IT, védj meg a felhő árnyékától!

Főleg a nagyvállalatoknál jellemző, de beférkőzik a kis- és közepes vállalkozások életébe is: az árnyékinformatikáról van szó, ami a felhőszolgáltatások terjedésével és a digitális generáció megjelenésével észrevétlenül csempészi be magát a cég életébe. Szabályzatokkal értelmetlen ellenük harcolni, a megelőzés és az önszabályozó vállalati kultúra erősítése jelenthet gyógyírt a problémára.

A 2016-os amerikai elnökválasztásokat sokan már elfelejtenék, de információbiztonsági szempontból máig emlékezetes Hillary Clinton esete. A Demokrata Párt „katonája” és aktív államigazgatási szerepet vállaló politikusa sem a párt, sem pedig a külügyminisztérium által dollármilliókért kifejlesztett IT-infrastruktúrán belül kommunikált bizalmasaival. Erre a célra a Google szolgáltatását használta – valószínűleg azért, mert ezt szokta meg. A szolgáltatást a párt és a külügyminisztérium IT-szakemberei sem ellenőrizhették. Az árnyékinformatika (shadow IT) klasszikus esetével állunk szemben. Az már csak hab volt a tortán a választások kimenetelét befolyásoló orosz hekkereknek, hogy ezt az ingyenes szolgáltatást adathalász technikával sikerült meghekkelniük, és a klasszikus, ámde emlékezetes adatszivárgás lett ennek következménye.

 

Nincs ráhatás

Az informatikai rendszerekben létezik egy „szürke zóna”, amelyre nincs ráhatása a vállalati informatikusoknak, a cég tulajdonosainak vagy az IT-rendszerek üzemeltetőinek. Ez a zóna az árnyékinformatika, ami azt jelenti, hogy a vállalati rendszereknek az utóbbi években növekvő százalékát olyan megoldások, hardverek, szoftverek vagy szolgáltatások teszik ki, amelyeket nem a helyi IT vagy vezetés üzemeltet, hanem egy magánszemély, vagy akár egy harmadik szolgáltató ellenőriz. Ez olyan szegmense a vállalati információs hálózatnak, amelyre semmilyen ráhatása nincs a vállalatnak – vagyis jelentős biztonsági kockázatot jelent.

„Szintem mindenhol megtalálható az árnyékinformatika” – véli Gombás László, a Datron informatikai vezetője. A vállalatok rengeteg helyen szigorú informatikai korlátozásokat vezetnek be – joggal –, ámde a felhasználók ennél okosabbak, megkerülik őket. A szakember egy példát is említett, ahol a rendszerek tervezési hibája vezetett az árnyékinformatika megjelenéséhez. Annak érdekében, hogy megvédjék a számítógépes merevlemezt a különböző károkozóktól, az egyik cégnél USB-ről indítható operációs rendszereket használtak. A felhasználók nem tudtak saját adatokat másolni a helyi lemezre, így a vállalat előírásait megkerülve, felhőszolgáltatások segítségével oldották meg a szükséges adatmegosztást.

Cégbe szivárgó okos magánkütyük
Az amerikai Infoblox tavalyi kutatása szerint az általuk vizsgált amerikai, német és brit vállalatoknál több ezer engedély nélküli eszköz csatlakozik a vállalati hálózathoz nap mint nap. A kutatásban szereplő vállalatok több mint egyharmadánál 5000-nél több szürke eszköz kapcsolódik a hálózatra, egyharmaduk esetében tipikusan 1000 engedély nélküli IoT-eszköz található. A brit vállalatok 12 százalékánál több mint 10 ezer ehhez hasonló eszközt azonosítottak.

A vállalati hálózatra csatlakozó, legelterjedtebb eszközök:

– fitnesz karkötők (49 százalék),

– digitális asszisztensek (47 százalék),

– okostévék (46 százalék),

– okos konyhai eszközök (33 százalék),

– játékkonzolok(!) (30 százalék).

A vállalati biztonsági előírásoknak nem megfelelő eszközök komoly biztonsági kockázatot jelentenek, hiszen rajtuk keresztül érzékeny vállalati adatokhoz juthatnak a támadók.

Az árnyék informatikai eszközök jelentette fenyegetettségek kezelésére a vállalatok 82 százalékának van valamilyen szabályzata. Azonban az IT-vezetők teljesen a sötétben vannak, ami a szabályzat betartásának fokát illeti: miközben a CIO-k 88 százaléka azt véli, biztonsági szabályzatuk hatásos vagy rendkívül hatásos, a megkérdezett vállalatoknál dolgozók negyedének fogalma sem volt arról, hogy létezik hasonló előírás. Azok közül, akik tudják, hogy létezik hasonló szabályzat, 20 százalékuk bevallása szerint ritkán vagy egyáltalán nem tartják be. Csupán a megkérdezettek egyötöde mondta, hogy minden szabályt könyv szerint betartanak.

Az IoT eszközökkel terjed

A bevezetőben már említett levelezés mellett a naptár szinkronizáció is klasszikus példája a shadow IT-nek: a vállalati naptárbejegyzések előbb vagy utóbb a magánhasználatban lévő mobiltelefonra kerül, és így a személyes naptárral egybemosódik. Vagyis elindul egy olyan adatfolyam, melynek egyik részére a vállalat ráhatással van, ellenőrizheti, míg a másik részével szemben tehetetlen. Az ellenőrzés nélküli data flow kialakulásának már kevésbé nyilvánvaló, de annál veszélyesebb példája a nagyvállalatoknál használt Excel makrók, amelyek sok ellenőrizhetetlen helyről szedik össze az információt, és rengeteg nem hivatalos hellyel osztanak meg vállalati adatokat.

Az árnyékinformatika a felhőszolgáltatások és az IoT-eszközök terjedésével egyre nagyobb szeletet hasít ki a hivatalos IT-infrastruktúrából, helyenként 30-40 százalékra is felmehet az arányuk. A NetEnrich amerikai vállalat felhőtechnológiára összpontosító kutatása szerint a válaszadók több mint felénél az IT jellegű kiadások az informatikai osztály engedélye és ellenőrzése nélkül történik. A technológiai jellegű ráfordítások 20-40 százaléka a szürke zónába sorolható. A shadow IT a hetedik legtöbb aggodalmat kiváltó terület az IT-vezetők számára. A kutatás szerint az IT szinte beletörődött abba, hogy a különböző üzleti területek maguk hozzák meg technológiai döntéseiket, melyekhez saját erőforrásból fejlesztik ki a szükséges alkalmazásokat. Az IT pedig egyre inkább üzemeltetői szerepkört tölt be. És hogy ezek a fejlesztések a szabályzat szerint történnek, megfelelő dokumentációval és a biztonság betartásával? Nos, úgy tűnik, ez már másodlagos kérdés…

 

Rendszerként működnek a rendszerben

Az árnyékinformatikával az a legnagyobb probléma, hogy észrevétlenül működik, mondja Frész Ferenc, a Cyber Services alapító tulajdonosa. Ez napi szinten nem zavarja az IT-operációt, viszont ha gubanc van, ha például vírustámadás éri a céget, akkor senki sem tudja megmondani, hogy a vállalati kommunikációnak eme szürke zónája mit hoz be a hivatalos rendszerbe és mit visz el a hivatalos rendszerből.

Az IT-biztonsági szakember szerint az is gond az árnyékinformatikával, hogy előre nem kiszámítható kockázatokat hordoz magában. Boncolgathatjuk estig, hogy veszélyes vagy sem a shadow IT, de az biztos, hogy ha az informatikai vezető, az informatikus nem tudja, hogy darabra mennyi eszközt és szolgáltatást használnak, illetve hol használják ezeket cégen belül, akkor a kockázatuk óriási. Rendszerként működnek a rendszerben. A vállalati fizikai határvédelmet emiatt nem lehet precízen felállítani, hiszen ezek a szürke eszközök, megoldások, szolgáltatások mindig kockázati pontot jelentenek.

 

Nem várnak hónapokig

Gombás László szerint az is problémához vezet, ha például erőforrás vagy költségvetési forrás hiánya miatt halasztódik el egy-egy olyan fejlesztés, ami a produktivitást segítené. Ha az alkalmazott látja, hogy a repetitív feladatot egy makró segítségével órák helyett percek alatt képes lenne elvégezni, nem vár hónapokat arra, hogy más megírja neki, hanem ha rendelkezik IT affinitással, megoldja magától. Csak lehet, hogy nem ismeri az adatmegosztásra vonatkozó előírásokat, így a vállalatirányítási rendszer adatai pillanatok alatt a felhőbe kerülnek, mert így kényelmesebb megosztani őket. A legrosszabb mindebben, hogy csak egy részletes audit tárhatja fel a szürke területeket. Egészen addig háborítatlanul veszélyeztetik a vállalat működését, felesleges kockázatnak téve ki a szervezetet. Arról nem is beszélve, hogy a nem dokumentált, de jól működő munkafolyamat megszűnik, ha kitalálója megbetegszik vagy eltávozik a cégtől.

A digitális környezethez szokott munkavállalóktól nem lehet ezeket a szolgáltatásokat elvenni, ezek a kommunikációs, kollaborációs lehetőségek annyira természetessé váltak számukra, a kommunikációs kényszer pedig olyan erős, hogy ha megvonjuk őket tőlük, lefagynak, nem tudnak dolgozni, produktivitásuk csökken, egyszerűen megáll az élet a cégen belül.

Van, ahol a vaskalapos fegyelem segít

Megoldás a problémára Frész Ferenc szerint nincs, a vállalatok pulzáló intenzitással szigorítanak vagy enyhítenek a szabályzatokon. Ha túl erősek a szabályok, a munkavállalók úgyis találnak módot arra, hogy kitörjenek a keretekből. A BYOD jelenség visszaszorítása, vagyis a vállalati laptop, mobil eszközök biztosítása azonban sokat segíthet. Az is egyre megszokottabb, hogy munkaszerződés szintjén szabályozzák a kérdést, vagyis definiálják, milyen eszközt és szolgáltatást használhat a munkavállaló vállalati környezetben.

Gombás László tapasztalata szerint a katonai, félkatonai szervezeteknél vaskalapos fegyelemmel irtják az árnyékinformatikát. Ezen túlmenően az önszabályozó vállalati kultúra terjesztésével hatékonyan lehet a szükségtelen kockázatot jelentő shadow IT-t eliminálni. A vállalat azzal előzheti meg térnyerését, hogy elejébe megy a dolgozói igényeknek, a bennük megszületett ötleteket meghallgatja, teret biztosít számukra. Ha a kollégák számára természetessé válik, hogy informatikai igényeiket rövid időn belül megoldják, nem fognak szabotőr módon saját megoldásokban gondolkodni. Lehetséges az úgynevezett „nulla bizalom” elven alapuló vállalati hálózat kiépítése, amit csak olyan eszközről lehet elérni, amely mindenben megfelel a vállalati előírásoknak. Ezeket az előírásokat az IT az érintett részleg vezetőivel együtt dolgozhatja ki, és az olyan, azonosított felhasználók előtt nyitottak, akiknek az eszközei szabványosak. A beépített intelligencia észlelné, ha engedély nélküli forgalom indulna a nulla bizalom hálózatokon, és rögtön kitiltaná az érintett felhasználót – amíg ezt a rendszert ki nem játsszák egy csavaros megoldással.

Forrás: https://www.itbusiness.hu