Теневая ИТ-инфраструктура – одна из самых распространенных проблем для информационной безопасности. Под этим термином подразумевается использование сотрудниками компаний параллельных цифровых технологий в дополнение или вместо имеющихся внутри корпоративной информационной инфраструктуры. В этой статье IT-World рассмотрит, почему серая зона возникает, каковы основные угрозы от ее использования и какие решения могут помочь перевести теневой ИТ в легальное и зримое поле.
Зачем люди это делают?
Можно выделить три основные причины появления теневого ИТ: вредоносное использование, сознательный обход слишком строгих мер ИБ и халатность.
В первом случае внутренние нарушители используют сторонние облачные хранилища, собственные устройства, флешки и так далее для сбора корпоративной информации с целью использовать ее в личных целях: продать заинтересованным, отомстить компании, реализовать политические взгляды, самоутвердиться через реализацию обнаруженных недостатков. Например, сотрудник компании может передавать трейдерам документы, которые выгружает на своей личный ноутбук, чтобы те могли корректировать свое поведение на бирже, ориентируясь на инсайдерскую информацию.
Политизация инсайдеров может стать угрозой для кибербезопасности
В случае осознанного обхода из-за чересчур строгих мер кибербезопасности мы говорим о системном конфликте ИБ и бизнес-процессов, когда решения и правила, которые были внедрены, чтобы повысить защищенность, настолько усложняют работу, что пользоваться «перезащищенными» сервисами становится невозможно.
К примеру, компания А стремится внедрить у себя политику нулевого доверия, чтобы обезопасить доступ к данным. Одним из шагов стала повторная аутентификация при доступе к корпоративному облачному хранилищу. Ошибки аутентификации, сложность процедуры восстановления утерянных учетных данных (написание служебных записок с длительным согласованием вышестоящим руководством и т.д), необходимость повторного подтверждения даже для совершения простых действий, чрезвычайно ограниченное допустимое время бездействия в системе для непривилегированных пользователей - все это привело к тому, что сотрудники стали использовать сторонний диск, чтобы хранить и обмениваться данными, в том числе ценной информацией.
Другой кейс – тотальный запрет на использование тех или иных информационных технологий. В одном из недавних проектов по анализу защищенности эксперты «Кросс технолоджис» столкнулись с такой ситуацией: в организации был запрещен Wi-Fi даже для доступа посетителей (так называемый гостевой Wi-Fi), интернет работал только по принципу white list, когда доступ можно получить только к ограниченному набору ресурсов, в основном корпоративных. Такой подход обрубает для пользователей «связь с миром», что и должно обеспечивать защищенность. Организация располагалась в местности с нестабильным приемом сети сотовой связи. На деле же работники развернули более 70 неконтролируемых Wi-Fi точек, для которых не применялось никаких ИБ-мер и практик и через которые циркулировала ценная корпоративная информация.
Халатность – еще одна важная причина возникновения «серой зоны». Под данным термином мы подразумеваем ситуацию, когда сотрудники используют аналоги корпоративных цифровых технологий (чаще всего это личная электронная почта, или публичное облачное хранилище). Подобная практика возникает не по причине негативного пользовательского опыта, а потому, что сотрудник не всегда осознает опасность такого поведения для ИБ и исходит из своих привычек. В дальнейшем мы сфокусируемся на теневом ИТ, который возникает из-за противоречия ИБ и бизнес-процессов, и халатности сотрудников.
А что не так с теневым ИТ?
Можно выделить две основные формы существования теневого ИТ – использование сторонних сервисов и использование нерегламентированных устройств.
В первом случае сотрудники начинают вместо корпоративных решений использовать сторонние облака, мессенджеры, почтовые сервисы, ИИ-ассистентов. Отметим – уровень защищенности данных в популярных решениях от Google или Яндекс достаточно высокий: двухфакторная аутентификация, регулярный патч-менеджмент, шифрование и так далее делают сервисы достаточно безопасными для хранения данных, когда это не противоречит регуляторным требованиям. Зачастую это кажется удобным, когда нужно собрать информацию от многих работников, например по графику отпусков на следующий год, ведь очень удобно пользоваться одновременной работой с документом. Проблемы начинаются на уровне контроля пользователем доступа к своему аккаунту.
К примеру, пользователь по ошибке сделал общедоступной ссылку на публичное облако, на котором он разместил корпоративную документацию. Случайно попавшая в руки злоумышленника ссылка открывает дорогу к эксфильтрации чувствительной информации. Украденные данные могут использоваться для вымогательства, могут быть проданы в даркнете или использоваться для целевых фишинговых атак.
Использование личных устройств еще более распространено, так как большинство людей привыкли вести переписки и созвоны со своих телефонов, доделывать задачи дома, скинув файлы через мессенджер на личный ноутбук и так далее. Первичная угроза здесь, как и в случае с использованием сторонних сервисов, не угроза взлома устройства – часто смартфоны и современные ноутбуки по умолчанию защищены не хуже, чем корпоративная техника. Главная проблема – отсутствие контроля за тем, кто имеет доступ к информации, как она обрабатывается, какие программы скачиваются, могут ли они быть вредоносными и так далее.
Невидимые угрозы: почему сотрудники могут стать киберриском
Теневой ИТ опасен не столько уязвимостью технологий, которые человек использует, сколько тем, что ИБ-команда не может осуществлять контроль над тем, как хранится и обрабатывается информация. Вероятность несанкционированного доступа к ней становится значительно выше, время на реакцию увеличивается, так как мониторинг за передвижением данных не осуществляется, а утечка может оставаться незамеченной долгое время, хотя с использованием информации из нее может уже готовиться более серьезная атака на компанию.
Как всех узаконить?
Конечно, специалисты по информационной безопасности не могут просто закрывать глаза на развитие теневого ИТ в компании. Мы выделим несколько основных решений, которые в последние годы показали наибольшую эффективность в борьбе с этой проблемой.
Во-первых, эффективным инструментом станет внедрение концепции Bring Your Own Device (BYOD). Она подразумевает, что использование личных устройств – не личное решение сотрудника, которое может привести к утечке чувствительной информации, а корпоративная политика, соответственно, для обеспечения защищенности их использования применяются централизованные меры.
Здесь есть два основных канала – внедрение MDM-решений (Mobile Device Management) на личные устройства сотрудников или использование супераппов, в которых сконцентрированы корпоративные сервисы.
В первом случае ИБ-специалисты получают возможность осуществлять мониторинг за устройством пользователя, пресекать подозрительную активность и, в целом, держать под контролем защищенность ценной информации. Из минусов – такой мониторинг может восприниматься как вторжение в личную жизнь, так как используется личное устройство сотрудника. Для многих такой подход может быть неприемлемым.
Во втором варианте работник устанавливает на свое устройство приложение, в котором собраны необходимые для работы сервисы и базы данных. Приложение не обменивается информацией с устройством, введены ограничения на создания скриншотов работы корпоративного приложения и т.д., данные хранятся и обрабатываются изолированно, что делает их более защищенным от вмешательства через взлом телефона. Сегодня компании чаще прибегают именно к этому варианту, так как он лучше всего сочетает безопасности с комфортом и удобством пользователя.
Во-вторых, компании могут внедрять политики использования внешних сервисов таким образом, чтобы сделать это безопасным. В этом случае должно быть установлено ограничение на то, какая информация может храниться и обрабатываться в публичных облаках, кому можно открывать доступ к документам и так далее. Грамотная настройка гораздо эффективнее, чем полный запрет использования сервисов – она позволяет получить все преимущества от использования внешних сервисов и при этом сделать его максимально безопасным для компании.
В-третьих, важнейшая составляющая – это повышение осведомленности сотрудников о важности информационной безопасности. Регулярные тренинги, киберучения, привлечение внимания к работе ИБ-специалистов через публикации в корпоративных медиа увеличивают понимание работников, почему это важно и нужно.
При этом материалы для обучения не должны быть идентичными для всех: каждое подразделение сталкивается со своими, уникальными рисками. Например, специалисты из бухгалтерии вряд ли столкнутся с вредоносным резюме, которое прислали в HR-департамент, а специалист по персоналу не получит поддельные счета от контрагентов. Специализированные курсы и практические упражнения для отработки навыков могут реально повысить уровень информационной безопасности в компании и предотвратить халатное отношение к использованию нерегламентированных цифровых технологий.
Стоит отметить, что о практиках ИБ в компании и важности соблюдения требований должны быть уведомлены не только сотрудники внутри организации, но и подрядчики, провайдеры, партнеры. Зачастую они имеют широкий доступ к информационной инфраструктуре, могут также использовать теневой ИТ и быть потенциальным вектором атаки на компанию.
В-четвертых, ИБ-специалисты должны принимать участие в выборе цифровых сервисов для их внедрения в информационную инфраструктуру компании и их тестировании. Таким образом они смогут оценить, как можно обеспечить максимальную защищенность при этом не навредив удобству и функционалу решения.
Отдельно стоит проговорить ситуацию с регуляторными требованиями. Зачастую они, увы, разрабатываются без опоры на реальный пользовательский или корпоративный опыт, то есть теоретически могут провоцировать то самое противоречие бизнес-процессов и информационной безопасности. Очень важными в данной ситуации становятся консультации регуляторных органов с экспертным сообществом, которое может указать на потенциальные проблемы. Отложить внедрение новых требований в такой ситуации всегда лучше, чем ввести те, которые по факту не будут соблюдаться и лишь создадут дополнительные риски.
Подводим итоги
Восприятие информационной безопасности как направления, которое ненужными запретами вредит эффективности, давно устарело. Сегодня кибератака становится лишь вопросом времени, кибербезопасность становится неотъемлемой частью непрерывности бизнеса.
Теневой ИТ возникает там, где конфликт между ИБ и бизнесом все еще не решен. Зачастую ставить в вину сотрудникам использование параллельных сервисов нельзя – они просто хотят выполнять свою работу эффективно. Устранение противоречий – важнейшая задача, решение которой приведет к снижению киберрисков.
Самый правильный подход – поручить реализацию таких проектов профессионалам. Внутренняя ИБ-команда зачастую занята решением операционных задач и не имеет времени на грамотную настройку и внедрение мер безопасности с учетом бизнес-процессов. Сторонние специалисты могут рассмотреть систему в комплексе, составить оптимальную архитектуру безопасности и внедрить средства без ущерба эффективности бизнес-процессов.