Da un recente studio di Kaspersky emerge che l’impiego dello shadow IT da parte dei dipendenti può provocare incidenti informatici ai danni delle imprese che tendono a distribuire la workforce.
“Il dato che emerge dal rapporto è preoccupante”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “e sottolinea l’importanza di utilizzare prodotti IT autorizzati e che siano pertanto conformi alle politiche di sicurezza delle informazioni adottate dall’organizzazione”.
Nell’ultimo biennio l’11% delle aziende globali ha registrato incidenti informatici a causa dell’utilizzo di dispositivi IT non autorizzati da parte dei dipendenti. Le conseguenze spaziano dalla fuga di dati riservati ai danni, anche di natura economica, all’azienda.
“Gli incidenti informatici causati dalla problematica shadow IT non sono affatto da sottovalutare”, spiega Paolo Dal Checco, informatico forense, “anche perché molto spesso sono legati non tanto ad attività causate da terzi quanto a eventi provocati dagli stessi dipendenti, talvolta anche a loro vantaggio. La problematica del BYOD è ovviamente alla base delle questioni di sicurezza ma le complicazioni si aggiungono quando il dispositivo utilizzato non è personale ma aziendale”.
Ecco quali sono le questioni di sicurezza e i consigli per proteggersi dallo shadow IT.
Indice degli argomenti
L’ombra dello shadow IT sulla sicurezza aziendale
Lo shadow IT riguarda la parte dell’infrastruttura IT aziendale che non rientra sotto l’ombrello della competenza dei dipartimenti IT e di Information Security. Si tratta di app, dispositivi, servizi di cloud pubblico eccetera, il cui impiego non avviene in conformità alle policy di sicurezza.
“Le questioni di sicurezza”, infatti, spiega Dal Checco, “sono legate ai software utilizzati, all’obsolescenza dei sistemi operativi, alla mancanza di misure di prevenzione e arginamento dell’attività malevole, che possono portare a cause negative per l’azienda nel contesto in cui il dipendente opera“. Il rischio parte da applicazioni non autorizzate installate sui PC dei dipendenti, oppure da unità flash, smartphone, notebook e così via.
L’utilizzo non autorizzato dello shadow IT, nel corso del 2022 e 2023, ha colpito soprattutto il settore IT (con il 16% degli incidenti informatici).
“Il settore maggiormente a rischio è paradossalmente questo settore, in cui vi è ampio ricorso ad applicazioni create ad hoc per specifiche esigenze interne, strumenti utilizzati in modalità promiscua e non regolamentata da politiche per il BYOD (Bring Your Own Device), e servizi di cloud pubblico“, sottolinea Paganini: “Nella mia esperienza professionale, molto spesso abbiamo individuato in fase di assessment dispositivi hardware dismessi dopo la modernizzazione dell’infrastruttura IT che erano ancora utilizzati ‘in the shadow’”.
“Il ciclo di vita di questi dispositivi non era più seguito sebbene gli stessi contenessero ancora informazioni aziendali preziose per un attaccante e su di essi fossero in esecuzione applicazioni con privilegi elevati“, conclude Paganini: “Proprio questi dispositivi ci han consentito spesso di fare breccia nella infrastruttura delle organizzazioni nel corso di attività di pen testing programmato“.
Il caso Okta
L’esempio recente più eclatante è il caso di Okta dove un dipendente, attraverso un account personale di Google su un dispositivo aziendale, ha involontariamente aperto le porte ai cyber criminali.
Gli attori delle minacce, infatti, hanno ottenuto un accesso non autorizzato al sistema di assistenza clienti di Okta, rubando i file con i token di sessione da sfruttare per sferrare attacchi.
Il dipendente infedele
La dismissione di dispositivi hardware, dopo la modernizzazione o la riorganizzazione dell’infrastruttura IT, possono finire “in the shadow”. Il riuso da parte di altri dipendenti può infatti generare altre vulnerabilità tali da insinuarsi nell’infrastruttura aziendale.
“Uno degli episodi più frequenti qui capita di imbattersi è quello del cosiddetto ‘dipendente infedele'”, continua Dal Checco, “che può in qualche modo essere collegato alle questioni dello Shadow IT perché durante le attività illecite compiute dai dipendenti o dagli ex dipendenti ai danni dell’azienda per cui lavoravano, il mezzo tramite il quale viene perpetrato il danno è molto spesso un dispositivo personale o aziendale non sufficientemente protetto da misure di sicurezza”.
“Siamo quindi testimoni di frequenti episodi di ‘data exfiltration’ legati a dati aziendali che fuoriescono dai sistemi dell’azienda e convogliano verso aziende competitor”, puntualizza Dal Checco.
Come proteggersi dallo shadow IT
La situazione dell’utilizzo diffuso dello shadow IT dipende anche dal fatto che molte organizzazioni non hanno previsto sanzioni ufficiali a carico dei loro dipendenti in caso di una violazione delle policy IT in materia.
Occorre “monitorare applicazioni, Web e dispositivi, limitando l’uso delle risorse non richieste. Il dipartimento di sicurezza informatica dovrà ovviamente effettuare scansioni regolari della rete interna dell’azienda per evitare l’uso non autorizzano di hardware, servizi e applicazioni software non controllati e non sicuri”, mette in guardia Alexey Vovk, Head of Information Security di Kaspersky.
Bisogna discutere con regolarità delle nuove necessità aziendali, ricevere feedback sui servizi IT, al fine di crearne di nuovi e migliorare quelli esistenti necessari all’azienda. Serve inoltre creare un inventario delle risorse IT, scansionando la rete interna per evitare la comparsa di hardware e servizi non controllati. Un accesso soltanto alle risorse necessarie per eseguire il proprio lavoro, limita l’accesso alla rete solo ai dispositivi autorizzati.
“Un aspetto cardine per gestire al meglio la problematica”, evidenzia infatti Dal Checco, “è quello di redigere una buona policy di sicurezza informatica, che comprenda tutti i casi d’uso che possono andare a inficiare sulla sicurezza dei dati e dei sistemi aziendali, in modo che sia chiaro a tutti cosa è consentito e cosa non lo è all’interno dell’azienda, quali strumenti si possono utilizzare o portare da casa, quali software e quali servizi sono contemplati all’interno del perimetro aziendale”.
Si consigliano infine programmi di formazione, per i dipendenti e per gli specialisti della sicurezza IT, generano best practice semplici ma efficaci.
“Se il lavoro viene da remoto, il principio rimane lo stesso e vanno stabiliti criteri con i quali i dipendenti e collaboratori possono valutare quali sono le attività consentite e quali invece non possono essere svolte, sempre considerando un contesto aziendale”, avverte l’informatico forense.
“Ovviamente le policy di sicurezza non possono che essere un primo passo verso la tutela dei segreti commerciali e industriali, e la protezione da problematiche relative allo Shadow IT”, conclude Dal Checco: “È comunque necessario dotarsi anche di misure tecniche operative, oltre a quello organizzative, in modo che le une facciano enforcement delle altre, così da coprire sia gli aspetti burocratici organizzativi, sia quelli tecnici”.
Altre raccomandazioni
Per esempio sono utili prodotti e soluzioni per il controllo dell’uso dello shadow IT nell’organizzazione. Un inventario delle risorse IT elimina alla radice il problema di dispositivi e hardware abbandonati.
Infine, sono utili un processo centralizzato per pubblicare soluzioni scritte autonomamente, il blocco dell’accesso alle risorse di scambio di informazioni cloud e il limite all’uso di servizi esterni di terze parti. Sono pratiche in grado di avvertire tempestivamente gli specialisti dell’IT e della sicurezza informatica.
