnel a kapcsolatot.

Kérjük, ezt a mezőt is legyen szíves kitölteni!
Kérjük, ezt a mezőt is legyen szíves kitölteni!
Kérjük, ezt a mezőt is legyen szíves kitölteni!
adatvédelmi szabályzatot.
Az üzenet elküldéséhez kérjük, szíveskedjen elolvasni és elfogadni az adatkezelési szabályzatot.
Igazolja, hogy Ön nem robot.

Ismeretlen kifejezést talált a szövegben?

Összegyűjtöttük Önnek a legfontosabb IT biztonsági kifejezéseket, amelyekkel könnyebben értelmezheti adatvédelmi és informatikai témájú cikkeinket. Kattintson ide, és keresse meg az Ön által még nem ismert kifejezést!