Si riaccendono i riflettori sullo Shadow IT, un problema annoso difficile da risolvere in assenza di sanzioni per la violazione delle polizze IT, ma fonte di gravi problemi alla sicurezza.
Uno studio di Kaspersky riporta l’attenzione sul rischio derivato dallo Shadow IT, una minaccia non certo nuova, di cui si era parlato molto in tempo di pandemia. Il fatto che da un paio d’anni il fenomeno non tenga banco non significa che è stato risolto, anzi. Secondo i dati collezionati da Kaspersky l'11% delle aziende di tutto il mondo ha subito incidenti informatici a causa dell'uso non autorizzato di dispositivi IT da parte dei propri dipendenti. Si presume che questa pratica possa diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025.
Dipendenti ignari del fatto che la pratica dello Shadow IT può portare a conseguenze gravi, come la fuga di dati sensibili o danni tangibili all'azienda. Prima di addentrarci nell’analisi di Kaspersky, riepiloghiamo brevemente di che cosa stiamo parlando. Lo Shadow IT include applicazioni, dispositivi e servizi di cloud pubblico utilizzati al di fuori delle politiche di sicurezza IT. I casi più diffusi sono quelli dei dipendenti che fanno uso della email privata per gestire il lavoro, o che salvano i file aziendali nelle proprio cloud (Google Drive, Dropbox, Amazon Drive). Sono azioni fatte in buona fede, ma a seguito delle quali le aziende corrono seri rischi.
Lo studio ha identificato il settore IT come il più colpito, con il 16% degli incidenti informatici derivanti dall'uso non autorizzato dello Shadow IT nel 2022 e 2023. Altri settori interessati includono le infrastrutture critiche e le società di trasporto e logistica, con una incidenza del 13%. Un caso esemplare è quello di Okta: un dipendente, utilizzando un account personale di Google su un dispositivo aziendale, ha involontariamente aperto le porte agli attaccanti, consentendo loro di ottenere accesso non autorizzato al sistema di assistenza clienti. L'incidente ha avuto un impatto su 134 clienti dell'azienda e è durato 20 giorni.
Kaspersky consiglia di controllare applicazioni non autorizzate, dispositivi hardware, e perfino vecchi dispositivi dismessi dopo le modernizzazioni dell'infrastruttura IT. Gli specialisti e i programmatori IT, a volte, creano applicazioni su misura senza autorizzazione, aumentando il rischio di incidenti. Una complicazione aggiuntiva è la mancanza di sanzioni ufficiali per i dipendenti che violano le policy IT, in assenza della quale non resta che concentrarsi su scansioni regolari della rete interna per rilevare e bloccare utilizzi non autorizzati di hardware, servizi e applicazioni software. A questo proposito Kaspersky Endpoint Security for Business e Kaspersky Endpoint Security Cloud sono efficaci nel monitoraggio di applicazioni, web e dispositivi, limitando l'uso delle risorse non richieste.