Shadow IT – להאיר את הצללים

Shadow IT – להאיר את הצללים

14/02/2021  מאת משה דדוש, מנהל תחום תשתיות אבטחת מידע 

 

השפעותיו הגלובאליות של וירוס הקורונה על עולם העסקים הובילו ליצירת נורמות חדשות. במאמר זה נתייחס ל Shadow IT – אתגר מרכזי בתחום אבטחת הסייבר אשר חומק מהראדר של מרבית הארגונים.

Shadow IT הינו מושג שמשמעותו – שימוש בערוצים, מערכות או אפליקציות על ידי משתמשים (עובדים ו- Trusted Groups), שלא הותקנו או עברו קונפיגורציה מתאימה, או שלא אושרו על ידי הארגון. שימוש שכזה מהווה סיכון משמעותי לעסק.

אחת מהדוגמאות הנפוצות ביותר לשימוש ב-Shadow IT בתוך הארגון היא שימוש באפליקציות שיתופיות, אפליקציות להעברת מסרים ואפליקציות לתפעול יומיומי. למשל:

  • אפליקציות שיתופיות: Dropbox, Google Drive
  • אפליקציות להעברת מסרים: Skype, WhatsApp
  • אפליקציות לתפעול: Slack, Trello

לאור הגידול בעובדים מרחוק, כמויות המידע שעוברות בתוך הארגון ומחוצה לו עלו באופן משמעותי. עובדים רבים עושים שימוש במערכות IT ושירותים שלא בהכרח נבחנו או אושרו על ידי הארגון, כדי להשלים את המשימות שלהם ביתר יעילות. לרוב, זה נעשה ללא כוונת זדון ומתוך רצון של העובדים להגביר את התפוקה. עם זאת, ישנה חשיבות מצד הארגונים לפעול בכדי לצמצם את הסיכונים שעולים מכך.

 

סיכונים 

שימוש באפליקציות עסקיות שלא אושרו על-ידי הארגון עשוי להוביל לסיכוני אבטחת מידע משמעותיים, חמורים אף יותר מסיכונים כלכליים או תדמיתיים. להלן כמה מהסיכונים הנפוצים ביותר:

  • רישוי – שימוש באפליקציות ללא רישוי עלול לגרור קנסות גבוהים, ואף להוביל לסכסוכים בתחום המשפט והציות (compliance).
  • תאימות – התקנת אפליקציות חדשות בארגון מבלי לבצע בדיקת מקיפות בסביבה שאיננה תפעולית (non-production environment), עלולה להוביל לכישלון תפעולי ולחוסר תאימות עם מערכות או אפליקציות אחרות בארגון.
  • סודיות –שימוש באפליקציות לא מאושרות מביא להיעדר שקיפות ושליטה בארגון, מה שעשוי לגרום לזליגת מידע רגיש מהארגון.
  • יושר – התקנה של אפליקציה לא מאושרת מבלי שעובדי ה-IT מודעים למקור קבצי ההתקנה עשוי להוות סיכון משמעותי לארגון. הקבצים המותקנים עלולים להכיל קוד עוין ולגרום לפגיעה בארגון (כופר, וירוס, תקשורת מול שרת שליטה ועוד).

 

התמודדות עם הסיכונים

ישנן מספר דרכים להתגבר על בעיות שנובעות משימוש בערוצים, מערכות או אפליקציות שלא אושרו, לדוגמא:

  • הרשאות – ארגונים יכולים למנוע התקנת אפליקציות חדשות או להגביל משתמשים שאינם מורשים לבצע התקנות.
  • ניטור – ישנה חשיבות רבה לניטור מתמשך שבודק גם את המתרחש בנקודות הקצה וגם את תעבורת הרשת בארגון.
  • ניהול נכסים – מומלץ ליצור קטלוג לכל האפליקציות והשירותים שנבחנו ואושרו לשימוש במסגרת נקודות הקצה של החברה והתשתית הקשורה אליה.
  • מערכת DLP (Data Leakage Prevention) – הטמעת מערכת DLP בארגון תוך שימוש בכלים והתהליכים הרלוונטיים (למשל, זיהוי מידע רגיש במסגרת הארגון) הינה חשובה ביותר ומסייעת לזהות ולמנוע דליפת מידע רגיש בארגון.

 

ככל שיותר ויותר ארגונים עושים שימוש בענן ובאפליקציות מבוססות-ענן, הסיכונים ומשטח התקיפה גדלים באופן משמעותי. ארגונים שיש להם שקיפות רבה יותר לגבי הפעילויות של המשתמשים שלהם ומודעות נרחבת בנוגע לאפשרות השימוש בכלים וטכנולוגיות חדשות עבור המשתמשים, יוכלו להגביר את התפוקה הכללית שלהם תוך מזעור הסיכונים מפני חדירת כלים לא רצויים לארגון.

 

לעדכונים שוטפים בתחום אבטחת מידע וסייבר בקרו בבלוג שלנו ועקבו אחרינו בדף הפייסבוק