В последнее время термин «теневые IT» (Shadow IT) стал употребляться по отношению к несанкционированному использованию сотрудниками госведомств и компаний сторонней облачной инфраструктуры для совместной работы или сервисов по обмену файлами, пишет GovTech.
Издание опросило ряд государственных IT-руководителей и экспертов об их отношении к подобному использованию сотрудниками сторонних облачных сервисов, таких, например, как Dropbox. Выяснилось, что у IT-специалистов нет единого мнения на сей счет: с одной стороны, сторонние сервисы – это дополнительный риск, но с другой – сторонние решения часто оказываются эффективнее «разрешенных».
Главный сотрудник по информационной безопасности в округе Фэрфакс (штат Вирджиния) Майкл Дент (Michael Dent) вспоминает встречу с представителями поставщика облачных файлообменных сервисов, которые хотели предоставлять услуги госведомству. В качестве аргумента сотрудники компании использовали тот факт, что служащие округа уже использовали их сервис и разместили там информацию. Это было не очень хорошей новостью для Дента.
Пусть даже это не касалось конфиденциальных данных, но случай показал, что сотрудники пытались обойти политику работы госведомства, которая требует пользоваться защищенной виртуальной частной сетью, с введением учетных данных, и предпочли разместить данные в одном из файлообменников. Ведомству пришлось возвращать файлы из облака обратно.
Дент не единственный из государственных IT-руководителей, кого беспокоит использование государственными служащими стороннего программного обеспечения без согласования с руководством.
Например, по словам заместителя IT-директора в департаменте высоких технологий и инноваций Чикаго Кармен Санду (Carmen Sandu), «теневые IT» способствуют излишней трате ресурсов организации, «лишние» сервисы и приложения снижают эффективность работы. «Очевидно, что у вас будут дублирующие ресурсы и функциональность, что не очень хорошо», — считает она.
Другой проблемой является утечка конфиденциальных данных. Дент говорит, что лицензионные соглашения с конечным пользователем, которые предлагаются бесплатными облачными сервисами, неприемлемы для государственного работника. Большинство служащих не понимают, что нажатие кнопки «Yes» означает, что они лично принимают на себя риск в случае, если что-то произойдет. «Эти бесплатные сервисы предполагают пункт об освобождении от ответственности поставщика в случае компрометации или потери данных, — сказал он. – В некоторых соглашениях даже сказано, что предпринимать необходимые правовые действия можно только в том штате или стране, где расположены корпоративные офисы сервисов».
В ходе недавнего опроса некоммерческой организации Cloud Security Alliance 72% респондентов из числа IT-специалистов признались, что они не знают, какое количество приложений из категории «теневых» используется в их организации, но хотели бы знать об этом. Только 28% организаций ответили, что понимают масштаб использования «теневых IT» в своих ведомствах, однако при точном исследовании часто оказывалось, что он от пяти до десяти раз больше ожидаемого.
По словам Дента, любая организация, которая утверждает, что ее сотрудники не используют «теневые» сервисы, либо ошибается, либо не очень серьезно относится к своей безопасности.
В ведомстве, по словам Дента, делают все возможное для предотвращения практики использования «теневых IT». В частности, округ Фэрфакс внедрил систему предотвращения утечки данных (Data Loss Prevention, DLP), которая сканирует всю информацию, проходящую через интернет-соединение. Кроме того, ведомство разработало собственное решение, которое позволит сотрудникам безопасно обмениваться файлами с другими организациями.
Несколько иной подход к использованию сторонних сервисов в госведомствах демонстрирует Панама-Сити (штат Флорида). Когда служащие округа начали несколько лет назад пользоваться приложениями Google Apps for Government, предназначенными для государственных органов, было решено не запрещать их, а контролировать. Менеджер IT-департамента Ричард Феррик (Richard Ferrick) рассказывает, что в ведомстве для этих целей используют продукт под названием CloudLock — он позволяет увидеть, что делают в облаке те сотрудники, которые пользуются сторонними IT-сервисами.
Панама-Сити имеет 600 пользователей Google Apps. С CloudLock Феррик каждое утро получает отчет, в котором указано, какие типы файлов были «расшарены» и кем. По его словам, он доволен сложившейся практикой, которая показала свою эффективность.
Панама-Сити также использует продукт для фильтрации корпоративного трафика Websense. С его помощью, к примеру, было замечено, что сотрудники часто пользовались Dropbox. IT-служба решила заблокировать доступ к сервису, так как, по словам Феррика, сотрудники уже располагали инструментом для обмена файлами. «Просто с точки зрения безопасности мы не знаем, что они там делают, и зачем они это делают» — сказал он.
При этом не все IT-директора считают блокировку публичных облачных сервисов лучшим методом работы. «Мы знаем, что ведомства используют сетевые средства мониторинга, чтобы увидеть, кто использует такие сервисы, как Dropbox, для ограничения доступа к ним или запрета. Мы не делаем этого», — сказал Стив Николс (Steve Nichols), директор по технологиям в IT-департаменте штата Джорджия. Он считает, что тратить деньги и усилия на подобные технологические решения — не самый эффективный способ снижения риска.
В его ведомстве предпочли сделать ставку на образование и информированность, а также на обеспечение альтернативы. Например, если сотрудник пользуется Dropbox, ему будет предложено вместо этого сервиса использовать Microsoft OneDrive для бизнеса (Business Class OneDrive). Этот подход к «теневому IT» в департаменте назвали «Поймай и отпусти». «Мы не хотим просто говорить «нет» всему», — говорит Николс.
По его мнению, раз сотрудники пользуются сторонними сервисами, у них есть на это объективные причины. Николс считает, что лучше потратить время на действительно важные и критичные для штата IT-системы.
Цель не в том, чтобы всё заблокировать, необходимо склонять организации в сторону лучших вариантов в рамках какой-либо категории сервисов, часть из которых более безопасны, чем другие, считает глава Cloud Security Alliance Джим Ревис (Jim Reavis).
Директор по исследованиям в Forrester Research Алекс Кален (Alex Cullen) рекомендует использовать «портфельный» подход к подбору IT-сервисов, согласно которому должны быть определены критерии, в каких ситуациях вы позволяете людям большую свободу и гибкость в зависимости от риска для организации.