Shadow IT valt bijna niet te vermijden. De verleiding is groot om voor het werk niet-goedgekeurde IT-oplossingen te gebruiken. De massale overgang naar thuiswerk als gevolg van de coronacrisis vormde al een behoorlijke beveiligingsuitdaging. Het stijgende gebruik van eigen hardware en software komt daar nog bij. Wat zijn de gevaren en hoe kun je ze voorkomen?
Alle IT die binnen een organisatie niet op de gebruikelijke manier is goedgekeurd, valt te beschouwen als shadow IT”, stelt Ed Nunes, ethisch hacker bij KPN. “Deze apparatuur of applicaties worden niet ondersteund door de centrale IT-afdeling. Soms weet men daar zelfs niet wat de werknemers gebruiken, laat staan of er sprake is van een goede monitoring en beheer.”
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
DownloadDatalekken
Onbewust kunnen ernstige datalekken ontstaan. Hans Snijder, KPN's account manager voor de zorgsector, vertelde in het webinar van The Digital Dutch hoe goedbedoelde initiatieven in een horrorstory kunnen eindigen. Een wijkverpleegkundige kreeg tijdens wondbehandelingen op afstand ondersteuning van een wondexpert. Bij de cliënten thuis is het soms lastig hun wonden te beschrijven. Haar zoontje van 14 wist wel een oplossing: de wonden met TikTok opnemen en de beelden delen met de expert in het ziekenhuis.
Zoonlief maakte een account aan en koppelde dat aan zijn eigen telefoon. De verpleegkundige ging enthousiast aan de slag. Haar zoon had echter vergeten zijn account uit te schakelen. Gevolg was dat hij de filmpjes van zijn moeder te zien kreeg. Snijder: “Levensgevaarlijke situaties kunnen ontstaan als werknemers zelf wel wat regelen. Dit gebeurt vooral als de juiste faciliteiten ontbreken om het werk goed te doen. Privacy en security komen dan in het geding.”
Oorzaken shadow IT
Volgens Ed Nunes kent shadow IT verschillende oorzaken. “Soms weten medewerkers niet dat ze voor het gebruik van bepaalde software toestemming moeten vragen. Ook komt het voor dat ze deze tools op eigen houtje installeren in de wetenschap dat een officieel verzoek hiertoe toch wordt afgewezen. Verder zie je vaak bedrijfsonderdelen met decentrale IT-afdelingen een afwijkend beleid vormen. Ze gaan hun eigen gang. Het probleem hierbij is niet zozeer dat specifieke wensen worden ingewilligd, maar dat het ontbreekt aan centrale monitoring en beheer.”
De centrale IT heeft dan geen controle meer op wat er op het netwerk gebeurt. Het zicht ontbreekt op de data die shadow IT gebruikt en waar die data worden opgeslagen. Als iedereen zijn eigen clouddiensten en applicaties gaat gebruiken, is het einde zoek. Sander Peters, head of security research bij KPN vult aan: “Vooral bij universiteiten en ziekenhuizen wordt de centrale IT-afdeling nog wel eens gepasseerd. Een docent hecht aan bepaalde apparatuur en laat die gewoon zonder toestemming installeren. Ook faculteiten gaan vaak hun eigen weg. Als centraal geen duidelijk beleid is opgesteld voor het beheer van hard- en software heb je wel een probleem. Dan ontstaan verschillende eilanden en wordt een organisatie extra kwetsbaar.”
Bedrijfscultuur: beleid voor shadow IT
Een juiste cultuur kan veel onheil voorkomen. Ed Nunes raadt bedrijven aan zich niet te strikt op te stellen. Medewerkers moeten de tools krijgen om hun werk goed te doen. Leg de nadruk op wat wel kan, want als te veel beperkingen worden opgelegd gaan mensen de regels omzeilen.
Nunes benadrukt het belang van ‘comply or explain’: “Indien een voorschrift niet wordt toegepast, moet worden uitgelegd waarom dat niet gebeurt. In principe moet er ruimte zijn voor het gebruik van software die niet op het lijstje staat, maar wel heel erg nodig is. Op zichzelf is daar niets mis mee, maar bij het gebruik ervan moet wel zijn voldaan aan de security- en privacy-eisen van de organisatie. Belangrijk is dat er een beleid is voor shadow IT. Rollen en rechten moeten vastliggen: wie mag wat binnenhalen. Het beste is om gebruikers alleen toegang te geven tot apps en data die ze nodig hebben voor hun werk.
Groter aanvalsoppervlakte
Bedenk dat al die niet-goedgekeurde apps die hun oorsprong hebben in de consumentenwereld, het aanvalsoppervlak vergroten. Er komen meer mogelijkheden bij om bedrijven te hacken. Dat geldt als medewerkers op eigen houtje zakelijk gebruikmaken van bijvoorbeeld WhatsApp, Snapchat, Instagram, Twitter of TikTok. Als die apps niet op het lijstje staan van toegestane communicatiemiddelen dan is het shadow IT, zo simpel is dat. Zo is het de vraag of het verstandig als ambtenaren gemeentelijke informatie via WhatsApp uitwisselen.
Lees ook: zakelijke mobiele apparaten beveiligen doe je zo
Ook het gebruik van online opslagdiensten zoals Dropbox en Google Drive moet aan regels zijn gebonden. Want elk apparaat en iedere software of dienst die wordt gebruikt, geeft aanvallers de mogelijkheid een bedrijf binnen te dringen. Het probleem met al die shadow IT is het gebrek aan security. Voor een project wordt even een systeem gebruikt. Na afloop wordt vergeten dat er ergens nog een machine staat. Updates blijven achterwege. Ook blijven medewerkers die al lang uit dienst zijn soms nog in een WhatsApp-groep zitten. Verder komt het voor dat medewerkers zonder goedkeuring software as a service of infrastructure as a service gebruiken. Al deze shadow IT is lastig op te sporen en te blokkeren.
Oplossingen KPN Security
Peters: “KPN Security heeft oplossingen om de veiligheid op dit gebied te vergroten. Vulnerability scanners tonen wat er in het netwerk zit en wat de status daarvan is. De software laat zien waar de risico’s zitten, hoe het landschap zich ontwikkelt en welke nieuwe gevaren erbij komen. Het aanvalsoppervlak wordt er overzichtelijker door. Klanten kunnen zelf bepalen welke risico’s ze aanvaardbaar vinden. Als bepaalde grenzen worden overschreden, kan tot actie worden overgegaan. Op die manier vergroot je de controle over shadow-IT.”