Теневое ИТ: чем это опасно для бизнеса и как выявлять теневые ИТ-решения

Стихийно установленные сотрудниками сервисы и приложения создают уязвимости для утечек данных и других проблем, о которых ИТ-отдел даже не догадывается. Теневое ИТ — это не просто самодеятельность сотрудников, а реальные бреши в системе безопасности.

Давайте разберемся, как находить такие решения и как с ними бороться, не терроризируя подчиненных и не руша бизнес-процессы.

Что такое теневое ИТ простыми словами

Теневое ИТ (Shadow IT) ­– это любые цифровые решения, которые сотрудники используют без ведома ИТ-отдела и руководства. Такие инструменты не обязательно относятся к нелегальным — опасность в том, что компания их не видит и не контролирует

Теневое ИТ — что это на практике

Явление теневого ИТ включает в себя широкий спектр инструментов. Вот самые популярные из них:

• нейросети;
• софт, в том числе пиратский;
• онлайн-сервисы;
• личные устройства.

Почему теневое ИТ существует

Глобально причина одна — сотрудникам для решения рабочих задач нужен какой-то инструмент, но у них его нет.

Если посмотреть на проблему внимательней, то можно нащупать болевые точки компании. Например, сотрудники скачивают пиратский фоторедактор потому, что компания не хочет или не может купить лицензии. Или предпочитает Telegram корпоративному мессенджеру, потому что он удобнее. А ChatGPT используют из-за того, что работы стало слишком много.

Резюмируя, можно сказать, что использование теневого ИТ — способ ваших подчиненных решить какую-то проблему. На этом должна строиться и методика выявления теневого ИТ, о которой мы поговорим позже.

Почему теневое ИТ становится риском для бизнеса

Казалось бы, раз что-то помогает людям работать, то зачем с этим бороться? Главное, чтобы задачи выполнялись в срок. Но все не так просто, на практике теневое ИТ — это большие цифровые риски.

Разберем некоторые примеры:

• Утечки данных: сотрудник поручает нейросети проанализировать конфиденциальную статистику или дает опасному приложению доступ к рабочему ноутбуку.
• Нарушение прав: работник загружает данные клиентов в незащищенное облако или, наоборот, собирает информацию через нелегальный сервис. А это нарушение закона.
• Финансовые потери: инженер пересылает чертежи себе в личку, чтобы поработать дома. А его аккаунт взламывают и воруют разработку. Или кто-то скачивает пиратскую программу, а потом компании приходит штраф.
• Рост внутренних угроз: несанкционированное ПО может нарушить работу корпоративной системы защиты и сделать сеть компании уязвимой. Или, допустим, создавать ошибки в работе других сервисов.

Как использование теневого ИТ связано с человеческим фактором

Если риски использования теневого ИТ настолько весомы, то почему же сотрудники норовят облегчить себе работу такими полулегальным способом? Ведь можно пойти законным путем и попросить ИТ-специалистов внедрить желанный сервис или хотя бы получить формальное разрешение на использование того или иного софта.

Но все не так просто. Мы уже обсуждали, что теневые решения помогают работать: дают то, чего нет или облегчают выполнение трудных задач. И эти доводы может быть сильнее оценки рисков. 

А потому сотрудник выбирает один из путей:

• неосознанные нарушения;
• намеренное злоупотребление доступами.

В первом случае действует логика: «я просто хочу выполнять свою работу лучше, вредить не собираюсь, зачем мне спрашивать разрешения?»

Во втором все опаснее. Персонал не верит, что компания пойдет навстречу и поддержит внедрение нового софта. Или боится, что удобный сервис вовсе запретят. И раз уж возможность, скажем, установки сторонних программ или использования сервисов есть, то почему бы не сохранить все в тайне.

Методика выявления теневого ИТ

Итак, очевидно, что игнорировать использование коллективом невидимых и неподконтрольных программ и сервисов нельзя. Но перед тем как решать, что с ними делать, нужно вывести их из тени.

Вот простой шаблон методики поиска теневых ИТ.

Этап 1. Инвентаризация ИТ-активов

Поручите ИТ-отделу провести ревизию всего оборудования, установленного софта и следов использования онлайн-сервисов. Важно сопоставить данные из систем учета с фактическим положением дел, проверяя каждый ноутбук и ПК.

Этап 2. Анализ сетевой активности

Далее необходимо изучить трафик с помощью систем глубокого анализа пакетов и специализированных фаерволов. Ищите следы обращений к внешним облачным хранилищам, мессенджерам для пересылки «тяжелых» файлов или анонимным прокси-серверам.

Этап 3. Аудит бизнес-процессов

На этом этапе нужно понять, насколько фактические алгоритмы работы расходятся с утвержденными регламентами. Опросите коллектив, какие у них потребности и как они их решают. Отдельно поговорите с руководителями среднего звена, не знают ли они о самодеятельности своих подчиненных?

Этап 4. Проверка сотрудников и подрядчиков

Здесь уместен как автоматизированный мониторинг действий сотрудников, так и адресные беседы с теми, кто был замечен в самостоятельном выборе инструментов. Для нарушителей, вызывающих наибольшие подозрения, используйте проверку сотрудников онлайн. Вдруг они создают внутренние угрозы со злым умыслом?

Не забудьте обсудить аудит теневого ИТ(shadow IT) с подрядчиками, если они получают чувствительные для вас данные.

Этап 5. Формирование политики управления

Завершающий шаг — не просто запретить, а предложить легальную альтернативу. Вместо глухой блокировки стоит разработать четкий регламент согласования новых цифровых продуктов.

Хорошая политика должна включать «белый список» разрешенных сервисов и прозрачную процедуру их внедрения, чтобы у сотрудников отпала необходимость искать обходные пути.

Практические инструменты контроля теневого ИТ

Поиск теневого ИТ требует не только методологии, но и конкретных технических средств. Ниже ключевые категории инструментов, которые позволяют перекрыть каналы возникновения неучтенных сервисов и устройств.

Система управления идентификацией и доступом (IAM: Identity and Access Management)

Системы управления идентификациями и доступом выступают первой линией обороны. Они централизуют процесс выдачи учетных записей и контролируют, к каким ресурсам сотрудник имеет право подключаться.

Если в вашей инфраструктуре появляется несанкционированный SaaS-сервис, грамотно настроенная система управления идентификацией и доступом просто не даст пользователям авторизоваться в нем через корпоративную технологию единого входа (SSO, Single Sign-On), отсекая попытки теневого использования на этапе аутентификации.

Система предотвращения утечек информации (DLP: Data Loss Prevention)

Такие системы специализируются на контроле исходящего трафика и перемещения данных. Их агенты фиксируют аномальное поведение: например, когда сотрудник заливает базу клиентов на неподконтрольный облачный диск, система моментально сигнализирует о потенциальном теневом канале утечки.

В контексте теневого ИТ (Shadow IT) они незаменимы для обнаружения фактов пересылки служебной информации через сторонние мессенджеры, файлообменники или личную почту.

Аналитика SaaS

Это специализированные платформы, которые сканируют корпоративные домены и выявляют все облачные подписки, привязанные к рабочей почте.

Они работают как поисковик по финансам и учеткам: показывают, какие сервисы реально оплачиваются и используются, даже если они не проходили согласование. Такой подход позволяет обнаружить тайную коллекцию из десятков мелких подписок и сервисов.

Проверка соблюдения законов и правил в области трудовых отношений (HR-комплаенс)

Контроль теневого IT невозможен без синхронизации с кадровыми процессами. Речь идет о внедрении регламентов, обязывающих сотрудников при увольнении или переводе сдавать не только физическое оборудование, но и доступы к сторонним сервисам.

Автоматизированная связка HR-системы с ИТ-инфраструктурой гарантирует, что при уходе человека все его «теневые» учетки блокируются — таким образом снижается риск утечки данных при увольнении сотрудника. А новички с первого дня получают только утвержденный набор инструментов.

Как руководителю выстроить систему контроля теневого ИТ

Руководители часто оказываются меж двух огней: с одной стороны, тотальный контроль душит инициативу, с другой — попустительство рождает хаос и риски. Чтобы выстроить рабочую систему, нужно найти баланс между безопасностью и гибкостью, превратив теневые ИТ (Shadow IT) из угрозы в источник информации о реальных потребностях команд.

Стратегические рекомендации

Мы помним, что теневое ИТ возникает там, где вместо нужных инструментов в наличии лишь что-то нерабочее, неудобное или вообще пустота. 

Исходя из этого, даем 3 ключевых совета по управлению ИТ-активами:

1. Не пытайтесь давить тотальными запретами. Регулярно беседуйте с коллективом, давайте сотрудникам инструменты, нужные для работы. Что-то можно купить, что-то заменить безопасной альтернативой, какие-то процессы вовсе перестроить. Исходите из потребностей.
2. Скорость — в приоритете. Теневое ИТ часто возникает из-за того, что людям нужен инструмент здесь и сейчас. Поэтому не заставляйте сотрудников ждать внедрения нового сервиса месяцами. Тестируйте новые продукты в безопасном режиме и оперативно разрабатывайте новые регламенты.
3. Не наказывайте за теневые ИТ. Это лишь вынудит сотрудников более умело прятаться и точно не поможет откровенному разговору о том, где нужны улучшения. Карать можно уже после того, как новые правила озвучены и предложен безопасный вариант.

Роль безопасности персонала

Сотрудники часто нарушают правила не из злого умысла, а из-за неудобства корпоративного софта или банального непонимания рисков. Регулярно проводите короткие сессии по цифровой гигиене, объясняя, почему нельзя передавать рабочие файлы через личные чаты и чем грозит компании использование общедоступных облачных дисков.

Крайне важно также держать руку на пульсе добросовестности сотрудников. Если кто-то несмотря ни на что продолжает нарушать правила ИБ, то понадобится тщательная проверка персонала на благонадежность. Автоматизированные решения позволяют за несколько минут собрать данные о долгах сотрудников и их связях с другими компаниями.

Регулярный аудит

Сделайте проверку теневых сервисов рутинной процедурой, а не разовой акцией. Не реже раза в квартал запускайте автоматическую аналитику SaaS-подписок, сверяйте ее с данными системы управления идентификацией и доступом и системы предотвращения утечек информации, а результаты выносите на встречи с руководителями отделов.

Это позволит вовремя замечать новые аномалии и не копить проблемы.