Navíc: Jsou striktní pravidla udržitelná i v době práce na dálku, všudypřítomných mobilních zařízení a zaměstnanců zvyklých ze soukromého života na cloudové služby?
Budeme-li souhlasit s tím, že prakticky největším nebezpečím pro firemní síť jsou sami zaměstnanci, je třeba si přiznat, že neustálé zpřísňování bezpečnostních opatření vůči jejich aktivitám přestane od jistého bodu fungovat a naopak se stává kontraproduktivním. Žádná větší organizace navíc stejně nemá šanci s rozumnými náklady a úsilím definitivně zajistit, že se k její síti nebudou připojovat žádná neschválená zařízení a nebudou se v ní používat neautorizované aplikace a cloudové služby.
Když si zaměstnanci poradí sami
Eroze bezpečnosti podnikové sítě vlivem tzv. stínového IT (shadow IT) má v zásadě tři fáze. Na počátku je snaha firemního IT omezit připojování neautorizovaných zařízení a používání neschválených aplikací a služeb. Pokud ale toto úsilí není vyvažované zpětnou vazbou od uživatelů, resp. střední úrovně managementu, ve smyslu, jaké nástroje a služby potřebují uživatelé ke své práci, stejně jako spolupráci a komunikaci s kolegy, přichází fáze druhá.
Manažeři odpovědní za práci svých podřízených apelují na IT, aby byly schválené nebo rovnou pořízené potřebné nástroje. Když se tak v krátké době nestane, začnou jednat v rámci svých pravomocí a rozpočtů. Sami vyberou a pořídí software či cloudové služby, které budou do značné míry mimo vliv podnikového IT. Ještě v této chvíli ale aspoň na úrovni jednotlivých oddělení a týmů panuje určitá kontrola nad používanými daty a aplikacemi. Jak často berou manažeři oddělení nákup aplikací a cloudových služeb do vlastních rukou, ukazují různé odhady analytiků, které uvádějí, že až 40 % rozpočtu na IT je dnes ve firmách čerpáno mimo kontrolu IT oddělení.
Nejhorší, třetí fáze nastane ve chvíli, kdy zaměstnanci nemají zastání ani u svých nadřízených. Pokud získají pocit, že jim firma nedodá ani základní, levné nebo často i bezplatně použitelné nástroje, začnou jednat sami – zpravidla tím nejhorším možným způsobem. Citlivá firemní data se začnou přenášet po kapsách na Flash discích, nebo rovnou posílat přes veřejné úložiště typu Ulož.to, kde pak může kdokoli najít prezentace, rozpočty, nabídky a další dokumenty – samozřejmě v nešifrované podobě. Další úsilí o zabezpečení firemní sítě a dat je podobně platné jako vylévat vodu z děravé lodi cedníkem. Nejde přitom jen o ochranu pověsti a důvěryhodnosti firmy u zákazníků a obchodních partnerů, ale také o potenciálně obrovské ztráty finanční ztráty – včetně například i hrozících pokut za porušení regulace GDPR o ochraně osobních dat.
Bezpečnostní problém stínového IT přitom nespočívá jen v rizikových způsobech, jak uživatelé nakládají s daty. Stínové IT také znamená používání nedostatečně chráněných zařízení ve špatně zabezpečených sítích. Pokud si uživatelé začnou instalovat software podle vlastního výběru a používat typicky bezplatné cloudové služby, nelze očekávat podobnou úroveň ochrany před kyberútoky a rychlost záplatování odhalených bezpečnostních mezer jako u profesionálního softwaru a komerčních cloudových služeb. A i když jsou bezpečnostní aktualizace k dispozici, nikdo nezaručí, že je zaměstnanci do svých zařízení skutečně instalují.
Vrcholek ledovce
Administrátoři podnikového IT jistě mají k dispozici nástroje, které jim pomáhají případy stínového IT odhalit. Jak ale uvádí studie dodavatele bezpečnostních řešení McAfee, stínové IT dosahuje ve firmách až desetinásobného rozsahu, než jaký podnikové IT předpo-
kládá. Z anonymní analýzy činnosti více než 30 milionů uživatelů z 600 nad-
národních podniků po celém světě McAfee zjistilo, že se v těchto firmách používá průměrně 1 427 různých cloudových služeb, z toho hned 57 cloudových služeb na ukládání a sdílení dat. O používání drtivé většiny z těchto služeb v rámci stínového IT administrátoři bez provedení detailní analýzy síťového provozu vůbec netuší.
Vstřícné zabezpečení
Z výše uvedeného samozřejmě nevyplývá, že by firmy měly na zabezpečení své sítě jakkoli rezignovat. Hrozba kybernetických útoků je zcela aktuální a závažná – stačí se podívat, jaké škody může napáchat ransomware. Ale i pokud jde o zabezpečení, měly by si firemní IT týmy uvědomit, že jsou především servisní složkou, která má podporovat efektivní provoz a plnění podnikatelských cílů firmy. IT tým by přitom měl využít svoje odborné znalosti, aby zajistil, že zaměstnanci dostanou k dispozici takové softwarové nástroje a cloudové služby, které budou podporovat styl jejich práce a zajistí požadované funkce, ale zároveň neoslabí zabezpečení podnikové sítě a dat.
Zvládnutí stínového IT by se určitě mělo stát součástí obecné strategie zabezpečení podnikové sítě a dat. Ale nikoli ve smyslu dalších restrikcí, nýbrž dialogu o tom, které aplikace služby zaměstnanci a týmy potřebují. Používání neautorizovaných aplikací a služeb navíc často pramení i z neznalosti uživatelů, kteří možná ani netuší, jaké nástroje mají v rámci podnikového IT k dispozici. Proto je důležité zaměstnance edukovat nejen v oblasti potenciálních bezpečnostních hrozeb, ale také jim pravidelně připomínat, jaké nástroje firma již vlastní a jakým způsobem s nimi pracovat. Obzvlášť důležité je to v případě nově příchozích, mladých lidí, zvyklých na sociální sítě, messengery a často velmi lehkovážné nakládání s osobními údaji.
Pořádek šetří náklady
Častým argumentem, proč nelze do firmy pořídit nějaký software či cloudovou službu, je nedostatek financí. I když nebudeme brát v úvahu finanční rizika, která s sebou stínové IT přináší, často dojdeme k závěru, že pořizování softwaru a služeb mimo IT z rozpočtů různých oddělení vyjde ve výsledku výrazně dráž než centralizované nasazení vhodného řešení, které bude navíc pod kontrolou firemního IT oddělení. Zaměstnanci tedy dostanou, co potřebují, a firma ještě ušetří.
Kontrola nad softwarem a cloudovými službami je velmi důležitá nejen z hlediska zabezpečení. Ukazuje se totiž, že bez řízení ze strany IT oddělení se často nakupují licence, které již ve firmě jsou a nevyužívají se, nebo se pořizují za méně výhodných podmínek, než umožňují podnikové smlouvy. Podobně i u cloudových služeb dochází často k plýtvání draze nakoupenými zdroji jen proto, že je nikdo nekontroluje a neřídí.