BezpieczeństwoCyberbezpieczeństwo

Shadow IT, Shadow AI: przyczajony tygrys, ukryty smok

Statystyczny administrator IT zapytany o to, ilu aplikacji chmurowych używa się w jego organizacji, wskaże zazwyczaj na liczbę między 30 a 40. Prawdziwa skala zjawiska prawdopodobnie wpędziłaby go w bezsenność i/lub stany lękowe. Okazuje się, że w dużych firmach ilość aplikacji, z których na bieżąco korzystają pracownicy, wynosi ponad 1000. O większości z nich dział IT nie ma pojęcia. Zjawisko to jest tak rozpowszechnione, że dorobiło się już nawet własnej nazwy (choć póki co tylko po angielsku): shadow IT. Stanowi ono jeden z najtrudniejszych do wykrycia wektorów ataku we współczesnych firmach. Jak się przed nim bronić (i czy to w ogóle możliwe)?

 

On jest temu winien

Pracownicy najczęściej sięgają po darmowe narzędzia online, ułatwiające i przyspieszające codzienną pracę. Oto ranking najpopularniejszych winowajców:

  • Konwertery plików PDF online.
  • Wtyczki do przeglądarek.
  • Narzędzia do usuwania tła ze zdjęć.
  • Narzędzia do pobierania plików multimedialnych.

Przyjrzyjmy się tym pozornie niewinnym programikom. Darmowe konwertery plików są do tego stopnia niebezpieczne, że ostrzega przed nimi nawet FBI (i nie stoi za tym ostrzeżeniem agent Mulder, który wszędzie widzi spisek). Federalni zaobserwowali po prostu, że właśnie tą drogą cyberprzestępcy najłatwiej rozprowadzają złośliwe oprogramowanie. Witryna może wyglądać profesjonalnie i zajmować wysoką pozycję w wyszukiwarce, ale to jednocześnie wygodny sposób dla hakerów na dobranie się do systemów firmowych. Próbując zamienić uciążliwie nieedytowalny PDF na łatwiejszy w obsłudze DOC, pracownik ryzykuje wyciek wrażliwych informacji (np. haseł ukrytych w plikach).

Równie ryzykowne są wtyczki do przeglądarek, które bardzo często są połączone z narzędziami śledzącymi typu adware i potrafią dyskretnie wyciągać dane bezpośrednio z sesji użytkownika. Nawet proste narzędzia graficzne do usuwania tła mogą służyć do zbierania poufnych informacji z przesyłanych zdjęć i dokumentów.

 

Nie wiem, zapytam Chata

Idąc z duchem czasu, Shadow IT obficie korzysta z dobrodziejstw sztucznej inteligencji, zamieniając się po drodze w Shadow AI. Osoby nie mające świadomości zagrożenia bez skrępowania wklejają poufne dane do publicznych chatbotów, takich jak ChatGPT, Claude czy Gemini. Kod źródłowy do strony, zestawienia finansowe do analizy, dokumenty HR do posegregowania – dla wielu pracowników nie ma cyfrowego świętokradztwa, do którego by się nie posunęli, aby ułatwić sobie żmudne i nudne zadania.

LLM-y nie tylko uczą się na tych informacjach, ale też mogą je później odtworzyć w odpowiedziach dla innych użytkowników.

To nie histeryczne ględzenie technologicznych dinozaurów – takie rzeczy naprawdę się dzieją, i to nie tylko w mikroprzedsiębiorstwach, ale i u rynkowych gigantów. W 2023 r. Samsung Electronics zaliczył trzy wycieki poufnych danych w ciągu zaledwie trzech tygodni – zaraz po tym, jak firma w końcu pozwoliła pracownikom na używanie ChataGPT.

 

Kto za to odpowie?

Zgodnie z RODO to na pracodawcy spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Brak kontroli nad tym, co pracownicy wklejają do systemów AI, może skutkować dotkliwymi karami finansowymi, które sięgają nawet 4% globalnego obrotu firmy.

Nowoczesne regulacje, takie jak dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie UE nr 910/2014 i dyrektywę UE 2018/1972 oraz uchylająca dyrektywę UE 2016/1148) oraz znowelizowana ustawa o KSC (krajowym systemie cyberbezpieczeństwa), wprowadzają wymóg precyzyjnej inwentaryzacji zasobów IT wykorzystywanych w procesach wpływających na świadczenie usług. Oznacza to, że każdy system informacyjny, w tym urządzenia końcowe i oprogramowanie, musi zostać zidentyfikowany oraz uwzględniony w systemie zarządzania bezpieczeństwem. W teorii brzmi logicznie i prosto. W praktyce bez odpowiednich regulacji i procedur jest to jednak prawie niemożliwe, właśnie za sprawą Shadow IT i Shadow AI. No i co teraz?

 

Sherlock z działu IT

Wykrywanie nieautoryzowanego oprogramowania wymaga od działów IT zastosowania nowoczesnych metod monitoringu i korelacji sygnałów z wielu warstw środowiska. Obecnie istnieją już rozwiązania, które pozwalają automatycznie identyfikować aplikacje chmurowe używane przez pracowników oraz oceniać ich poziom ryzyka na podstawie dziesiątek parametrów.

Dzięki Shadow IT administratorzy mają pełne ręce roboty. To do nich należy regularne analizowanie logów z zapór sieciowych i serwerów proxy oraz monitorowanie nadawanych uprawnień. Dzięki protokołom takim jak OAuth, łatwiej jest wyłapać niezatwierdzone aplikacje uzyskujące dostęp do środowisk takich jak Microsoft 365 czy Google Workspace. Zestawienie danych o nowych kontach i przesyłanych plikach pozwala na pełne zrozumienie wektorów zagrożeń i podjęcie odpowiednich kroków zapobiegawczych.

 

Szukać winnych czy rozwiązań?

Jak zniechęcić pracowników do używania Shadow IT? Wielu pracodawców decyduje się na publiczną mentalną chłostę winnych na forum całego działu. Jest to jakaś opcja, ale ani nie najprzyjemniejsza, ani nie najbardziej humanitarna, ani nawet nie najskuteczniejsza.

Zamiast karać pracowników za chęć usprawnienia sobie pracy, organizacje powinny budować kulturę cyberbezpieczeństwa opartą na zaufaniu i otwartym zgłaszaniu używanych narzędzi bez obaw o konsekwencje. Najlepszą praktyką jest dostarczenie bezpiecznych alternatyw, takich jak firmowe plany subskrypcji narzędzi, które gwarantują, że dane nie zostaną użyte do dalszego trenowania modeli AI. Dla działów operujących na najbardziej wrażliwych danych rozwiązaniem mogą być lokalne modele LLM uruchamiane na własnej infrastrukturze, dzięki czemu poufne informacje nigdy nie opuszczają komputerów firmy.

Nie do przecenienia jest tutaj rola edukacji. To właśnie regularna edukacja i jasne zasady klasyfikacji danych sprawiają, że pracownicy stają się świadomymi partnerami w dbaniu o bezpieczeństwo, a nie najsłabszym ogniwem w łańcuchu ochrony.

 

Grafika: DC Studio | Magnific