השימוש ב-Shadow IT מתעצם בשל התפתחות היצע ה-SaaS
ניתן להוריד ולהתקין תוכנות כשירות (SaaS) במודל ענן בתוך שניות. אך מרוב שזה קל, ארגונים רבים וצוותי אבטחת המידע לא מודעים ולא יכולים לעקוב אחר ההורדה והשימוש בתוכנות – תופעה המכונה Shadow IT. אורי נתיב, מייסד-משותף וסמנכ"ל המוצר ב-Torii מסביר על התופעה, על סכנות הסייבר ועל הבזבוז הכספי המיותר
ישראל דיפנס
| 28/06/2022
אורי נתיב - צילום לנס הפקות
פעם, לא מזמן למעשה, לפני עידן האינטרנט המהיר והענן, אם חשקתם בתוכנה מסוימת: אופיס, פוטושופ, אנטי וירוס או תוכנת הנהלת חשבונות כלשהי, כדי לרכוש אותה, נאלצתם לגשת לחנות או להזמין מספק כלשהו וקיבלתם קופסת קרטון מהודרת ובתוכה המון חוברות ו-CD אחד להתקנת התוכנה. כאשר התוכנה הזו הותקנה ברשת הארגונית, מנהלי הרשת ידעו על כך.
בעשור האחרון, רוב חברות התוכנה שינו את המודל והן מוכרות כעת את התוכנה שלהם במודל מנוי חודשי, הנקרא Software as a Service – תוכנה כשירות או תוכנת ענן. מי שעובד בארגון וזקוק לתוכנות כמו פוטושופ, פרימייר, Dropbox, CRM, תוכנת פיתוח כלשהי או כל כלי אחר, מבקש אישור מהבוס (לא תמיד), מכניס את פרטי האשראי ומתחיל לעבוד עם התוכנה החדשה.
הדבר המעניין הוא שהתוכנה בכלל לא מותקנת ברשת הארגונית. מנהלי ה-IT לא ממש יודעים עליה והעובדים חופשיים להעביר לאותה תוכנת ענן את רשימת הלקוחות, את הקבצים המסווגים של הארגון או נתונים רגישים אחרים.
אם לצוותי האבטחה וה-IT אין יכולת לראות את יישומי ה-Shadow IT, אין להם דרך לשלוט ולהגן על נתוני הארגון העוברים דרכם מפני תקלות, טעויות של משתמשים או פעילויות לא מורשות על פי מדיניות הארגון.
אסור להתעלם מנושא ההתממשקות. כאשר יישומים ללא אישורים לעיתים קרובות מתחברים לכלים אחרים המכילים נתונים ארגוניים – ארגונים מסתכנים בחשיפת המידע הרגיש שלהם. חשבו על מנהל מכירות שלא אוהב את תוכנת ה-CRM הארגונית, מחליט להוריד תוכנת CRM בענן ולהעביר לשם את כל רשימת הלקוחות של החברה. התוכנות הללו נמצאות בצל ולכן לתופעה הזו קוראים Shadow IT.
Shadow IT – הדאגה המרכזית באימוץ SaaS
במחקר שהזמינה חברת Torii ונערך על ידי חברת המחקר Pulse בקרב 100 מנהלי טכנולוגיה בעלי למעלה מ-75% יישומי SaaS, נמצא כי 69% ממנהלי הטכנולוגיה מאמינים כי Shadow IT היא דאגה הנמצאת בעדיפות עליונה בכל הקשור לאימוץ SaaS או יישומי ענן.
מרבית המשיבים בסקר העידו כי ביצעו חריגות במדיניות אבטחת ה-SaaS שלהם, כאשר 80% מהם עשו זאת בגלל שהיישומים אומצו מחוץ לתחום הפעילות של צוות ה-IT.
לפי ממצאי הסקר, 52% מהמשיבים העידו כי העובדים רוכשים יישומים עצמאית ומבלי ליידע את מנהלי ה-IT ו-36% מהמשיבים אמרו כי לא עדכנו את המנהלים העסקיים. כדי להילחם בבעיה זו ובשאר האתגרים העולים מהשתרעות יישומי ה-SaaS, 64% ממשיבי הסקר מעריכים או מתכננים לפרוס כלים לניהול SaaS.
יישומי SaaS ימשיכו לשלוט במאגרי הטכנולוגיה של הארגונים. כמעט כל משיבי הסקר (94%) ציינו כי הם מצפים כי מספר יישומי ה-SaaS בארגונם יגדל בשנתיים הקרובות.
כדי לחשוף את יישומי ה-Shadow IT ולנהל את מאגרי יישומי ה-SaaS הצומחים, יחד עם הסיכונים הקשורים בהם בצורה טובה יותר, מנהלי הטכנולוגיה אשר השיבו לסקר מתכננים לשפר תהליכים (69%), להעריך או לפרוס כלי ניהול SaaS (64%) – בנוסף ל-16% שהעידו כי הם כבר משתמשים בכלים הללו – ולהגביר את כוח האדם בצוות ה-IT כ-50%.
סכנות ה-Offboarding
הסיכון בפעילות של תוכנות ללא ידיעת הארגון הופך ברור עוד יותר כאשר עובדים עוזבים את החברה ולא מבצעים תהליך offboarding כראוי מהחברה. כלומר, המשתמשים שלהם אינם מבוטלים והם לא מנותקים מהרשת של החברה והתוכנות שלה.
משמעות הדבר היא שעדיין תהיה להם גישה למידע רגיש של החברה גם לאחר שהם אינם מועסקים בה. בנוסף לכך, אם אין מודעות לתוכנות בהן השתמש אותו עובד שעזב, סביר להניח כי הארגון ימשיך לשלם על הרישיון שלו עוד חודשים רבים קדימה.
תוכנות רבות מגיעות עם פונקציית חידוש אוטומטי, כך שהחברה מחויבת מדי חודש עבור תוכנה שלא בשימוש ואף אחד לא עודכן על כך. מחלקות כספים מכירות את הבעיה: זוהי כמעט משימה בלתי אפשרית לעקוב אחר התשלומים של כל תוכנות ה-SaaS.
בסיכומו של דבר, המציאות החדשה של עבודה מבוזרת או מרוחקת הביאה את תופעת ה-Shadow IT לרמה חדשה, כאשר ניתן לעובדים הכוח לספק ולנהל את יישומי הענן שלהם בעצמם. אומנם מצב זה אפשר לצוותים ליצור חידושים במהירות רבה יותר, זה הביא גם לגידול משמעותי בסיכוני האבטחה והתמוטטות מוחלטת של הכלים והשיטות הישנים לניהולם.
אותם כלים לא עוצבו עבור ההתפרצות של SaaS ו-Shadow IT והם פשוט לא עומדים בקצב. SaaS מחייב גישה חדשה לחלוטין. השימוש בפתרון ניהול תחום התוכנה כשירות הופך את הניטור וייעול העבודה עם תוכנות ענן לפשוט מאוד. עסקים מתחילים להבין זאת ונוקטים באמצעים יעילים יותר לניהול מאגר ה-SaaS שלהם והפחתת הסיכונים.
ניתן להוריד ולהתקין תוכנות כשירות (SaaS) במודל ענן בתוך שניות. אך מרוב שזה קל, ארגונים רבים וצוותי אבטחת המידע לא מודעים ולא יכולים לעקוב אחר ההורדה והשימוש בתוכנות – תופעה המכונה Shadow IT. אורי נתיב, מייסד-משותף וסמנכ"ל המוצר ב-Torii מסביר על התופעה, על סכנות הסייבר ועל הבזבוז הכספי המיותר
אורי נתיב - צילום לנס הפקות
פעם, לא מזמן למעשה, לפני עידן האינטרנט המהיר והענן, אם חשקתם בתוכנה מסוימת: אופיס, פוטושופ, אנטי וירוס או תוכנת הנהלת חשבונות כלשהי, כדי לרכוש אותה, נאלצתם לגשת לחנות או להזמין מספק כלשהו וקיבלתם קופסת קרטון מהודרת ובתוכה המון חוברות ו-CD אחד להתקנת התוכנה. כאשר התוכנה הזו הותקנה ברשת הארגונית, מנהלי הרשת ידעו על כך.
בעשור האחרון, רוב חברות התוכנה שינו את המודל והן מוכרות כעת את התוכנה שלהם במודל מנוי חודשי, הנקרא Software as a Service – תוכנה כשירות או תוכנת ענן. מי שעובד בארגון וזקוק לתוכנות כמו פוטושופ, פרימייר, Dropbox, CRM, תוכנת פיתוח כלשהי או כל כלי אחר, מבקש אישור מהבוס (לא תמיד), מכניס את פרטי האשראי ומתחיל לעבוד עם התוכנה החדשה.
הדבר המעניין הוא שהתוכנה בכלל לא מותקנת ברשת הארגונית. מנהלי ה-IT לא ממש יודעים עליה והעובדים חופשיים להעביר לאותה תוכנת ענן את רשימת הלקוחות, את הקבצים המסווגים של הארגון או נתונים רגישים אחרים.
אם לצוותי האבטחה וה-IT אין יכולת לראות את יישומי ה-Shadow IT, אין להם דרך לשלוט ולהגן על נתוני הארגון העוברים דרכם מפני תקלות, טעויות של משתמשים או פעילויות לא מורשות על פי מדיניות הארגון.
אסור להתעלם מנושא ההתממשקות. כאשר יישומים ללא אישורים לעיתים קרובות מתחברים לכלים אחרים המכילים נתונים ארגוניים – ארגונים מסתכנים בחשיפת המידע הרגיש שלהם. חשבו על מנהל מכירות שלא אוהב את תוכנת ה-CRM הארגונית, מחליט להוריד תוכנת CRM בענן ולהעביר לשם את כל רשימת הלקוחות של החברה. התוכנות הללו נמצאות בצל ולכן לתופעה הזו קוראים Shadow IT.
Shadow IT – הדאגה המרכזית באימוץ SaaS
במחקר שהזמינה חברת Torii ונערך על ידי חברת המחקר Pulse בקרב 100 מנהלי טכנולוגיה בעלי למעלה מ-75% יישומי SaaS, נמצא כי 69% ממנהלי הטכנולוגיה מאמינים כי Shadow IT היא דאגה הנמצאת בעדיפות עליונה בכל הקשור לאימוץ SaaS או יישומי ענן.
מרבית המשיבים בסקר העידו כי ביצעו חריגות במדיניות אבטחת ה-SaaS שלהם, כאשר 80% מהם עשו זאת בגלל שהיישומים אומצו מחוץ לתחום הפעילות של צוות ה-IT.
לפי ממצאי הסקר, 52% מהמשיבים העידו כי העובדים רוכשים יישומים עצמאית ומבלי ליידע את מנהלי ה-IT ו-36% מהמשיבים אמרו כי לא עדכנו את המנהלים העסקיים. כדי להילחם בבעיה זו ובשאר האתגרים העולים מהשתרעות יישומי ה-SaaS, 64% ממשיבי הסקר מעריכים או מתכננים לפרוס כלים לניהול SaaS.
יישומי SaaS ימשיכו לשלוט במאגרי הטכנולוגיה של הארגונים. כמעט כל משיבי הסקר (94%) ציינו כי הם מצפים כי מספר יישומי ה-SaaS בארגונם יגדל בשנתיים הקרובות.
כדי לחשוף את יישומי ה-Shadow IT ולנהל את מאגרי יישומי ה-SaaS הצומחים, יחד עם הסיכונים הקשורים בהם בצורה טובה יותר, מנהלי הטכנולוגיה אשר השיבו לסקר מתכננים לשפר תהליכים (69%), להעריך או לפרוס כלי ניהול SaaS (64%) – בנוסף ל-16% שהעידו כי הם כבר משתמשים בכלים הללו – ולהגביר את כוח האדם בצוות ה-IT כ-50%.
סכנות ה-Offboarding
הסיכון בפעילות של תוכנות ללא ידיעת הארגון הופך ברור עוד יותר כאשר עובדים עוזבים את החברה ולא מבצעים תהליך offboarding כראוי מהחברה. כלומר, המשתמשים שלהם אינם מבוטלים והם לא מנותקים מהרשת של החברה והתוכנות שלה.
משמעות הדבר היא שעדיין תהיה להם גישה למידע רגיש של החברה גם לאחר שהם אינם מועסקים בה. בנוסף לכך, אם אין מודעות לתוכנות בהן השתמש אותו עובד שעזב, סביר להניח כי הארגון ימשיך לשלם על הרישיון שלו עוד חודשים רבים קדימה.
תוכנות רבות מגיעות עם פונקציית חידוש אוטומטי, כך שהחברה מחויבת מדי חודש עבור תוכנה שלא בשימוש ואף אחד לא עודכן על כך. מחלקות כספים מכירות את הבעיה: זוהי כמעט משימה בלתי אפשרית לעקוב אחר התשלומים של כל תוכנות ה-SaaS.
בסיכומו של דבר, המציאות החדשה של עבודה מבוזרת או מרוחקת הביאה את תופעת ה-Shadow IT לרמה חדשה, כאשר ניתן לעובדים הכוח לספק ולנהל את יישומי הענן שלהם בעצמם. אומנם מצב זה אפשר לצוותים ליצור חידושים במהירות רבה יותר, זה הביא גם לגידול משמעותי בסיכוני האבטחה והתמוטטות מוחלטת של הכלים והשיטות הישנים לניהולם.
אותם כלים לא עוצבו עבור ההתפרצות של SaaS ו-Shadow IT והם פשוט לא עומדים בקצב. SaaS מחייב גישה חדשה לחלוטין. השימוש בפתרון ניהול תחום התוכנה כשירות הופך את הניטור וייעול העבודה עם תוכנות ענן לפשוט מאוד. עסקים מתחילים להבין זאת ונוקטים באמצעים יעילים יותר לניהול מאגר ה-SaaS שלהם והפחתת הסיכונים.
