Wat is schaduw-IT in cyberbeveiliging?
Schaduw-IT in cyberbeveiliging is iets waar de meeste werknemers mee te maken hebben gehad of op zijn minst door zijn verleid. Het gaat om het gebruik van ongeautoriseerde software, hardware of IT-middelen binnen een bedrijfsnetwerk.
Deze praktijk lijkt op het gebruik van geheime gangen in een kasteel. Ongeacht hoe complex de indeling van het kasteel is en hoeveel bewakers de deuren beschermen, als iemand aan de binnenkant onbekende openingen creëert voor externe vijanden zonder medeweten van de bewakers, is de bewaking van het kasteel niet effectief. Een organisatie lijkt op een kasteel, met het IT-team als bewakers. Wanneer werknemers schaduw-IT gebruiken, omzeilen ze de cyberprotocollen die zijn bedoeld om het systeem te beschermen en bieden ze aanvallers een toegangspunt die onbeheerd en onbeschermd is.
Naarmate mensen handiger zijn met technologie, wordt schaduw-IT een groeiend probleem voor organisaties. Volgens voorspellingen van Gartner-experts zal tegen 2027 75% van de werknemers technologie verwerven, aanpassen of creëren buiten het zicht van IT, in vergelijking met 41% in 2022. Echter, in tegenstelling tot de meeste cyberbeveiligingsrisico’s die voortkomen uit de kwaadaardige bedoelingen van hackers, komt schaduw-IT van binnenuit, waarbij werknemers technologie gebruiken met de intentie om goed te doen voor de organisatie. Hoe goedbedoeld het ook mag zijn, schaduw-IT maakt organisaties kwetsbaar voor beveiligingsinbreuken, gegevenslekken en ongeautoriseerde toegang.
Belangrijkste oorzaken: Waarom ontstaat schaduw-IT
De uitdrukking ‘niet harder maar slimmer werken’ ligt misschien wel aan de basis van schaduw-IT. Waarom? Omdat werknemers in een poging om efficiënter te zijn, onbewust vertrouwen op schaduw-IT-tools die ze zelf downloaden en installeren. Ze vinden vaak onofficiële tools die beter werken of meer toegevoegde waarde hebben dan door IT goedgekeurde tools en gebruiken deze om hun werk makkelijker te maken. Ze hebben wellicht het idee productiever te zijn, maar daarmee geven ze hackers tegelijkertijd de openingen die zij nodig hebben om ongeautoriseerde toegang te krijgen tot de systemen van hun organisatie.
Je vraagt je misschien af waarom iemand geen goedkeuring zou aanvragen voor het gebruik van nieuwe applicaties en daarmee voldoet aan het beleid van het bedrijf. Wat meestal gebeurt, vooral in grote organisaties, is dat het aanvragen van goedkeuring voor een nieuwe app zóveel tijd vraagt en zo omslachtig is, dat het simpelweg te lang duurt voordat medewerkers antwoorden krijgen. Als gevolg hiervan nemen ze het heft in eigen handen en gaan op zoek naar een snellere, efficiëntere manier om dingen voor elkaar te krijgen zonder vast te lopen in het administratieve proces.
Naarmate de trend van thuiswerken toeneemt, werken meer medewerkers op eigen, persoonlijke apparaten die mogelijk ongeautoriseerde software bevatten. Als de IT-afdeling niet op de hoogte is dat iemand ongeautoriseerde software gebruikt, kunnen ze het apparaat en de systemen van de gebruiker niet beschermen tegen aanvallen. Hierdoor loopt de hele organisatie het risico gehackt te worden. Op dezelfde manier zijn de Bring Your Own Device (BYOD)-beleidsrichtlijnen ook voor aanvallers een kans om toegang te krijgen tot een systeem dat gemakkelijker te hacken is zoals een persoonlijk apparaat. Deze kwetsbaarheid wordt vervolgens gebruikt om toegang te krijgen tot het beveiligde netwerk van het bedrijf.
Soorten schaduw-IT
Voorbeelden van schaduw-IT zijn er in vele vormen en gedaanten. Het is niet alleen het downloaden van een onbekende app of add-on, maar het kan ook zo onschuldig zijn als het verbinden van een smartwatch met je smartphone die weer verbonden is met het netwerk van je organisatie. Onderstaand enkele veelvoorkomende soorten schaduw-IT en hoe ze toegang tot een netwerk kunnen verlenen.
Cloudservices
Cloudservices zijn het meest voorkomende type schaduw-IT. Het lijken misschien onschuldige apps om samen te werken met het team of bestanden tussen afdelingen te delen, maar ze kunnen grote risico’s voor de veiligheid van de organisatie met zich meebrengen. Enkele van de meest voorkomende cloudservices die worden gebruikt in schaduw-IT zijn Dropbox, Google Drive en OneDrive om bestanden op te slaan en te delen. Hetzelfde geldt voor andere SaaS-services zoals Zoom, Shopify, Salesforce en Zendesk.
Hardware
Naast persoonlijke laptops, tablets en computers, zijn andere voorbeelden van schaduw-IT IoT-apparaten, USB-sticks, smartwatches, serverapparaten, smartphones en zelfs luidsprekers. Wanneer je een persoonlijk apparaat meebrengt naar het werk, kunnen je accountinstellingen hen automatisch verbinden met het netwerk van de organisatie. Deze apparaten hebben echter niet de juiste beveiliging geïnstalleerd en worden niet gemonitord door de IT-afdeling. Aanvallers hebben op die manier via deze apparaten eenvoudig toegang tot het hele netwerk.
Schaduwsoftware
Sommige hulpprogramma’s zoals wachtwoordbeheerders, VPN-clients, externe toegangsapps zoals TeamViewer en AnyDesk en berichtenapps zoals WhatsApp en Telegram, vormen een bedreiging voor het systeem wanneer verantwoordelijke IT-professionals ze niet installeren. Ook samenwerkingstools zoals Slack, Trello en Asana kunnen een toegangspunt voor aanvallers zijn als ze niet zijn goedgekeurd door de IT-afdeling.
Het IT-team zelf krijgt ook geen vrijbrief als het gaat om het gebruik van schaduw-IT. Hoewel zij minder geneigd zijn om onofficiële apps te gebruiken die schadelijk kunnen zijn voor de organisatie, kan schaduw-IT die door hen wordt gebruikt mogelijk een nog groter risico vormen voor de organisatie. IT-professionals hebben namelijk meestal verdergaande toegangsrechten tot belangrijke middelen dan andere medewerkers. Bovendien gaat het bij schaduwsoftware niet alleen om kant-en-klare software die is ontwikkeld door een externe organisatie. IT-professionals hebben zelf de kennis om verder te gaan dan standaard oplossingen en kunnen zelf nieuwe software ontwikkelen. Dat is aan de ene kant een heel waardevolle vaardigheid, maar vergroot ook het risico voor de organisatie wanneer de zelfgebouwde software niet is goedgekeurd door het beveiligingsteam.
OAuth-protocol
Een veelvoorkomende vorm van schaduw-IT is het verlenen van uitgebreide OAuth-machtigingen aan applicaties van derden door gebruikers. OAuth is een nuttige intermediair omdat het applicaties toegang geeft tot gebruikersgegevens zonder daarbij inloggegevens te delen. Het accepteren van al die pop-ups die vragen om verbinding te maken of toegang te autoriseren tot andere apps, stelt applicaties van derden echter ook in staat om je gegevens te verzamelen en op te slaan. Dergelijke acties, vaak ondernomen zonder dat men bij de implicaties stilstaat, kunnen gevoelige organisatorische gegevens onbedoeld blootstellen of in strijd zijn met gegevensbeschermings- en privacyregelgeving zoals de AVG.
Hoewel OAuth-protocollen en andere vormen van schaduw-IT aan de ene kant overduidelijke gevaren voor je organisatie met zich meebrengen, zijn ze aan de andere kant soms ook aanleiding voor medewerkers om nieuwe en betere manieren te vinden om hun werk te doen. Het geeft mensen het idee zelf te kunnen bepalen hoe ze hun werk doen en verbetert hun probleemoplossend vermogen. Sommige vormen van schaduw-IT kunnen daarmee ook ten goede komen aan de organisatie als geheel en de productiviteit in verschillende sectoren verbeteren. Echter, wanneer het niet wordt begeleid door deskundige IT-professionals, kunnen de risico’s van schaduw-IT de voordelen ervan overschaduwen.
Wat zijn de risico’s van schaduw-IT?
Schaduw-IT is in feite een open uitnodiging voor hackers. Ongeacht hoe robuust en streng de cyberregels zijn binnen een organisatie, aanvallers benutten zelfs de kleinste kans om ongeautoriseerde toegang te krijgen tot het organisatienetwerk. Zodra ze dit doen, kunnen de gevolgen van de aanval ernstig zijn. Enkele van de risico’s van schaduw-IT zijn onder meer:
- Gebrek aan toezicht en controle: Wanneer de IT-afdeling niet op de hoogte is van het gebruik van schaduw-IT, kunnen ze geen beveiligingsbeleid afdwingen, bedreigingen monitoren of potentiële kwetsbaarheden identificeren. Hierdoor worden gegevens en systemen blootgesteld aan gevaar.
- Dataverlies: Ongeautoriseerde software heeft niet de juiste beveiligingsmaatregelen om te beschermen tegen aanvallen. Dat maakt gevoelige gegevens eenvoudiger toegankelijk en kwetsbaar voor gegevensverlies of lekken. Bovendien, als de gegevens die zijn opgeslagen in schaduw-IT-middelen verloren gaan, zijn ze niet toegankelijk via de back-up van het bedrijf.
- Verouderde informatie: Schaduw-IT-middelen worden niet centraal gecontroleerd, wat betekent dat je werkt met gegevens die niet zijn gecorrigeerd of bijgewerkt door de organisatie.
- Compatibiliteitsproblemen: Schaduw-IT kan compatibiliteitsproblemen veroorzaken met de huidige systemen en IT-infrastructuur van de organisatie. Het ontbreken van integratie met de rest van de systemen, kan resulteren in lacunes in beveiligingscontroles. Dat maakt het moeilijk om effectief te reageren op beveiligingsincidenten of kwetsbaarheden.
- Complianceproblemen: Door te vertrouwen op ongeautoriseerde hardware en software, kunnen medewerkers en organisaties onbedoeld in strijd zijn met gegevensbescherming, privacy, AVG of andere wettelijke vereisten. Dit kan leiden tot juridische gevolgen en mogelijke reputatieschade.
- Vergroot aanvalsoppervlak: Elke schaduw-IT-hardware of -software biedt een potentieel toegangspunt voor cybercriminelen. Daarmee nemen de mogelijkheden om het slachtoffer te worden van een cyberaanval toe.
- Inefficiënte allocatie van middelen: Het gebruik van schaduw-IT-software en -hardware bemoeilijkt het proces van het delen van informatie tussen afdelingen, wat resulteert in productiviteitsverliezen en verminderde efficiëntie.
- Financiële uitgaven: Wanneer medewerkers schaduw-IT gebruiken, geven ze geld uit aan (dezelfde of vergelijkbare) oplossingen die het bedrijf al heeft, waardoor de kosten worden verdubbeld. Bovendien, als er een daadwerkelijke aanval plaatsvindt als gevolg van het gebruik van schaduw-IT, moet de organisatie extra tijd en middelen besteden om de crisis aan te pakken.
Zo stimuleert de adoptie van AI de groei van schaduw-IT
Met de toenemende populariteit van AI wordt de zorg over schaduw-IT nog relevanter. Zowel medewerkers als het management experimenteren met verschillende AI-tools om efficiënter om te gaan met tijd en creatieve oplossingen te vinden. Wanneer dit gebeurt zonder medeweten of toestemming van het IT-team, breng je daarmee het hele netwerk en de gegevens in gevaar.
AI is een nieuw onderwerp voor iedereen, inclusief voor IT-professionals. Er zijn daarom nog niet veel protocollen voor de implementatie ervan beschikbaar. De snelheid waarmee AI zich ontwikkelt, is vaak te hoog voor IT-beheer om bij te blijven. Veel organisaties zijn daarmee onbeschermd tegen verdachte en onbetrouwbare AI-tools. Dit was voor veel organisaties de aanleiding om het gebruik van AI helemaal te verbieden, maar dat heeft in veel gevallen het tegenovergestelde effect. Medewerkers gaan dan júist op zoek naar nieuwe en riskantere manieren om AI in hun werk te integreren. Bovendien zorgt het verbieden van AI ervoor dat organisaties ook alle potentiële voordelen van AI mislopen.
Om tot een middenweg te komen, moeten organisaties manieren vinden om werknemers AI-tools te laten gebruiken die hun productiviteit verbeteren, maar wel op een verantwoorde, veilige manier. Dit kan op verschillende manieren worden gedaan, die we hieronder behandelen.
Hoe voorkom je schaduw-IT
Het meeste gebruik van schaduw-IT is niet kwaadaardig en is bedoeld om efficiënter te werken. Hoewel het de organisatie blootstelt aan ongeautoriseerde toegang, kan het berispen van medewerkers die betere manieren zoeken om hun werk te doen, leiden tot stagnatie en onwil om te groeien en te verbeteren. In feite moeten nieuwsgierige werknemers die op zoek zijn naar manieren om productiever te zijn, worden aangemoedigd, maar wel met de juiste begeleiding van het IT-team.
Hieronder staan verschillende manieren waarop organisaties het risico van schaduw-IT kunnen verminderen terwijl ze innovatie aanmoedigen.
- Begrijp de behoeften van de gebruiker: Door te begrijpen wat medewerkers nodig hebben, kunnen IT-teams betere oplossingen bieden en de verleiding van schaduw-IT verkleinen. Stel vragen als waarom gebruiken werknemers niet-goedgekeurde middelen? Wat ontbreekt er aan de huidige tools?
- Zorg voor een up-to-date IT-beleid: Flexibele IT-beleidslijnen, gecombineerd met voorlichting aan medewerkers zijn de ideale manier om innovatie aan te moedigen en tegelijkertijd de risico’s van het gebruik van schaduw-IT te minimaliseren. Organisaties moeten duidelijke richtlijnen hebben voor het aanvragen van nieuwe technologie door medewerkers en hen begeleiden bij het inzetten ervan in hun dagelijkse werk zonder daarbij de risico’s te lopen die horen bij schaduw-IT.
- Creëer een zogenaamd ‘fast-track- projecttype: Naast IT-beleid voor reguliere opname van nieuwe software en hardware, is het een goed idee om een alternatieve route te hebben met een meer gestroomlijnd proces. Op deze manier zullen medewerkers de juiste IT-begeleiding hebben voor het gebruik van verschillende tools bij hun werk, zonder dat ze dit op eigen risico hoeven te doen.
- Implementeer een CASB: Een Cloud Access Security Broker (CASB) is een cloudgebaseerde tool die zich tussen gebruikers en hun cloudservice bevindt om ervoor te zorgen dat de uitwisseling voldoet aan het cybersecuritybeleid van de organisatie. Het kan ook bijdragen aan gegevensbeschermingsbeleid, gebruikers monitoren en ongebruikelijke activiteiten identificeren.
- Scan onkostenrapporten: Leidinggevenden in beveiliging kunnen inzicht krijgen in de activiteiten in een organisatie door samen te werken met de financiële afdeling. Door onkostenrapporten en andere documenten te scannen, komen uitgaven in verband met schaduw-IT boven tafel die anders onzichtbaar zouden blijven. Dit is vooral handig bij het gebruik van schaduw-IT, omdat je daarmee ook inzicht krijgt in verzoeken om vergoeding voor technologie-uitgaven die te klein zijn om het officiële inkoopproces te doorlopen.
- Bied medewerkers bewustwordingsstraining: Medewerkers realiseren zich vaak niet welke risico’s gepaard gaan met schaduw-IT. Dit kun je ondervangen met gespecialiseerde training die hen informeert over het belang van het naleven van goedgekeurde technologiepraktijken.
Hoe SoSafe bedrijven kan helpen het risico van schaduw-IT te beheren
In het tijdperk van snelle technologische ontwikkelingen, moeten organisaties het belang van schaduw-IT inzien en begrijpen hoe het hun dagelijkse werk beïnvloedt. Zij moeten manieren vinden om creativiteit en onderzoek van medewerkers te ondersteunen terwijl ze tegelijkertijd hun middelen adequaat beschermen. Het ontwikkelen van een goed doordacht beleid voor schaduw-IT en het openhouden van de communicatie tussen je medewerkers en het cybersecurityteam, in combinatie met continue en relevante training, zal bijdragen aan het maken van veiligere keuzes.
Het Awareness training platform van SoSafe heeft een uitgebreide e-learningmodule over schaduw-IT die je medewerkers de kennis en tools geeft om je organisatie te beschermen tegen ongewenste toegang. Via interactief leren en gamification train je medewerkers om ongeautoriseerd gebruik van software, hardware en applicaties te herkennen en de gevolgen van het gebruik ervan te voorkomen. Na voltooiing van de training weten gebruikers waar ze betrouwbare software en hardware kunnen vinden en hoe ze deze kunnen gebruiken zonder de bedrijfsmiddelen van je organisatie in gevaar te brengen.
Door de juiste methodes voor bewustwordingstraining te implementeren kun je je gegevens beschermen, consistentie garanderen tussen verschillende afdelingen en compatibiliteitsproblemen voorkomen. Je sterkste verdedigingslinie, je medewerkers, zullen zich gesterkt voelen en worden aangemoedigd om de nieuwigheden van de online wereld te verkennen terwijl ze (blijven) voldoen aan alle veiligheidsnormen die je organisatie hanteert.