Výzkumná a poradenská společnost Gartner odhaduje, že na přelomu roku 2020/2021 bude mít třetina všech úspěšných kybernetických útoků v podnikové sféře původ ve stínovém IT. Ale neoficiální IT prostředky způsobují i řadu dalších, byť méně nápadných problémů.
Temná data
Temná data jsou nestrukturovaná, neoznačená, neutříděná a pro IT neznámá. Jde o textové dokumenty, tabulky a další typy souborů, v mnoha případech uložené ve veřejných cloudových službách, na mobilních zařízeních nebo obou místech současně.
Průzkum společnosti Veritas Technologies mezi britskými IT manažery zjistil, že téměř polovinu dat v oslovených podnicích tvoří „temná data" – neklasifikovaná a neoznačená. To znamená, že tato data, která mohou skrývat pro podnik důležité a ekonomicky využitelné informace, nelze spravovat, chránit ani k nim systematicky přistupovat.
Speciální problém představují cloudová data. Podle průzkumu se mnoho respondentů mylně domnívá, že ochrana dat a zajištění souladu s předpisy a zákony u dat uložených v cloudu je odpovědností poskytovatele příslušné služby.
Problematika temných dat ale není černobílá. Zaměstnanci si zcela běžně posílají dokumenty e-mailem sami sobě, aby na nich mohli pracovat doma. Kopie v podnikové síti je legitimní, kopie v Gmailu a na domácím počítači jsou temná data. Stále však obsahují tytéž citlivé informace, které se dostávají mimo dosah podnikových bezpečnostních systémů. Možný scénář je, že zaměstnanec dokument doma upraví, pošle si zpět a ověřenou kopii v systému nahradí novou verzí infikovanou škodlivým softwarem.
Temná data způsobují čtyři základní problémy:
- Za prvé nabízejí značně velký prostor pro kyberzločince. Jsou neznámá, a tedy nechráněná. Útočníci mohou z temných informací získat důležité údaje o firmě, jejích zaměstnancích, umístění klíčových zdrojů a podobně.
- Za druhé temná data mohou obsahovat důležité informace, které se nikdy nedostanou do rukou vedení. Firma jako celek pracuje se 100 % dat, ale pokud polovinu tvoří temná data, manažeři jich mají pro své rozhodování k dispozici pouze část.
- Za třetí temná data vedou k plýtvání a neefektivitě. Dochází k duplicitám, kdy zaměstnanci shromažďují informace nebo tvoří obsah, který již ve firmě existuje, pouze o něm nevědí nebo k němu nemají přístup.
- A za čtvrté temná data mohou být nelegální. Přinejmenším komplikují dodržování předpisů jako Sarbanes-Oxley, GDPR a dalších.
Stínové IT
Jako stínové IT označujeme veškeré neschválené počítačové systémy, zařízení, aplikace nebo cloudové služby provozované bez vědomí a mimo kontrolu firemního IT. Obecně k jeho rozvoji přispívají známé trendy: konzumerizace IT, užívání soukromých zařízení k pracovním účelům, nízká cena a široká dostupnost úložných a jiných cloudových služeb, rozmach „chytrých" zařízení a IoT.
První významnou snahu o potlačení stínového IT představovaly politiky BYOD formalizující pravidla pro užívání soukromých výpočetních prostředků. Před jejich zavedením si zaměstnanci jednoduše nosili vlastní notebooky a jiná zařízení do práce a připojovali se k firemní síti, jako by to byla samozřejmost.
Stínové IT zahrnuje i aplikace a služby připojované pomocí protokolu Oauth. Neschválená aplikace tak může získat neznámou úroveň přístupu ke schválené aplikaci. Pokud například zaměstnanec používá Facebook nebo Google k přihlašování ke cloudovým službám nebo aplikacím, stávají se jejich servery stínovým IT.
Speciální podkategorii stínového IT tvoří stínové IoT, které zasluhuje zvláštní pozornost kvůli zvýšené míře rizika. Zatímco stolní a přenosné počítače, tablety a chytré telefony jsou konstruované s ohledem na bezpečnost, různé „smart" spotřebiče a senzory v drtivé většině případů nikoli.
Stínové IoT
Za zařízení internetu věcí (IoT) považujeme jakékoli zařízení vybavené výpočetním výkonem a síťovou konektivitou, které nemá povahu počítače.
Počet IoT zařízení a senzorů v podnicích a jiných velkých organizacích raketově roste, v mnoha případech bez vědomí a souhlasu vedení IT. Loni vydaná studie společnosti Infloblox zjistila, že zhruba třetina dotázaných firem v USA, Velké Británii a Německu odhaduje, že k jejím sítím je připojeno více než tisíc zařízení IoT. Jde o webkamery, chytré reproduktory, chytré displeje, detektory pohybu, chytré kávovary, toustovače a mikrovlnné trouby, prodejní automaty připojené přes Wi-Fi, chytré hodinky a náramky, routery, chytré televizory a herní konzole, chytré osvětlení, klimatizace, dveřní zámky, terminály pro sběr dat, tiskárny a mnoho dalších. Podle odhadů společnosti Gartner dosáhne do konce roku 2025 počet takových připojených zařízení 25 miliard.
První náznak, že stínové IoT otevře útočníkům velmi neobvyklé cesty do podnikových systémů, se objevil v roce 2016, kdy kyberzločinci pronikli do počítačové sítě kasina prostřednictvím internetově připojeného teploměru v akváriu v předsálí. „Vylovit" se jim podařilo důvěrnou databázi nejlukrativnějších klientů. A nepochybně se budeme setkávat s ještě podivnějšími případy zneužití IoT, protože zařízení internetu věcí mnohdy působí, jako by u nich byla bezpečnost úmyslně opomíjená.
Stínové IoT může ohrozit bezpečnost sítí, důvěrnost dat, fyzickou bezpečnost, provoz apod. Taková zařízení mnohdy instalují a nastavují uživatelé, kteří ignorují i nejzákladnější bezpečnostní opatření, jako je změna hesla nastaveného z výroby. Přes 90 % komunikace IoT zařízení v podnikovém prostředí probíhá v podobě nešifrovaného prostého textu.
Podobně některá IoT zařízení užívají obyčejné HTTP k přihlašování a aktualizacím. IoT zařízení jsou navíc obvykle sestavená z běžných komponent. To znamená, že i speciální zařízení je pravděpodobně osazené sériovým Wi-Fi modulem a dalšími prvky, jejichž zranitelnosti jsou útočníkům dobře známé. U mnohých takových řešení zcela chybí možnost aktualizace softwaru nebo aplikace bezpečnostních oprav. Zatímco pro podnikové IT je taková zařízení složité odhalovat, útočníkům mnohdy stačí pátrat na internetu.
Některá stínová IoT řešení mají zaměstnanci u sebe (některá dokonce připojená ke svému tělu). Taková zařízení se objevují, připojují, odpojují a mizí spolu s ním. Další zařízení si firma pořídí zcela běžným a schváleným způsobem jako jiné vybavení – tiskárny, spotřebiče ve společné kuchyňce atd. Ale to, že si je firma koupila, ještě neznamená, že o nich ví IT oddělení.
Proč temné a stínové IT existuje a jak je vynést na světlo
Za temná data a stínové IT a IoT mohou všichni a nikdo. Existují ze tří důvodů: kreativity a ambicí, ignorance a selhání interních politik. Aby k tomu nedocházelo, stačí se řídit těmito šesti doporučeními:
- Zjednodušte a maximálně urychlete schvalovací proces u IT prostředků.
- Dobře nastavte komunikaci. Všichni musejí být obeznámení se schvalovacím procesem a poučení o rizicích temných dat a stínového IT.
- Izolujte IoT zařízení ve vyhrazené Wi-Fi síti a blokujte příchozí připojení u těch, u nichž se nepředpokládají (tj. většiny z nich).
- Sledujte odchozí provoz a monitorujte neobvyklé chování.
- Využívejte automatizované nástroje k vyhledávání a soupisu veškerých zařízení připojených k firemní síti.
- Udržujte aktualizovaný seznam schválených zařízení a zakažte přístup všem ostatním.
Je nepravděpodobné, že by se podařilo temná data a stínové IT a IoT zcela eliminovat. Ale každý pokrok je důležitý. Čím více IT prostředků vynesete na světlo, tím lépe bude váš podnik fungovat.
Čtěte také:
> Skrytá rizika stínového IT
> Hledání pozitiv stínového IT
Zajímají vás informační technologie a chcete získat nadhled?
Odebírejte náš Newsletter, který posíláme zpravidla dvakrát do měsíce a který obsahuje výběr unikátních článků nejen našich autorů, ale také ze sítě mezinárodního vydavatelství IDG.
» Přihlaste se zdarma! [Odběr můžete kdykoli zrušit]