影子 IT 的急遽增加歸因於行動裝置與雲端應用程式及服務的普遍使用。雖然影子 IT 能提升員工生產力並推動創新,但它同時也會產生嚴重的漏洞與安全風險,因為它擴大了組織攻擊面(Attack Surface)的未知部分,進而造成網路攻擊(Cyber Attack)與違反法規遵循的機會。
網絡犯罪分子植入的惡意軟體(Malware)或其他惡意資產不被視為影子 IT。影子 IT 僅包含授權使用者部署的未經核准資產。
影子 IT 的定義
影子 IT 指的是在組織內部使用、但 IT 部門不知情的數位系統、裝置(例如個人電腦、筆記型電腦、平板電腦與智慧型手機)、軟體、應用程式(通常為現成套裝軟體),以及服務(主要包括軟體即服務 (Software as a Service , SaaS)、平台即服務 (Platform as a Service , PaaS) 和基礎結構即服務 (Infrastructure as a Service , IaaS))。
瞭解影子 IT
科技消費化是影子 IT 的根本原因。IT 資源的低成本與高可及性導致影子 IT 的大量出現。
在某些情況下,使用者會蓄意取得並使用影子 IT。他們會刻意繞過 IT 部門,以取得 IT 禁止的解決方案,或是使用者認為優於已核准資源的解決方案。使用者也可能因為認為核准與採購流程過於繁瑣,而在未通知 IT 部門的情況下自行取得資源。
在許多情況下,使用者並非刻意排除 IT 部門對資源的評估;他們只是因合作夥伴或其他外部單位的要求而註冊使用某個系統,或是使用自己在家中或其他組織曾經使用過的系統。
當使用者在公司網域之外建立網站用於開發或一次性專案時,也可能會產生影子 IT。自攜裝置 (Bring Your Own Device , BYOD) 與居家辦公也是影子 IT 的其他來源。
經核准和未經核准的 IT 之間的差異
影子 IT 的核心在於已核准與未核准的 IT(例如裝置、應用程式與服務)。兩者的差異非常簡單。
已核准的 IT 解決方案經過審查、核准,並且通常已強化以消除漏洞。相反地,未核准的 IT(即影子 IT)解決方案則未經過此程序。
未經核准的 IT 會使組織暴露於威脅之下(例如惡意軟體與資料遺失),這些威脅可能由網路犯罪者植入網路,或由惡意內部人員利用弱點,亦或由無意間造成漏洞的內部人員引入。
影子 IT 的常見例子
如下例所示,影子 IT 並不代表這些資源本身不安全。問題在於 IT 部門並不知道它們的存在,因此無法保護組織免受其影響。影子 IT 的常見例子包括:
任何在未涉及 IT 部門情況下,用於商業目的的應用程式,例如以下應用程式:
- 雲端儲存
- 協作
- 通訊與訊息傳遞
- 文件校對
- 文件共享
- 生產力
- 專案管理
- 社交媒體管理,以及
員工的個人裝置
- 筆記型電腦
- 電話
- 儲存裝置(例如 USB 隨身碟與外接式硬碟)
- 平板電腦
與影子 IT 相關的風險
雖然採用影子 IT 是為了利用所選工具帶來的好處,但影子 IT 資產會透過產生超出安全系統防護範圍的漏洞來增加網路風險(Cyber Risk),其中包括以下情況。
安全漏洞
影子 IT 會帶來許多安全漏洞。與影子 IT 通常相關的安全問題源於缺乏安全控制與流程。例如,影子 IT 元件未被納入 IT 監控與維護計畫,且經常落後於軟體更新與安全修補,同時可能攜帶病毒與其他惡意軟體。
此外,影子 IT 解決方案通常缺乏已核准解決方案所需的驗證與其他存取控制。這使得影子 IT 更容易遭受未經授權的存取,進而可能洩露敏感資訊,並在無意間成為進入受保護網路的入口。
協作效率低下
影子 IT 引入了未在整個組織中普遍使用的系統。這會造成與通訊及資料共享相關的協作問題,因為影子 IT 通常未與已核准的系統與工作流程整合。
法遵問題
影子 IT 很少能符合嚴格的法遵要求,例如健康保險流通與責任法案(HIPAA)、支付卡產業資料安全標準 (PCI DSS) 以及一般資料保護規範(GDPR)。這不僅使資料面臨風險,還會使組織面臨因違反法遵規定而產生的罰款和處罰。
資料遺失的可能性
當敏感資料儲存在影子 IT 系統和應用程式中,或透過這些系統和應用程式存取或傳輸時,資料外洩的風險會大幅增加。此外,儲存在未經核准 IT 系統之外的資料不會被納入備份,當系統故障或遭受攻擊時,這些資料將面臨永久遺失的風險。
資料不一致
當資料分散在影子 IT 中時,它就脫離了 IT 部門的集中管理。這會導致非正式、無效或過時資訊的產生與傳播,並且造成版本管理上的問題。
缺乏 IT 可視性與控制
由於影子 IT 經常難以被安全團隊偵測到,組織容易受到網路犯罪分子利用這些未知漏洞的攻擊。
營運效率低下
影子 IT 通常不易與已核准的 IT 基礎結構整合。這會導致工作流程受阻,以及資訊共享與同步面臨許多挑戰。此外,當引入 IT 部門核准的解決方案時,可能會干擾或中斷使用者日常作業所依賴的影子 IT,進而引發衝突。
影子 IT 的優點
儘管影子 IT 存在風險,但其使用者仍強調其優點做為採用的理由,其中包括以下幾點。
增強靈活性與創新
由於影子 IT 可快速取得,並在可用解決方案方面幾乎提供無限選擇,因此它本身就具有很高的靈活性。這種靈活性讓使用者能夠嘗試不同的系統,進而在工作方式上帶來創新。它還能促進其他領域的創新,例如通訊甚至產品設計。若能審慎使用,影子 IT 亦可透過將更多技術引入日常作業與流程,來推動組織的數位轉型。
解決眼前的需求
硬體和軟體解決方案的可及性,尤其是雲端服務,大幅擴展了 IT 資源。如果員工無法透過 IT 部門提供的工具完成任務,或發現某些工具似乎更有效率,他們即可訂購或註冊帳號,並幾乎能即時開始使用新工具。
提高生產力
借助影子 IT,員工的工作效率確實有提升。這歸功於他們可以使用自己最熟悉的工具。在某些情況下,生產力的提升是因為他們繞過了取得或存取 IT 系統與工具的繁瑣流程。此外,如果員工沒有合適的系統或工具,他們可以自行快速取得,而無需經歷繁瑣的 IT 採購流程。
影子 IT 的其他優點
- 讓員工使用最好的工具來完成工作
- 消除與獲得 IT 部門核准新系統相關的瓶頸
- 使團隊能夠更敏捷地回應業務變化
- 促進更快速地採用新技術
- 促進新系統在短短數分鐘內即可啟動
- 透過讓員工使用自己喜歡的工具來提升員工滿意度
影子 IT 的管理策略
妥善管理影子 IT 可以大幅降低其風險。組織能透過採取並執行管控措施,在允許影子 IT 存在並從中獲益。以下是一些已成功用於管理影子 IT 風險的策略。
制定明確的 IT 政策
有效管理影子 IT 始於制定並實施全面的使用政策。影子 IT 政策應詳細說明未經核准技術的可接受使用方式,建立解決方案獲得核准的流程,並規範其獲准使用所需的安全管控措施。影子 IT 政策應納入員工手冊,且對於不遵守規範的處罰必須明確闡述並嚴格執行。
影子 IT 政策還可以包含對安全與 IT 團隊的指引。這些章節應涵蓋核准流程,並詳細說明應使用哪些工具來管理與監控影子 IT。
提供員工培訓與意識
教育與清楚的溝通對於管理影子 IT 至關重要。員工需要接受教育,瞭解影子 IT 的風險,以及在使用非 IT 部門提供的個人裝置或服務時,如何遵循組織的安全政策。培訓與持續的溝通應包含明確說明與 IT 部門合作使用尚未獲准工具的流程,並提醒員工不遵守規範所需承擔的處罰。
實施監控與報告工具
監控系統可以透過偵測未經授權的 IT 資源使用情況來識識影子 IT 的情況。這可以透過使用專門的影子 IT 探測工具,以及監控防火牆日誌和入侵偵測和防範系統的活動來識別異常情況。此外,雲端存取安全代理 (CASB) 也可以偵測未經授權的系統。如果影子 IT 是重大關切事項,則可透過滲透測試與其他道德駭客手段來識別其存在。
妥協以盡量降低影子 IT 風險
雖然 IT 部門希望員工使用獲核准的系統,以便能受到公司安全管控的保護,並納入整體的營運與預算規劃,但有些部門已經發現,對於哪些系統獲核准以及如何執行的嚴格管控,反而促使使用者轉向影子 IT。
因此,有些組織選擇對影子 IT 系統採取更開放的態度:由 IT 團隊決定使用哪些系統以及如何最佳地加以保護,而使用者則能取得他們所需要與想要的工具。
儘管這種類型的妥協並不容易,但透過合作,使用者與 IT 部門能找到降低影子 IT 風險的方法。
