1 maart

Shadow IT: hoe voorkomen we het?

Met een usb-stick en een onbeveiligde netwerkschijf zorgde een medewerkster van Europol ervoor dat uiterst geheime politiedossiers over terrorisme vrij toegankelijk waren via internet. Hoe voorkomen CIO’s dat er door ‘schaduw-IT’ koppen rollen?

Wat is schaduw-IT eigenlijk?

Schaduw-IT ontstaat als medewerkers op eigen houtje IT-middelen inzetten, zonder dat de IT-afdeling hiervan weet. Dan kan het bijvoorbeeld gaan om 'thuisapparatuur' zoals een Android-tablet of een wifi-versterker. Of om cloudapplicaties die de medewerker zelf heeft aangeschaft, zoals Skype, Dropbox en Google Drive. Of denk aan bestanden die via WeTransfer of privé-Gmail-accounts worden verstuurd.

Komt schaduw-IT vaak voor?

Het antwoord is helaas niet geruststellend: schaduw-IT komt veel vaker voor dan u denkt. Elke organisatie heeft er wel mee te maken. De gemiddelde CIO schat volgens netwerkleverancier Cisco in dat er binnen zijn of haar organisatie 91 clouddiensten in gebruik zijn. In werkelijkheid zouden dit er ongeveer 1200 zijn. Het aantal cloudapplicaties dat daadwerkelijk in gebruik is, steeg in zes maanden tijd bovendien met 70 procent.

Zelfs de analisten die de cijfers van Cisco wegzetten als ‘overdreven’ zijn het erover eens: schaduw-IT is aan een flinke opmars bezig. IT-afdelingen hebben steeds minder zicht op de uitgaven aan IT. Gartner sluit zelfs niet uit dat Chief Marketing Officers in 2017 meer investeren in software en applicaties dan hun IT-collega’s.

Is schaduw-IT erg?

Ja, schaduw-IT is een groot probleem. Zo vormt schaduw-IT een bedreiging voor:

  • De compliance. Als je bijvoorbeeld een datalek hebt, weet je vaak niet om welke ‘schaduwdata’ het gaat en wie deze data in bezit heeft gehad. Bij een audit is het bovendien lastig om aan te geven wie welke data heeft geraadpleegd in applicaties als SharePoint;

  • De veiligheid van data. Bedrijfsgevoelige gegevens kunnen op Google Drive of Dropbox terechtkomen, of worden gedeeld via Skype. Ook ‘Bring Your Own Device’ (BYOD) heeft veel nieuwe problemen opgeleverd. Wat als de privételefoon met daarop zakelijke data wordt gestolen? IT heeft dan geen invloed meer op de datasecurity en mogelijk is er sprake van een datalek;
  • De efficiëntie. Als er bijvoorbeeld tientallen diensten in gebruik zijn voor het delen van bestanden, dan draagt dat niet bij aan het stroomlijnen van de processen;
  • De beheersing van de kosten. Als bijvoorbeeld alle afdelingen hun eigen oplossingen aanschaffen, is de kans groot dat de kosten hoger uitvallen dan wanneer dit op gecontroleerde wijze gebeurt.

Zorgt schaduw-IT vaak voor incidenten?

Helaas wel. Zo was het uitlekken van de Europol-politiedossiers het directe gevolg van het kopiëren van de documenten naar een eigen usb-stick om na kantoortijd nog even thuis te kunnen werken. Bij overmaat van ramp werden de gegevens ook nog eens geback-upt [link naar Zembla artikel] naar een eigen opslagapparaat dat onbeveiligd aan het internet hing.

Schaduw-IT drijft ook regelmatig politieke kopstukken in het nauw. Zo had Hillary Clinton heel wat uit te leggen nadat bekend werd dat ze als minister van Buitenlandse Zaken een privéserver gebruikte om zakelijke e-mails te versturen. Een 13-jarige hacker bracht CIA-directeur John Brennan in diskrediet door zijn privé-e-mailaccount met daarin gevoelige informatie te hacken.

In ons eigen land moest minister Henk Kamp na een hack bekennen dat hij vertrouwelijke documenten ontving op zijn Gmail-account. Later bleek zelfs dat de minister minimaal één staatsgeheim had doorgestuurd naar zijn privé-e-mailadres.

Hoe kunnen we dit soort incidenten voorkomen?

Gartner voorspelt dat in 2020 een derde van alle digitale inbraken het gevolg is van het gebruik van schaduw-IT. De gebruikers zullen zich echter niet meer neerleggen bij een situatie waarin IT alles dicteert.

CIO’s moeten dus de schaduw-IT zoveel mogelijk aan banden leggen en risico’s zoals dataverlies en complianceschendingen beperken. Dit kan onder andere door:

1. Securitybewustzijn

Maak alle gebruikers bewust van de risico's. Iedereen moet weten waarom schaduw-IT gevaarlijk kan zijn en waarom bepaalde applicaties of apparaten echt verboden zijn. Het gebruik van bijvoorbeeld sterke wachtwoorden en encryptie moet vanzelfsprekend zijn.

2. Monitoring

Zorg voor een continue monitoring van het netwerkverkeer op onbekende hardware en software. Wat u niet in kaart heeft, kun u immers ook niet beveiligen. Analyse van de logdata afkomstig van bijvoorbeeld proxy’s en firewall levert veel nieuwe inzichten op.

3. Enterprise Mobility Management

Geef alleen toegang tot het netwerk als mobiele apparaten zijn voorzien van Enterprise Mobility Management (EMM)-software. Deze software zorgt er onder andere voor dat de security-instellingen op de mobiele apparaten juist zijn, documenten veilig worden opgeslagen, gevaarlijke apps worden geblokkeerd en dat alleen geauthenticeerde en geautoriseerde gebruikers mobiel toegang hebben tot de ICT-systemen achter uw firewall.

4. Alternatieven

Bied alternatieven. Als een ‘rogue applicatie’ onveilig is terwijl deze de productiviteit verhoogt, zoek dan naar een alternatief dat dezelfde voordelen biedt – maar zonder de nadelen.

5. Beveilig de data zelf

U kunt de data zelf beveiligen door onder andere encryptie af te dwingen, uploads van bepaalde filetypen te blokkeren en het uitgaande verkeer te monitoren en beperken met behulp van Data Loss Prevention-software. U kunt de DLP-oplossingen zo instellen dat bijvoorbeeld het versturen van gevoelige persoonsgegevens of creditcardinformatie naar een cloudapplicatie wordt geblokkeerd.

Schaduw-IT vraagt om een cultuuromslag

De ‘consumerization’ van IT resulteert zonder gerichte maatregelen vanzelf in schaduw-IT. Deze ontwikkeling vraagt ook om een culturele omslag. Als gebruikers te vaak ‘nee’ horen van hun IT-afdeling dan gaan ze zeker zelf shoppen. Dan is het beter om de gebruikers tegemoet te komen, maar wel onder de voorwaarden die u als IT-verantwoordelijke stelt. “Ja, dat kan, mits...”. Hoe dan ook is het tijd voor actie.

Over Erik Ploegmakers

Erik is als Managing Director van KPN Security Services en verantwoordelijk voor het gehele commerciële securityportfolio van KPN. Hij is al meer dan 10 jaar actief binnen de securitywereld en heeft voor KPN gewerkt bij PwC, Dearbytes en Fox-IT als COO, forensisch IT-expert en juridisch adviseur.

- Auteur: Erik Ploegmakers

Gerelateerde artikelen