קבלו סיפור דמיוני: חברה שמספקת שירותי תכנון הנדסיים שוכרת צוות מומחים מחברה חיצונית, המספקת כוח אדם וכלים בתחום החישובים הסטטיסטיים וחיזוי מגמות. המומחים החיצוניים פועלים מתוך משרדי החברה עם גישה זהה למערכות ולשירותים בדיוק כמו לעובדי החברה. עד כאן? הכל טוב. אבל...ראש הצוות של המומחים הסתובב במשך תקופה לא מבוטלת עם "בטן מלאה", בגלל שלהרגשתו,  "מחלקת ה-IT לא סופרת אותנו; יש לנו, כצוות הקסוגני, צרכים ייחודיים, שאינם זוכים למענה מקצועי, רק בגלל שאנחנו לא משלהם". 

נהנים מהתכנים של המומחים של Deloitte? רוצים להשפיע על התכנים הבאים? לחצו כאן
 

יום גשום אחד נחת במשרדי צוות המומחים שרת חדיש וקומפקטי. חיש מהר הותקנה עליו מערכת הפעלה בשילוב עם האפליקציה הוותיקה והטובה לחישובים סטטיסטיים שפיתחו כבר לפני עשר שנים. השרת חובר לרשת הארגון ששכר את שירותיהם, וכדי לאפשר עבודה מהבית, נרכש נתב סלולרי רחב פס. היעילות והתפוקה זינקו, ו...השבחים לא אחרו להגיע. יחד איתם, התחלפה תחושת החמיצות בגאוות יחידה: "אנחנו לא תלויים באף אחד (בוודאי לא בצוות ה-IT של החברה האיטי משהו".

הימים חלפו, הפרויקטים גדלו ואיתם נפחי המידע הארגוני, ולשרת הבודד נוספה מערכת אחסון עתירת טרה-בייטים ומערכת גיבוי לכל צרה שלא תבוא. השמועות אודות ארגון ה-IT המחתרתי החלו להתפשט, ומחלקת המודלים המתמטיים גילתה עניין באפליקציה. עד מהרה מחלקת ה-IT החוקית עמדה בפני עובדה מוגמרת: ממש מתחת לאפה צמח ארגון IT פראי. לא נתפלא, אפוא, שמנהל מחלקת ה-IT דרש לסגור ולפרק את הארגון הסורר ומיד! אבל היה קאצ' – היחידה המחתרתית יצרה לעצמה ערך עסקי שהפך לבלתי ותיר (Expendable) מה עושים? 

מיכאל שטרית, מנהל במרכז הסייבר של Deloitte ישראל (צילום: שיווק)
מיכאל שטרית, מנהל במרכז הסייבר של Deloitte ישראל | צילום: שיווק

נעצור כאן את סיפורנו הדמיוני, ונציין שהתופעה המתוארת כאן מוכרת בתעשייה בשם Shadow" IT": מצב בו נפרסת מערכת מידע טכנולוגית ללא ידיעה ואישור של מחלקת ה-IT. הסיכונים הנובעים מ- Shadow IT ופוטנציאל הנזק לארגון עצומים כמו: הגדלת משטח התקיפה על הארגון, דלף מידע, אובדן מידע, סיכוני פרטיות ורגולציה, הפרת זכויות יוצרים ועוד. Shadow IT איננו מצוי תחת מדיניות הניהול ואבטחת המידע של הארגון, ללא בקרות הגנה וללא עדכוני אבטחה. במילים אחרות: פושעי הסייבר אוהבים Shadow IT ומחפשים אותם בנרות; זהו כר פורה ופוטנציאלי לתקיפות עם ריבוי נקודות חדירה. 

Shadow IT הנו מונח רחב המקפל בתוכו מגוון פעילויות שמחלקת ה-IT הארגונית איננה מעורבת בהן כמו: רכש ופריסה של תחנות עבודה, שרתים, התקני אחסון, ציוד תקשורת, תוכנה, שירותי ענן, אפליקציות ושירותים. מדוע עובדים או ספקים מפעילים  Shadow IT? הסיבות הינן רבות ומגוונות: החל בפוליטיקה ארגונית קלוקלת; עבור בממשל תאגידי לקוי ובחוסר תשומת לב של ההנהלה לצרכים המשתנים; אבל הסיבה העיקרית (תתפלאו) היא השאיפה להתייעל בתהליכי העבודה ולקצר זמנים. אם לסכם – על פי רוב, טובת הארגון היא זו שמנחה את העובדים הנלהבים.

מחקר שנערך על ידי חברת הסייבר RSA לפני שנים אחדות מצא ש-35% מהעובדים בארגונים גדולים סבורים "שצריך לעקוף" את מדיניות אבטחת המידע הארגונית לטובת השגת היעדים. לדוגמא, עובד בארגון מגלה ורוכש אפליקציה או שירות טובים יותר ממה שקיים בארגון, עד מהרה השמועה מתפשטת ועובדים נוספים מצטרפים.

"הסיכונים הנובעים מ-Shadow IT ופוטנציאל הנזק לארגון עצומים כמו: הגדלת משטח התקיפה על הארגון, דלף מידע, אובדן מידע, סיכוני פרטיות ורגולציה, הפרת זכויות יוצרים ועוד. Shadow IT איננו מצוי תחת מדיניות הניהול ואבטחת המידע של הארגון, ללא בקרות הגנה וללא עדכוני אבטחה. במילים אחרות: פושעי הסייבר אוהבים Shadow IT ומחפשים אותם בנרות; זהו כר פורה ופוטנציאלי לתקיפות עם ריבוי נקודות חדירה" 

מהפיכת הענן טרפה את הקלפים בכל הקשור לרכישה ופריסה של שירותים ויישומים; הקלות הבלתי נסבלת של רכישה, שימוש וניהול שירותי Cloud SaaS אך מחריפים את ממדי התופעה. למעשה, שירותי SaaS מהווים את הקטגוריה הצומחת והגדולה ביותר של Shadow IT. שירותי ענן סטנדרטיים כמו Microsoft 365, Google Workspace ,Slack, בשילוב עם עם היכולת המובנית לאחסון ושיתוף מידע ומגמת השימוש בציוד פרטי בעבודה ( (BYOD כמו טלפונים חכמים, מכשירי טאבלט ומחשבים ניידים חושפים את הארגון לסיכוני אבטחת מידע משמעותיים. 

אז מה בדיוק הבעיה עם Shadow IT? כל ארגון עשוי ליפול קורבן להתקפת סייבר ללא הודעה מוקדמת. מגמות התפשטות מגפת הכופרה Ransomwares, וחוסר בבקרות למניעת Shadow IT הנם מתכון ודאי להתרחשות מתקפה "מוצלחת". עובד מוריד תוכנה הכוללת Trojan למחשבו ללא ידיעה ואישור מחלקת ה-IT  וזו משמשת גורמים עוינים "כנקודת קפיצה" להתקפה נרחבת. לא ניתן לעשות דבר עם הידיעה בדיעבד שהמקור להתקפה היה Shadow IT. המחקר של RSA גילה ש-63% מהעובדים שולחים מסמכים למייל הפרטי שלהם כדי לעבוד בבית ובכך חושפים מידע ארגוני בהתקנים ורשתות לא מנוהלות. 

ארגונים משקיעים כסף רב ומאמצים ניכרים באבטחת סייבר כדי למנוע חדירה לרשת או לענן, אבל מה התועלת בכך אם העובדים יוצרים בלי משים לב ומתוך כוונה טובה מעקף מתחת לרדאר של ה-IT ואבטחת המידע? ארגונים צריכים להפנים כי Shadow IT  הנו קרב שאי אפשר לנצח בו ללא הנחלתה של מודעות נרחבת, אמצעי הגנה ובקרה. חברת המחקר Gartner העריכה שיותר משליש מההתקפות "המוצלחות" שחוו ארגונים מקורם ב- Shadow IT כולל Shadow Internet of Things. 

כפי שראינו בסיפורנו הבדיוני, קיים פרדוקס מובנה ב- Shadow IT: למרות ועל אף הסיכונים הרבים קיימים יתרונות משמעותיים, תהליכי אישור פורמליים עשויים להמשך זמן ומהווים צוואר בקבוק לפרודוקטיביות, במיוחד כאשר ניתן ליישם פתרונות חלופיים, לפעמים תוך דקות ספורות. אנשי וכאן, משימתם של אנשי ה IT היא להתמודד נכון עם הפרדוקס. מציאת דרך ביניים עשויה לאפשר לעובדים למצוא פתרונות מתאימים תוך בקרה, שליטה וניהול של מחלקת ה-IT. האמירה שלא ניתן להגן על משהו שאינך מודע אליו תקפה מאי פעם. 

אז מה עושים כדי לנהל את Shadow IT כראוי?

  1. הדרכה ומדיניות

    על הארגון להשקיע במודעות Shadow IT בשילוב מדיניות הסברה שמסבירה בבירור לכלל העובדים את הנושא והסיכונים שטמונים בתופעה, תוך ציון דוגמאות קונקרטיות. הדרכות תקופתיות להסברת הנושא והכללתם בתהליכי הקליטה לעובדים חדשים יחוללו שינוי גדול.

  2.  יישום בקרות מניעה וגילוי

    על הארגון ליישם בקרות מניעה (Preventive controls) ובקרות ניטור וגילוי (Detectives controls), מניעה וחסימה של הורדות של אפליקציות, תוכנה וגישה לשירותי אינטרנט לא מורשים, ולבצע סריקות יזומות באופן שוטף כדי לגלות אפליקציות, תוכנה ושירותים לא מורשים.

  3. גישה מנוהלת לענן

    שימוש בכלים מקומיים או בענן לניהול הגישה לשירותי ענן באמצעות טכנולוגיות כמו SASE, CASB ,Web Gateway המספקים נראות (Visibility) ואוכפים מדיניות גישה והרשאות (Policy) בשירותי ענן .

  4. גזרים ומקלות

    אפשרו לעובדים להמליץ ולהצדיק רכישה של אפליקציות ושירותים חדשים באמצעות מנגנון קל ופשוט כמו טופס בפורטל הארגוני, והעניקו פרס והכרה במידה והארגון אימץ את ההמלצה תוך הדגשת היתרונות שהושגו באמצעות האפליקציה או השירות החדשים. יחד עם זאת, על הארגון להבהיר שכל חריגה מנהלי Shadow IT תהווה עילה להשעיה או סיום העסקה.

 

  ביקורות Shadow IT

התקשרו עם גורם חיצוני מומחה כדי לבצע ביקורות Shadow IT באופן תקופתי כדי לבחון את ההלימה בין המדיניות הארגונית לבקרות המניעה והגילוי להפחתת סיכונים.

מעוניינים לשמוע עוד מהמומחים שלנו. מוזמנים להקליק כאן