Тіньове IT: ризики безпеки, приховані у вашому SaaS-стеку

Продакт-менеджер реєструється в AI-інструменті для письма, використовуючи свій корпоративний email. Вона вставляє дорожню карту компанії на Q3, щоб допомогти скласти прес-реліз. Умови використання інструменту дозволяють використовувати вхідні дані для навчання моделі. Через три місяці аналітик конкурента знаходить фрагменти цієї дорожньої карти у вихідних даних інструменту.

Ніхто не схвалив інструмент. Ніхто не переглянув його політику конфіденційності. Ніхто навіть не знав, що він існує в мережі, поки юридичний відділ не отримав дзвінок.

Тіньове IT — це використання обладнання, програмного забезпечення, хмарних сервісів або додатків в організації без відома або схвалення IT-команди або команди безпеки. Це включає особисті облікові записи хмарного зберігання, що використовуються для робочих файлів, месенджери, прийняті окремими командами, AI-інструменти, доступні через веб-браузери, та SaaS-продукти, придбані на кредитні картки відділів. За даними Gartner, 41% працівників придбали, змінили або створили технології поза видимістю IT у 2023 році, і ця цифра прогнозується на рівні 75% до 2027 року. Звіт Productiv за 2024 рік виявив, що середнє підприємство використовує 371 SaaS-додаток, але має IT-схвалені контракти лише на 20-30% з них. Тіньове IT не є зловмисним. Працівники приймають несанкціоновані інструменти, тому що вони вирішують негайні робочі проблеми швидше, ніж офіційний процес закупівель. Але кожен несхвалений сервіс створює немоніторний потік даних, неперевірений дозвіл доступу та потенційне порушення відповідності.

Розрив між тим, що надає IT, і тим, що потрібно працівникам, стимулює більшість впровадження тіньового IT. Розуміння мотивації важливе, оскільки каральні підходи не працюють. Люди приймають несанкціоновані інструменти з практичних причин.

Швидкість. Середній цикл корпоративних закупівель ПЗ займає 3-6 місяців. Координатор маркетингу, якому потрібно змінити розмір зображень для кампанії завтра, зареєструється в Canva сьогодні. Інженер, який хоче протестувати нову базу даних, запустить безкоштовний рівень на AWS з особистого облікового запису до обіду.

Тертя в схвалених інструментах. Коли схвалений інструмент управління проектами незграбний, а команда вже знає Notion, люди будуть використовувати Notion. Коли IT мандатує систему обміну файлами, яка вимагає VPN-доступу та три кліки для обміну документом, працівники будуть використовувати Google Drive або Dropbox зі своїми особистими обліковими записами. Саме такий розповсюд інструментів, прийнятих командами, адресує наша вправа з гігієни інструментів спільної роботи.

Впровадження AI-інструментів. Це найшвидше зростаюча категорія тіньового IT. ChatGPT, Claude, Gemini, Midjourney та десятки нішевих AI-інструментів увійшли в робоче середовище швидше, ніж будь-яка технологічна категорія в історії. OpenAI повідомив про 100 мільйонів щотижневих активних користувачів на початок 2024 року. Більшість цього використання в корпоративному контексті почалось без залучення IT. Працівники, що вставляють пропрієтарні дані в AI-інструменти, тепер є основним вектором витоку даних.

Закупівлі на рівні відділів. SaaS-продукти з ціноутворенням за робоче місце та оплатою кредитною карткою роблять тривіальним для керівника відділу прийняти інструмент без проходження через закупівлі. Маркетинг купує планувальник соціальних мереж. Продажі купують інструмент пошуку клієнтів. Підтримка клієнтів купує платформу опитувань. Кожна покупка достатньо мала, щоб пройти непоміченою фінансами.

Тіньове IT перетворює ваш периметр безпеки на швейцарський сир. Кожен несхвалений інструмент — це дірка, про яку ваша команда безпеки не знає і не може моніторити.

Коли працівник підключає SaaS-інструмент до свого корпоративного облікового запису Google Workspace або Microsoft 365 через OAuth, він часто надає широкі дозволи: читання листів, доступ до календаря, перегляд файлів, управління контактами. Працівник бачить зручний єдиний вхід. Команда безпеки бачить неперевірену третю сторону з доступом на читання до корпоративних даних.

Дослідження Nudge Security 2024 року виявило, що середнє підприємство має понад 3 000 OAuth-грантів для сторонніх додатків, з яких 17% надають доступ до вмісту електронної пошти. Якщо будь-який з цих сторонніх сервісів буде зламаний, зловмисник отримує будь-які дозволи, які несе OAuth-токен. Це ризик стороннього додатка, який більшість працівників не враховують, коли натискають “Дозволити”.

Кожен обліковий запис тіньового IT — це новий набір облікових даних для управління. Працівники повторно використовують паролі, тому що мають занадто багато облікових записів для підтримки унікальних. Вони використовують слабкі паролі на інструментах, які вважають “неважливими”. Вони рідко вмикають MFA на особистих SaaS-акаунтах.

Це безпосередньо пов’язано з ризиком credential stuffing. Злом на невідомому дизайн-інструменті, на який працівник зареєструвався з корпоративним email, стає обліковими даними, які зловмисники тестують проти Microsoft 365, VPN-кінцевих точок та кожної іншої корпоративної системи.

Тіньове IT робить звітність відповідності неповною за визначенням. Ви не можете включити потоки даних, про які не знаєте, у ваші записи обробки GDPR, описи системи SOC 2 або оцінки ризиків HIPAA.

Якщо працівник використовує AI-сервіс транскрибування для обробки записів нарад, що містять персональні дані клієнтів, ця діяльність з обробки даних невидима для вашого офіцера захисту даних. За GDPR організація все ще відповідальна за те, як ця третя сторона обробляє дані, навіть якщо ніхто не санкціонував її використання. За HIPAA один несанкціонований хмарний сервіс, що обробляє інформацію пацієнтів, може становити злом, що підлягає повідомленню.

Витрати на відповідність масштабуються з кількістю невідомих сервісів. Дослідження Productiv свідчить, що середнє підприємство має 975 SaaS-додатків, які IT не може обліковувати.

Тіньове IT створює вихідні канали даних, що обходять інструменти DLP (Data Loss Prevention). Коли працівник завантажує таблицю з записами клієнтів у свою особисту базу Airtable, цей переказ не перетинає жодної межі моніторингу, яку контролює команда безпеки. Коли розробник пушить пропрієтарний код у свій особистий репозиторій GitHub, щоб працювати вдома, системи виявлення внутрішніх загроз компанії цього не бачать.

Це не завжди навмисний витік. Здебільшого це зручність. Але ефект той самий: конфіденційні дані покидають контроль організації без логування, без вимог шифрування та без політик утримання.

Не можна захистити те, чого не бачите. Виявлення — перший крок, і він повинен бути безперервним, а не одноразовим аудитом.

Аналіз мережевого трафіку. Моніторте DNS-запити та логи веб-трафіку на домени, пов’язані з SaaS-додатками. Брокери безпеки хмарного доступу (CASB) можуть категоризувати трафік та ідентифікувати сервіси, до яких здійснюється доступ з корпоративних мереж. Це виявляє інструменти, що використовуються на корпоративних пристроях та мережах, але пропускає особисті пристрої на особистих мережах.

Аудит OAuth-грантів. Перегляньте сторонні додатки, підключені до вашого тенанту Google Workspace або Microsoft 365. Обидві платформи надають адміністративні консолі, що перелічують усі OAuth-гранти. Сортуйте за рівнем дозволів та позначайте будь-який додаток з дозволами на читання пошти, доступ до файлів або адмін-дозволами, якого немає у вашому затвердженому списку.

Аналіз звітів про витрати. Шукайте в корпоративних виписках кредитних карт та звітах про витрати оплати SaaS-вендорам. Закупівлі ПЗ на рівні відділів часто з’являються як малі повторювані платежі. Фінансові команди можуть позначати невідомих вендорів ПЗ під час рутинних перевірок.

Опитування працівників. Запитайте працівників напряму, які інструменти вони використовують. Сформулюйте це як зусилля покращити інструментарій, а не як примус. “Які інструменти допомагають вам у роботі, яких IT не надає?” дає більш чесні відповіді, ніж “Чи використовуєте ви несанкціоноване ПЗ?” Багато програм виявлення тіньового IT знаходять більше сервісів через опитування, ніж через технічне сканування.

Аудит браузерних розширень. Браузерні розширення — це форма тіньового IT, яку часто не помічають. Розширення можуть читати вміст сторінок, перехоплювати натискання клавіш та витікати дані. Регулярні аудити встановлених розширень у керованих браузерах виявляють несанкціоновані інструменти, що працюють непомітно. Наша вправа з безпеки браузерних розширень проводить працівників через оцінку дозволів розширень та виявлення ризикованих доповнень.

Найгірша реакція на виявлення тіньового IT — тотальна заборона. Заблокуйте все несхвалене, і працівники знайдуть обхідні шляхи. Вони будуть використовувати особисті пристрої на особистих мережах, роблячи проблему невидимою замість керованої.

Створіть прискорений процес схвалення. Якщо закупівлі займають шість місяців, люди їх обходитимуть. Побудуйте легкий процес перегляду для SaaS-інструментів з низьким ризиком, який займає дні, а не місяці. Визначте рівні ризику: дизайн-інструмент без доступу до даних відрізняється від AI-інструменту, що обробляє розмови клієнтів. Застосовуйте пропорційний контроль.

Опублікуйте список затверджених альтернатив. Для кожної поширеної категорії тіньового IT (обмін файлами, управління проектами, AI-асистенти, дизайн-інструменти) надайте затверджену альтернативу, яка є конкурентоспроможною. Якщо затверджений інструмент значно гірший за несанкціоновану альтернативу, впровадження провалиться. Залучайте команди до вибору інструментів, а не нав’язуйте зверху.

Впровадьте SSO та SCIM-провізіонінг. Вимагайте, щоб будь-який затверджений SaaS-інструмент підтримував єдиний вхід та автоматичне провізіонування користувачів. Це зменшує розростання облікових даних, забезпечує покриття MFA та надає IT автоматичне депровізіонування, коли працівники звільняються. Проблема прийому-переміщення-звільнення погіршується з кожним некерованим SaaS-акаунтом.

Встановіть чіткі політики використання AI. Категорія AI потребує власних правил, оскільки ризики відрізняються. Визначте, які типи даних можна і не можна вводити в AI-інструменти. Вкажіть, які AI-інструменти затверджені. Зробіть політику конкретною: “Не вставляйте вихідний код, дані клієнтів, фінансові прогнози або внутрішні комунікації в будь-який AI-інструмент без угоди про обробку даних.” Загальні заборони типу “будьте обережні з AI” нічого не досягають.

Навчайте безперервно, а не карально. Навчання відповідності, яке пояснює чому тіньове IT створює ризик, ефективніше, ніж навчання, що перелічує заборонені інструменти. Працівники, які розуміють ризики OAuth-дозволів, шляхи витоку даних та наслідки для відповідності, приймають кращі рішення, ніж працівники, які просто бояться бути спійманими. Наша вправа з обізнаності про тіньове IT проводить працівників через наслідки несанкціонованого впровадження інструментів у реалістичному сценарії.

Тіньове IT з’являється у посмертних аналізах зломів частіше, ніж більшість організацій усвідомлює, але його рідко ідентифікують як першопричину, оскільки несанкціонований сервіс є точкою входу, а не заголовком.

Звіт IBM Cost of a Data Breach 2024 виявив, що зломи із залученням тіньових даних (даних, збережених у некерованих або несанкціонованих розташуваннях) коштують в середньому $5,27 мільйонів, на 16% більше, ніж зломи із залученням тільки керованих даних. Тіньові дані були залучені у 35% усіх досліджених зломів.

Шлях атаки зазвичай слідує шаблону:

1. Працівник створює обліковий запис на несанкціонованому SaaS-інструменті, використовуючи корпоративний email та повторно використаний пароль.
2. SaaS-інструмент зазнає зламу, розкриваючи облікові дані.
3. Зловмисники тестують ці облікові дані проти корпоративних облікових записів працівника.
4. Корпоративний обліковий запис скомпрометований, даючи зловмиснику доступ до внутрішніх систем.

Цей ланцюг пов’язує тіньове IT з credential stuffing, компрометацією ділової пошти і зрештою розгортанням програм-вимагачів. Кожен крок добре задокументований окремо. Тіньове IT — каталізатор, що запускає послідовність. Ризик множиться, коли працівники не можуть відрізнити конфіденційні дані від неконфіденційних. Без навчання з класифікації даних вони завантажують конфіденційні файли в несанкціоновані інструменти, не розуміючи ступеня ризику.

Мобільні пристрої поглиблюють проблему. Працівники встановлюють робочі додатки на особисті телефони, змішуючи особисті та корпоративні дані в додатках, яких IT не бачить. Особистий телефон з корпоративним email, несанкціонованим хмарним сховищем та без реєстрації MDM — це ходяче розгортання тіньового IT.

Більшість впроваджень тіньового IT не зловмисні чи недбалі. Це працівник, який вирішує реальну проблему, не усвідомлюючи наслідків. Надання працівникам короткого контрольного списку зменшує несанкціоновані впровадження, не сповільнюючи законну оцінку інструментів.

“Чи потрібен цьому інструменту доступ до моїх робочих облікових записів?” Якщо процес реєстрації просить підключитися до Google Workspace, Microsoft 365, Slack або будь-якого іншого корпоративного сервісу, зупиніться. Це OAuth-з’єднання є найвищим ризиком у тіньовому IT. Якщо вам потрібен інструмент, попросіть IT переглянути дозволи спочатку.

“Які дані я вкладаю в це?” Інструмент для зміни розміру особистих фото несе інший ризик, ніж той, куди ви вводите імена клієнтів, внутрішні документи або вихідний код. Якщо дані були б проблемою при публікації, вони не повинні потрапляти в неперевірений інструмент.

“Хто ще в моїй компанії це використовує?” Якщо кілька людей з різних відділів використовують той самий несанкціонований інструмент, це сигнал, що IT повинен його оцінити офіційно. Згадайте про це менеджеру або IT-контакту. Можливо, вже є затверджена версія, або IT може прискорити схвалення.

“Що станеться з моїми даними, якщо я перестану це використовувати?” Більшість безкоштовних SaaS-інструментів зберігають дані безстроково, якщо ви не запросите явного видалення. Обліковий запис, який ви використовували два тижні і забули, все ще зберігає те, що ви завантажили. Ці файли залишаються доступними для вендора, для будь-кого, хто скомпрометує вендора, та для будь-кого, хто скомпрометує ваш неактивний обліковий запис.

“Чи є затверджена альтернатива?” Перевірте каталог додатків вашої компанії або запитайте IT перед реєстрацією. Якщо затвердженої альтернативи не існує і інструмент справді покращує вашу роботу, запросіть її. Найшвидший спосіб усунути тіньове IT — зробити затверджений стек дійсно корисним.