menu arrow

Aké nástrahy sa skrývajú v tieni shadow IT?

Dešifrujeme pre vás, Firemná bezpečnosť 43 minút ago
BVF Shadow IT nahladovy obrazok

Shadow IT ohrozuje bezpečnosť spoločností priamo pod nosom ich IT pracovníkov.

Pravdepodobne ste už počuli o politikách BYOD (Bring Your Own Device), ktoré umožňujú zamestnancom používať svoje osobné zariadenia na pracovné účely. Napriek tomu, že ide o „cudzie“ médiá vo vnútornom systéme, sú stále prísne spravované a majú kľúčový význam pre zachovanie integrity vnútorných systémov firiem, ktoré ich prevádzkujú.

Zamestnanci využívajúci BYOD to často nemajú radi, okrem iného kvôli vnímanému narušeniu súkromia. Niektorí preto konajú v duchu: „Čo moji IT pracovníci nevedia, im neublíži.“ Zamestnanci, ktorí sa rozhodnú nedodržiavať firemné zásady, začínajú pristupovať k interným sieťam s vlastnými neoverenými zariadeniami, bez toho, aby premýšľali o dôsledkoch.

Tieto zariadenia sa nazývajú shadow IT, alebo tieňové IT, a pre mnohé organizácie predstavujú bezpečnostnú slabinu.

Čo to je shadow IT?

Shadow IT predstavuje viac ako bežné domáce notebooky pripojené k firemným sieťam. V skutočnosti tento pojem môže zahŕňať niekoľko rôznych typov zariadení a dokonca aj softvérové riešenia alebo služby, ako sú cloudové úložiská alebo generatívni asistenti umelej inteligencie, ktorých používanie bolo náhodnými zamestnancami považované za „v poriadku“ bez toho, aby požiadali o povolenie.

Podľa spoločnosti Cisco takmer 80 % koncových používateľov využíva softvér, ktorý nebol schválený IT oddelením. Navyše 83 % IT zamestnancov používa neschválený softvér alebo služby.

Prečo? Dôvody sú viaceré. Bežní zamestnanci môžu zistiť, že riešenia schválené spoločnosťou nie sú dostatočne flexibilné, aby im pomohli dosiahnuť zvýšenie produktivity. Žiadosť o povolenie na používanie vo svete rozšíreného bezplatného softvéru sa môže zdať zdĺhavá.

Podobne aj IT odborníci môžu mať pocit, že ich súčasné nástroje nie sú na úrovni toho, čo je potrebné na zefektívnenie ich práce. To súvisí aj s príkladom BYOD v úvode – správa zariadení sa môže niektorým zdať príliš autoritárska a môžu sa obávať o svoje súkromie.

Štúdia z roku 2023 ukázala, že až 69 % zamestnancov obchádzalo pokyny týkajúce sa kybernetickej bezpečnosti a 74 % bolo ochotných obchádzať pokyny, aby dosiahli obchodný cieľ.

Za každou politikou riadenia rizík však stojí dôvod, prečo existuje. Neautorizované zariadenia môžu predstavovať bezpečnostné riziko, pretože ich ochrana pravdepodobne nespĺňa firemné štandardy.

Zároveň môže tieňové IT znamenať náklady presahujúce bežný rozpočet spoločnosti, ktoré podľa správ tvoria približne 50 % výdavkov na IT vo veľkých podnikoch. Keďže tieto výdavky nie sú súčasťou bežného ročného rozpočtu, pravdepodobne ide o zbytočné náklady.

Hrozby tieňového IT

Organizácie zvyčajne používajú viacero riešení alebo služieb na ochranu pracovných zariadení. Používajú ESET Endpoint Security s nástrojom ako ESET Inspect, aby lepšie vizualizovali a kontrolovali svoju pozíciu, a zároveň používajú ESET Mobile Threat Defense na pracovných telefónoch.

Výsledkom je bezpečné prostredie, v ktorom tieto riešenia ľahko zachytávajú škodlivé aktivity tým, že kontrolujú nezrovnalosti súvisiace s existujúcimi pravidlami alebo neobvyklým správaním, ako je napríklad inštalácia podpísaného zraniteľného ovládača zamestnancom (v najhoršom prípade znamenajúceho prítomnosť nástroja EDR killer).

Neschválené zariadenia nemajú nič z toho: žiadne automatické opravy zraniteľností, takmer nulovú ochranu proti pokročilým hrozbám v dôsledku neexistujúceho prístupu k SOC a voľný prístup k firemným dátam pre každého, kto má záujem vykonať útok.

Navyše, shadow IT je aj problémom z hľadiska dodržiavania predpisov, pretože nemonitorované aplikácie či zariadenia sa s najväčšou pravdepodobnosťou vynechajú počas povinných auditov.

Toto je konkrétne veľký problém tieňového IT, pretože zamestnanec môže veľmi ľahko preniesť firemné dokumenty na osobný USB kľúč, nahrať ich do svojho osobného cloudu alebo v najhoršom prípade zaviesť do firemných sietí škodlivý softvér prostredníctvom kompromitovaného zariadenia. S takými možnosťami sa pravdepodobnosť incidentu, ktorý prekvapí IT personál, zvyšuje na úplnú istotu.

Podľa správy IBM Cost of a Data Breach Report z roku 2025 sú tieňové služby umelej inteligencie zodpovedné za až 20 % bezpečnostných incidentov, čím sa náklady na narušenie bezpečnosti zvyšujú o 670 000 USD a dochádza aj k ohrozeniu duševného vlastníctva a osobných údajov.

Svetlé stránky shadow IT?

Tieňové IT však nie je niečo, čo by sa malo úplne odpísať. Hoci je to určite rizikový faktor, má aj niektoré výhody, ako napríklad:

  • Zvýšenie produktivity: Tí, ktorí hľadajú vyššiu efektívnosť a produktivitu, ju môžu nájsť v nepovolených produktoch, ktoré používajú.
  • Zvýraznenie technologických medzier: Možno, že dostupné nástroje naozaj nestačia a individuálne voľby zamestnancov môžu informovať IT oddelenie spoločnosti o správnych alternatívach.
  • Náklady: Buďme úprimní, v dnešnej dobe je všetko drahé. Počítače, telefóny, SaaS… a náklady stále rastú. Tým, že sa spoločnosti nemusia zaväzovať k zvýšeným nákupom, môžu v dlhodobom horizonte ušetriť na nákladoch.
  • Lepšie monitorovanie bezpečnosti: Zavedením nových objektov do podnikového prostredia môže bezpečnostný personál lepšie pochopiť, ako riadiť externé riziká, a v tomto prípade lepšie určiť, čo je a čo nie je rizikové správanie zamestnancov.

Hlavné úskalia

Problémom tieňového IT je, že je ťažké posúdiť jeho rozsah v rámci organizácie.

Vzhľadom na obrovský počet zariadení a programov, ktoré sa pravdepodobne používajú, je takmer nemožné ich kontrolovať. Takmer. V prípade softvéru nainštalovaného na pracovných počítačoch to môže byť jednoduchšie, pretože sú už vybavené softvérom na vzdialenú správu alebo bezpečnostným softvérom, ale v prípade neautorizovaných zariadení je to pravdepodobne o niečo zložitejšie.

Uvedomelé spoločnosti riešia tento problém prostredníctvom segmentácie siete (napríklad hosťovské Wi-Fi) a správy prístupu (vyžadujúce chránenú VPN pre prístup k interným serverom), ale to nezabráni ľuďom kopírovať alebo posielať súbory do neautorizovaných priestorov, čo je ďalší multiplikátor rizika. Preto je potrebné uprednostniť prevenciu.

Ako sa chrániť?

Na boj proti shadow IT a zároveň na zvýšenie produktivity zamestnancov by mali firmy:

  • Presadzovať interné politiky: Jasnou komunikáciou očakávaní zo strany IT, vrátane potenciálnych sankcií, môžu podniky zvýšiť povedomie zamestnancov a zároveň znížiť svoju zodpovednosť.
  • Zamerať sa na povedomie o bezpečnosti: Školenia o kybernetickej bezpečnosti by mali vysvetľovať riziká spojené s neoverenými zariadeniami alebo aplikáciami a riešiť tieňové IT ako kľúčový bod.
  • Zisťovať názory zamestnancov: Je pravdepodobné, že zamestnanci majú objektívne dôvody na používanie tieňového IT. Zistite názory zamestnancov, aby ste podrobne opísali ich skúsenosti a posúdili príležitosti na dosiahnutie lepšej návratnosti investícií súvisiacej s používaním produktov.
  • Vylepšite monitorovanie: Nemáte nainštalovaného aktívneho monitorovacieho agenta na zariadení tieňového IT? Žiaden problém. Ak sa títo zamestnanci pripájajú k firemným sieťam, jednoducho skontrolujte sieťovú aktivitu a prevádzku, aby ste zistili podozrivé správanie. V prípade potenciálne nežiaducich aplikácií alebo služieb môže byť veľkou pomocou nainštalovaný bezpečnostný agent alebo monitorovací nástroj.

Odborné tipy a postrehy

Zamestnanci už roky používajú neschválené nástroje – známe ako shadow IT – na obchádzanie byrokracie a pomalých interných procesov, ktoré spomaľujú zavádzanie nových technológií. Pri hľadaní nových riešení na zvýšenie produktivity tento prístup často prináša do prostredia organizácie skryté riziká, ktoré preťažené IT a bezpečnostné tímy nemôžu pokryť. Časté zavádzanie nových, výkonných a užívateľsky prívetivých nástrojov umelej inteligencie tento trend ešte viac posilnilo, v dôsledku čoho organizácie zápasia s identifikáciou a riadením neznámych hrozieb zabudovaných do ich produktov a infraštruktúry.

Až čas ukáže skutočný vplyv tieňového IT a tieňovej umelej inteligencie na procesy, produktivitu, ochranu údajov, bezpečnosť a kvalitu produktov. Osobitnú pozornosť si zasluhujú softvérové produkty, kde kód generovaný umelou inteligenciou a postupy ako „vibe coding“ môžu (znova) zaviesť nezabezpečené návrhy a zraniteľnosti zakorenené v zlých programovacích návykoch prítomných v trénovacích dátach umelej inteligencie. Hoci shadow IT môže podporovať inovácie, ak nie je riadne spravované, môže sa stať prekážkou, ktorá môže viesť k vážnym incidentom alebo v najhoršom prípade ku katastrofálnemu zlyhaniu organizácie.

Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET

Čo si zobrať z problematiky shadow IT?

Je tieňové IT problémom? Záleží na uhle pohľadu. Hoci ide o rizikový faktor, ktorý znásobuje pravdepodobnosť úniku údajov alebo kompromitácie, má aj svoju pozitívnu stránku. Pravdepodobne by nemalo zmysel zakázať všetky tieňové aplikácie, ale premeniť ich používanie na lepšie rozhodovanie o nákupe zariadení alebo softvéru, ako aj na interné politiky týkajúce sa napríklad BYOD.

Odporúčané články

BVF Cherepanov ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 28. augusta 2025
Výskumník, ktorý odhalil úplne prvý ransomvér poháňaný AI: je to vzrušujúce, no uvedomujem si nebezpečenstvo
BVF sifrovanie ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 13. augusta 2025
Šifrovanie vo firmách: vyvraciame 5 najčastejších mýtov