De helft van de medewerkers wereldwijd gebruikt tijdens het werk diensten voor de overdracht of opslag van bestanden, zonder dat hun werkgever daarvoor toestemming heeft gegeven. Dit blijkt uit onderzoek van securitytrainingsbureau KnowBe4.
Shadow IT vormt een reëel risico voor organisaties. Dit geldt zeker voor ongeautoriseerde ‘file services’ die niet voldoen aan de veiligheidseisen van bedrijven en instellingen. Kai Roer, chief research officer van KnowBe4, noemt de bevindingen van dit onderzoek zeer verontrustend. ‘Medewerkers handelen onveilig, waardoor organisaties aan grote risico’s worden blootgesteld,’ zegt hij.
KnowBe4 onderzocht het gebruik van ongeautoriseerde clouddiensten voor de opslag van informatie en communicatie op de werkplek. Verder werd gekeken naar het aantal downloads via ongeautoriseerde file sharing-netwerken. Per sector loopt het gebruik van Shadow IT sterk uiteen. Vooral medewerkers van bouwbedrijven en onderwijsinstellingen gebruiken veel ongeautoriseerde software en diensten. Ook ambtenaren nemen nogal wat risico. Voorzichtiger zijn medewerkers van financiële instellingen en technologiebedrijven. Volgens Roer moeten bedrijven hun mensen bewuster maken van de veiligheidsrisico’s.
Filters inbouwen
Tijdens het Mobile World Congress (MWC) onlangs in Barcelona bleek dat veel bedrijven overgaan tot een zogeheten secure access service edge (sase), een omgeving in de cloud met verschillende security-filters. Bedrijven zoals VMware, Cloudflare, Okto en Zscaler verkopen steeds meer van dit soort oplossingen. Ook traditionele leveranciers van firewalls waaronder Cisco, CheckPoint, Juniper en Palo Alto Networks hebben sase omarmd. Met filters is tegen te gaan dat werknemers toegang krijgen tot bepaalde sites of andere software gebruiken dan die door hun werkgever beschikbaar is gesteld.
KnowBe4 laat onvermeld welke diensten voor het delen van bestanden minder veilig kunnen zijn. Maar bekend is dat WeTransfer qua encryptie niet aan de hoogste eisen voldoet waardoor data in verkeerde handen kunnen komen. Zelfs verkeerd gebruik van een populaire dienst kan risico’s met zich mee brengen. OneDrive biedt bijvoorbeelkd de mogelijkheid om naast een zakelijke OneDrive nog een privé OneDrive in te stellen. Het uploaden van bedrijfsdata naar de privéversie houdt het risico van een datalek in. Ook achter een applicatie als Pdf2Go kunnen vraagtekens worden gezet. Alle data die deze app ontvangt, worden namelijk eigendom van Pdf2Go. En niet elk bedrijf zal daar gelukkig mee zijn.
Die mauwerd van een Dino valt over definities dus welke dimensionering wordt er eigenlijk aan het begrip Schaduw IT gegeven? Als het hier om de NIET gecontracteerde IT gaat dan volgt de vraag door wie gecontracteerd want de creditcard IT van de cloud heeft de business de vrijheid gegeven om eigen oplossingen te kiezen. Oplossingen die, zoals achteraf blijken, niet voldoen aan het informatiebeveiligingsbeleid waaraan organisaties zich bij wet- en regelgeving aan dienen te houden. Zo denk ik dat je wat betreft het privacy-by-design principe weinig oplost met de technische maatregelen op het netwerk zonder de gebods- en verbodsbepalingen in informatiedeling vanuit een organisatorische visie.
De ene mauwerd verwijt de andere …..
Wordt tijd dat de enige echte mauwerd, Felix the cat, zich met de discussie gaat bemoeien