>>
11-juli-2019, min leestijd

Dit zijn de vier belangrijkste oorzaken van schaduw-IT (en zo los je ze op)

Een belangrijk onderdeel van het bewaken van de netwerk-security in een organisatie, is weten wat je risico’s zijn. Hier kun je dan vervolgens passende maatregelen tegen nemen. Maar wat als deze risico’s zich geheel buiten je gezichtsveld bevinden? Dan heb je als IT-manager en organisatie een probleem. Schaduw-IT of shadow IT, zorgt voor deze onbekende risico’s. Omdat het hierbij gaat om toepassingen die buiten het beheer van de IT-afdeling vallen, is er geen controle en kun je overvallen worden door serieuze bedreigingen. In dit blog lees je wat de belangrijkste oorzaken zijn van schaduw-IT en hoe je hiermee om kunt gaan.

Omdat schaduw-IT buiten het beheer van de IT-afdeling valt, is er geen controle en kun je overvallen worden door serieuze bedreigingen.

Daan Keuper, Security Specialist bij Computest

Bij schaduw-IT kunnen de beveiligingseisen van de organisatie, zoals het installeren van security-updates, niet worden afgedwongen en is het een ideale zwakke plek voor een aanvaller om toegang te krijgen tot gevoelige gegevens die op schaduw-IT toepassingen staan. Of zelfs om binnen te komen op het bedrijfsnetwerk.

Meest voorkomende oorzaken van schaduw-IT?

In de praktijk zien wij het vaakst de volgende oorzaken van schaduw-IT:

1. Er worden systemen buiten de IT-afdeling opgezet

Dit is verreweg de grootste oorzaak van schaduw-IT. Mensen willen niet op IT wachten of kunnen het prima ook zonder een IT-afdeling regelen. Er zijn immers op verschillende gebieden legio laagdrempelige tools beschikbaar. Men realiseert zich echter niet dat die tools de security van de organisatie in gevaar kunnen brengen. Denk bijvoorbeeld aan een marketeer die een campagnewebsite laat ontwikkelen en hosten door een derde partij. Op deze site worden ook klantgegevens verwerkt. Niemand heeft zicht op deze site en er zijn geen security-controles ingebouwd. Het risico is groot dat de beveiliging van de klantgegevens die op dat platform worden verwerkt niet voldoet aan de eisen van de organisatie. Bovendien is er nadat een campagne is afgerond geen aandacht meer voor zo’n site en denkt niemand meer aan al die klantgegevens, die in een daaraan verbonden database zijn opgeslagen.

2. Legacy systemen worden vergeten

Het zijn niet alleen medewerkers buiten de IT-afdeling die schaduw-IT veroorzaken. Ook IT-medewerkers kunnen hier onbewust aan bijdragen. Zo kunnen systemen die ooit door een systeembeheerder zijn ingericht ook in vergetelheid raken. Denk aan een testserver die nooit wordt afgekoppeld van het netwerk, maar geen updates ontvangt en niet gemonitord wordt. Als er zich een kwetsbaarheid voordoet gaat er bij niemand een belletje rinkelen dat het weleens dit systeem zou kunnen betreffen. Zeker niet als de betreffende systeembeheerder de organisatie ondertussen heeft verlaten.

3. Verantwoordelijkheid digitale systemen ligt niet bij IT

In de loop der jaren zijn veel systemen die doorgaans worden beheerd door een installateur onderdeel geworden van het bedrijfsnetwerk.

Beveiligingscamera’s en klimaatbeheersystemen zijn tegenwoordig onderdeel van het bedrijfsnetwerk. Een groot risico, omdat er vaak geen securitybeleid voor is en het volledig buiten het zicht van de IT-afdeling bevindt.

Daan Keuper, Security Specialist bij Computest

Denk hierbij aan beveiligingscamera’s, klimaatbeheersystemen, maar ook aan grote bouwwerken zoals sluizen. Waar voorheen installateurs op locatie onderhoud uitvoerden aan deze zaken, doen ze dat nu online. Vaak hebben zij echter onvoldoende kennis van de risico’s die dit met zich meebrengt en is er geen securitybeleid voor deze toepassingen. Ze bevinden zich bovendien ook volledig buiten het zicht van de IT-afdeling, dus is dit logischerwijs een risico voor de organisatie.

4. BYOD

Het lijkt iets uit het beginperiode van het gebruik van IT-toepassingen binnen organisaties, maar er worden nog steeds regelmatig op privé-apparaten zoals laptops gewerkt door werknemers. Of er wordt tijdelijk een IoT-toepassing zoals een IP-camera aangesloten. Zonder dat men zich bewust is van de risico’s die dit met zich meebrengt. Zo is er geen enkele garantie dat deze laptops of camera’s vrij zijn van bijvoorbeeld malware of dat bedrijfsdata op het apparaat zelf wordt opgeslagen. In het laatste geval ligt bij diefstal van het apparaat de (gevoelige) data al snel op straat.

Hoe krijg je controle over je schaduw-IT?

Wie denkt dat schaduw-IT voorkomen kan worden komt bedrogen uit. Er zullen altijd systemen zijn waarvan de IT-afdeling geen weet heeft. Er zijn echter wel drie stappen die je kunt nemen om schaduw-IT te beperken en je IT-infrastructuur veiliger te maken.

1. Zorg voor security awareness

Medewerkers brengen vrijwel nooit bewust de security van een organisatie in gevaar. Het ontbreekt hen simpelweg vaak aan kennis over de risico’s en welk gedrag specifieke risico’s in de hand werkt. Zorg daarom dat mensen zich bewuster worden van de risico’s en weten wat zij kunnen doen om deze te beperken. Geef daarbij ook concrete handvatten: hoe kun je bijvoorbeeld slim omgaan met wachtwoorden? Waarom moet je zo snel mogelijk de nieuwste updates installeren? En hoe ontdek je of een campagne-website veilig is?

2. Evalueer je securitybeleid

Iedere organisatie heeft wel een vorm van securitybeleid met daarbij behorende processen. Kijk of de eisen die je stelt aan de processen evenredig zijn aan het potentiële risico dat het bedrijf loopt. Als je maatregelen instelt die zinloos lijken voor de medewerker, dan nodig je hen bijna uit om hieromheen te werken en een andere oplossing te zoeken (die vrijwel zeker niet voldoet aan jouw security-standaarden). Maak daarnaast ook duidelijk wat de achterliggende gedachte is voor bepaalde regels en eisen zodat mensen begrijpen waarom het belangrijk is zich hieraan te houden.

3. Breng doorlopend je schaduw-IT in kaart

Dit lijkt een onmogelijke opgave, want het wordt immers niet voor niets schaduw-IT genoemd. Toch kun je met een tool als Marvin_ continu je externe en interne netwerk scannen zodat onbekende systemen en apparaten aan de oppervlakte komen. Via een dashboard geeft Marvin_ dagelijks inzicht in de veiligheid van je online omgeving. De resultaten van de scan worden bovendien handmatig gefilterd door een security specialist en voorzien van professioneel advies. Hiermee zorg je ervoor dat de schaduw-IT toepassing nooit lang kan bestaan.