Wat is shadow IT? Wat zijn de gevaren? En hoe voorkom je hacking via deze externe IT-oplossingen?
We gebruiken programma’s om online te vergaderen, om grote bestanden door te sturen, om mailings te verzenden en te chatten met onze klanten. We werken thuis op onze laptop, mailen naar collega's vanop onze privé-smartphone, installeren sensoren op machines, koppelen onze camera’s aan wifi,... Deze externe oplossingen en apparaten worden shadow IT genoemd. Weet je ook dat deze een veiligheidsrisico vormt voor je onderneming? En vooral, weet je hoe je je onderneming hiertegen beveiligt?
In dit artikel krijg je antwoorden op deze vragen
- Wat is shadow IT?
- Krijg je als kmo ook te maken met shadow IT?
- Vormt shadow IT een gevaar voor bedrijven?
- Mag je shadow IT toelaten?
- Kan je de cyberveiligheid van shadow IT verhogen?
- Welke vragen moet je je stellen over shadow IT?
- Mensen informeren is de eerste stap om je te beveiligen tegen cybercriminelen. Wat kan je nog doen als organisatie?
Cybersecurity -consultant bij AE, Kris Laes, geeft de antwoorden over shadow-IT.
Wat is shadow IT?
Shadow IT zijn hard- en software en systemen die in de schaduw van de officieel door de IT-dienst beheerde systemen opereren.
De IT-verantwoordelijke of -dienst is niet op de hoogte van deze programma’s en slimme apparaten. De kans bestaat dat deze IT-oplossingen verboden zijn volgens het bedrijfsbeleid of dat ze niet officieel werden aangevraagd en goedgekeurd.
Shadow IT is een brede term die veel zaken omvat, zoals:
- eigen smartphones en tablets van medewerkers
- apparaten die mensen bij hen thuis met (draadloos) internet verbinden
- eigen software die mensen op de laptop van het werk installeren
- cloudoplossingen of software die afdelingen en medewerkers op eigen houtje installeren en gebruiken. Bekende voorbeelden zijn Dropbox en persoonlijke OneDrives.
- zakelijke mails die naar privé accounts worden doorgestuurd
- privébestanden die op de zakelijke laptop bewerkt worden
Kris Laes deelt deze verborgen IT ruwweg in twee categorieën in:
- Afdelingen die een eigen budget beheren om IT aan te kopen en de IT-afdeling niet informeren over aankopen en abonnementen. Bijvoorbeeld de marketingafdeling die een abonnement neemt op Mailchimp of Hubspot. Of een projectgroep die communiceert en informatie deelt via de gratis mogelijkheden van Notion of Slack.
- Medewerkers die zelf toestellen meebrengen en eigen cloudoplossingen voor het werk gebruiken, bijvoorbeeld: notities op hun smartphone, Dropbox en WeTransfer.
Krijg je als kmo ook te maken met shadow IT?
Ja. Elke kmo heeft ermee te maken. Kris vindt shadow IT in elke Vlaamse grote en kleine organisatie waar hij aan de slag gaat.
Shadow IT heeft dan ook altijd bestaan en zal altijd bestaan. Maar het is meer aanwezig nu internet overal is, onze huizen vol Internet of Things-toestellen staan, we allemaal met smartphones en tablets rondlopen en we meer dan ooit thuiswerken. Hierdoor komt ook elke kmo ermee in aanraking.
Wereldwijd gaat 30 tot 50 procent van alle IT-uitgaven naar shadow IT (studies Gartner en Everst Group in 2017)
80 procent van de medewerkers geeft in een onderzoek toe dat het de IT-afdeling omzeilt en het niet-officiële clouddiensten gebruikt (The impact of shadow it, OneSource).
👉 Elke onderneming heeft schaduw-IT. Nu kan je er naar laten kijken met subsidies van VLAIO. Ontdek hier de dienstverleners van het cybersecurity-verbetertraject voor Vlaamse kmo’s
Vormt shadow IT een gevaar voor bedrijven?
Shadow IT is altijd één van de bezorgdheden geweest gedurende de twintigjarige loopbaan van Kris. Dit omdat het letterlijk betekent dat je je als IT-afdeling niet bewust bent van deze IT. Deze bevindt zich in de schaduw. Hierdoor kan je dit dus ook niet monitoren, beheren en beveiligen.
Dit is een probleem omdat shadow IT direct verbonden is met je bedrijfsnetwerk, op de toestellen van je onderneming draait en vaak connectie legt met eigen software en data.
Bovendien wordt het gevaar groter en meer verspreid. Want er zijn honderden cloudoplossingen, vaak gratis te gebruiken. Medewerkers plaatsen er gevoelige bedrijfsdata in… en vergroten zo de kans op datalekken. Elk lek is een mogelijkheid om een organisatie binnen te dringen.
👉 Laat de digitale kant van je onderneming doorlichten om van daaruit je cyberveiligheid te verhogen. Start met de digitale quickscan van Voka.
Volgens Gartner was één op de drie van alle cybersecurity incidenten in 2020 te wijten aan shadow IT. Ja dus, shadow IT vormt een gevaar voor bedrijven.
Zo horen cybersecurity-experts wel eens van een hacking via Dropbox. Cybercriminelen geraken binnen in één account. Van daaruit sturen ze bestanden naar collega’s die denken: "Het bericht komt van mijn collega, dus is het OK". Ze klikken op de link, waarbij ze niet beseffen dat ze een gevaarlijk bestand binnenhalen.
Bij kmo's is het gevaar groter omdat deze kleine organisaties niet de middelen hebben om er actief mee bezig te zijn. Ze kiezen net voor gemakkelijke online tools om zorgelozer en gemakkelijker te werken.
Mag je shadow IT toelaten?
Je kan niet anders dan deze toelaten. Deze zijn er nu eenmaal. Kijk maar naar alle virtuele vergaderingen die je doet via Teams, Zoom, Google Meet,...
Al je medewerkers zijn mobiel en hebben thuis slimme toestellen. Als ze hun werklaptop openen, werken ze meestal op dezelfde wifi als deze IoT-toestellen. Iedereen gebruikt zijn smartphone voor werk en privé en de cloudtools zijn ongelooflijk handig.
Wel kan je shadow IT beperken en beter controleren.
Hierbij adviseert Kris om de balans op te maken tussen de risico’s en de hogere efficiëntie die je boekt. Shadow IT is vaak gemakkelijk zelf te beheren, kost niet veel, verhoogt de efficiëntie,... Je moet slechts een account aanmaken en een laag abonnementsgeld betalen.
Kan je de cyberveiligheid van shadow IT verhogen?
Ja, de cyberveiligheid van shadow IT is te verhogen. Je kan maatregelen nemen om deze soft- en hardware te gebruiken en toch het risico voor je onderneming laag te houden.
De oplossing? Haal shadow IT uit de schaduw.
De belangrijkste stap hierin is het informeren en waarschuwen van mensen voor het gevaar. Mensen vinden de tools en hun eigen IT nu zo gemakkelijk. Maar weinigen denken aan de risico's. Het bewustzijn moet fors hoger, volgens Kris.
Via preventie sensibiliseer je hen voor deze gevaren. Je wijst hen op de mogelijkheden om hun accounts en wifinetwerk thuis beter te beveiligen. Je geeft aan hoe bedrijfsgeheimen te beveiligen zijn en wat er gedaan moet worden als er een inbraak is.
Welke vragen moet je je stellen over shadow IT?
- Hebben we alle tools die we vandaag gebruiken nodig?
- Welke externe IT-oplossingen houden we aan?
- In welke landen bewaren deze onze data?
- Claimt deze IT een eigendomsrecht op onze data?
- Hoe beveiligen we de shadow IT die we aanhouden?
- Hoe maken we onze mensen bewust van de gevaren en oplossingen?
Mensen informeren is de eerste stap om je te beveiligen tegen cybercriminelen. Wat kan je nog doen als organisatie?
Je kan de uitdagingen rond shadow IT gestructureerder aanpakken en inwerken in de governance rond IT.
De zes stappen die Kris aanbeveelt, zijn:
Stap 1. Zet je samen met de afdelingsverantwoordelijken. Lijst de tools en toepassingen op die je medewerkers vandaag gebruiken en zeggen nodig te hebben.
Stap 2. Evalueer deze IT-oplossingen volgens deze belangrijke veiligheidscriteria:
- Hoe zijn ze te beveiligen?
- Bewaren ze de data binnen Europa (zodat je aan de GDPR-regelgeving voldoet)?
- Voor welke gevaren moeten gebruikers op hun hoede zijn?
- Worden de cloudplatformen eigenaar van je data?
- Hoe worden updates voorzien?
Stap 3. Kom tot een lijst van tools die voortaan toegelaten zijn en vanuit het bedrijf opgevolgd worden. Dan weet je als IT-dienst ook welke gevaren je moet monitoren en opvolgen, bijvoorbeeld wanneer er een gevaarlijk lek zoals Log4j <interne link> ontdekt wordt.
Stap 4. Leg regels op rond het gebruik, onder meer over paswoorden, multifactorauthenticatie en het koppelen aan bedrijfstoepassingen en -data.
👉 Maak je wachtwoorden sterker. Lees nu Waarom en hoe je wachtwoorden nog vandaag veranderen - Change Your Password Day
Stap 5. Volg gebruikers op. Sluit de accounts van medewerkers die het bedrijf verlaten af.
Stap 6. Leg een beveiligingslaag bovenop de ingebouwde beveiliging van deze soft- en hardware en systemen. Je kiest hoe strikt je deze IT wil beveiligen. Zoek naar de balans zoals Kris eerder aanraadde. Want alles is mogelijk, maar dan lever je in qua gebruiksgemak.
Het gaat misschien wat ver voor kleine ondernemingen. Maar voor grotere kmo’s is het zeker interessant om deze gespecialiseerde mogelijkheden voor meer cyberveiligheid te kennen.
Bovenop deze tools kan je een beveiligingslaag leggen via… cloudoplossingen. Een cloud access security broker (CASB) van bijvoorbeeld McAfee of Microsoft zorgt voor gelaagde verdedigingslinies.
Wie wil kan nog voor meer beveiliging zorgen via VPN’s die privé- en werkverkeer scheiden,
en via usage analysis tools en discovery-and-identification tools. Deze helpen je aan een overzicht van alles wat er op het bedrijfsnetwerk gebeurt en eraan geconnecteerd is. Zo kan je alles centraal organiseren, zoals je bijvoorbeeld ook op een thuisnetwerk kan doen via een Unify- of gelijkaardig wifisysteem.
Ook gebruiken sommige kmo’s (interne of cloud) vulnerability scanning tools. Deze scannen bestaande infrastructuur en software op gekende kwetsbaarheden. Voor kmo's kan bijvoorbeeld het SHODAN platform nuttig zijn.