Привет, Хабр.
Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен» — системы учета и контроля ИТ-инфраструктуры. В этой статье хочу разобрать одну из самых устойчивых и при этом недооцененных проблем корпоративных ИТ — несанкционированную установку программного обеспечения, Shadow IT.

Во многих компаниях такие установки до сих пор воспринимаются как частный вопрос дисциплины: кто-то поставил лишнее, кто-то обошел регламент. На практике это не отдельные инциденты, а системное явление, которое напрямую влияет и на безопасность, и на управляемость инфраструктуры.

По нашим наблюдениям, в значительной части организаций сотрудники самостоятельно устанавливают рабочий софт, не проходящий централизованное согласование. Причем речь идет не только о специализированных инструментах, но и о вполне привычных вещах: офисных приложениях, утилитах для обмена файлами, удаленного доступа, аналитики и совместной работы.

Важно понимать: в большинстве случаев здесь нет злого умысла. Причины почти всегда лежат в устройстве процессов. Бизнес развивается быстрее, чем ИТ-регламенты, и людям нужно решать задачи здесь и сейчас. При этом согласование нового ПО может занимать дни или недели. Отд��льный фактор — работа с подрядчиками, которые устанавливают их в инфраструктуре заказчика привычные им инструменты.

Еще один распространенный сценарий — передача техники между подразделениями. Устройство меняет владельца, а установленное ранее ПО остается без пересмотра. В результате в инфраструктуре постепенно накапливается слой неучтенного и неавторизованного программного обеспечения.

Суть проблемы

Опасность Shadow IT выходит далеко за рамки формального несоблюдения регламентов. На практике риски лежат сразу в трех плоскостях: информационная безопасность, соблюдение требований законодательства и управляемость инфраструктуры.

С точки зрения ИБ несанкционированные установки создают прямые каналы для проникновения вредоносного кода. Бесплатные и условно бесплатные приложения из открытых источников нередко содержат трояны, шпионские модули или уязвимости, которые не закрываются корпоративными средствами защиты. Такие программы часто обходят политики обновлений, не получают патчи и остаются вне поля зрения службы безопасности.

Отдельная угроза — сохраненные доступы. Приложения могут хранить учетные данные, токены доступа к корпоративным сервисам и облачным хранилищам. Если устройство перестает обслуживаться или выпадает из-под контроля ИТ-службы, риск утечки данных и несанкционированного доступа возрастает кратно.

Вторая группа рисков связана с соблюдением законодательства и лицензионной чистоты. Использование нелицензионного ПО или превышение числа установок может привести к претензиям правообладателей. При этом аргумент «мы не знали, что это установлено» не освобождает компанию от ответственности. В случае проверок бизнесу приходится в режиме пожара закупать лицензии, оплачивать штрафы и устранять нарушения.

Для многих отраслей критично и соблюдение требований по защите информации и персональных данных. Неучтенное ПО усложняет выполнение требований законодательства и отраслевых стандартов, потому что компания не может точно подтвердить, какие системы обрабатывают данные и какие меры защиты применяются.

Третья проблема — потеря управляемости инфраструктуры. Когда ИТ-служба не имеет полной и актуальной картины установленных программ и устройств, становится невозможно эффективно управлять обновлениями, доступами и затратами. Инциденты в таких условиях выявляются постфактум, и действия по исправлению ситуации начинаются после того, как проблема произошла.

Почему запреты не работают

На практике попытки решить проблему исключительно запретами редко дают устойчивый эффект. Даже самые жесткие регламенты не работают, если у компании нет инструментов, которые позволяют видеть фактическое состояние инфраструктуры: какое ПО установлено, где оно используется и кто за него отвечает.

Теневые ИТ появляются не из-за плохих сотрудников. Это симптом того, что инфраструктура развивается быстрее, чем механизмы контроля.

С чего начинать снижение рисков

Снижение рисков, связанных с теневыми ИТ, начинается не с усиления периметра и не с новых запретов, а с базового учета. Пока компания не может ответить на простой вопрос о том, что реально установлено и используется в ее ИТ-ландшафте, любые меры по безопасности и соответствию требованиям остаются фрагментарными.

Именно поэтому инвентаризация ИТ-активов и программного обеспечения становится фундаментом для контроля. Она позволяет выявлять несанкционированные установки, снижать уязвимости, приводить использование ПО в соответствие с лицензиями и возвращать управляемость инфраструктурой до того, как риски реализуются в виде утечек, штрафов или простоев.