Как оседлать «тень», или «Если нельзя предотвратить — надо возглавить». Часть I

6 апреля 2026 г.

«Теневые ресурсы» есть в ИТ-ландшафте практически каждой компании, тому причиной не злой умысел, а вполне естественное — и даже поощряемое на всех уровнях — желание многих сотрудников работать с большей эффективностью. К каким ресурсам относятся разные программные и аппаратные компоненты: домашние компьютеры, на которых сотрудники выполняют рабочие задачи вне офиса, личные гаджеты, применяемые на рабочих совещаниях для заметок и аудиозаписей, флэш-накопители и «облака» для обмена данными и пр. «Теневые ресурсы» для компании не стоят ничего — их не заказывал ИТ-отдел, на них не выделяли бюджет финансисты.

Однако их наличие создает компании ряд рисков, причем разного типа. Полностью запретить «теневые ИТ» нельзя без существенного ущерба для эффективности как отдельных сотрудников, так и всего бизнеса. Более того, экономическая ситуация и развитие форматов занятости приводят к быстрому распространению «теневых ИТ» и развитию всего связанного с ними — от эффективности до рисков. Вопросы, относящиеся к таким ресурсам, требуют повышенного внимания на уровне ИТ/ИБ, перспектив развития инфраструктуры, корпоративных политик и пр., координации этих процессов топ-менеджментом.

Причины важности рассматриваемого вопроса

Наличие «теневых ИТ» беспокоит «безопасников», и этому есть резонные причины. Корпоративные данные все чаще обрабатывают программными решениями на устройствах и в «облаках» с неизвестным уровнем защиты, что может привести к утечкам информации, в том числе, чувствительной. В ряде случаев «теневые ИТ» становятся «точкой входа» при хакерских атаках (см. врезку).

«Теневые ИТ» не только обостряют проблемы инфобезопасности в компании, но и создают ряд рисков юридического характера — скажем, тех, которые зачастую приводят к несоблюдению требований законодательства, нормативных документов, правил и стандартов надзорных органов, отраслевых ассоциаций и саморегулируемых организаций, кодексов поведения и так далее (комплаенс-риски). Например, если персональные данные, переданные компании, оказываются за пределами корпоративного контура, это является нарушением закона «О персональных данных», а штрафы могут быть существенными. Кроме персданных есть другая чувствительная информация, составляющая коммерческую тайну, врачебную и пр.

Компоненты «теневых ИТ», которые в большинстве случаев выбирают, устанавливают, настраивают и обновляют сотрудники без компетенций в ИТ и ИБ, предсказуемо имеют большое количество уязвимостей. Например, по данным исследования Bi.Zone CPT, проведенного в этом году, 78% уязвимостей у российских корпораций обнаружены именно в «тени». Насколько возможно использовать их хакерам — вопрос открытый: такие компоненты вряд ли обладают широким доступом к ресурсам корпоративной ИТ-инфраструктуры, чтобы позволить киберпреступникам реализовать задачи проникновения и закрепления.

«Теневые ИТ» бывают разнообразными

Нужен широкий взгляд на «теневые ИТ» и связанные с ними риски. В атаках через «теневые ИТ» могут быть подброшенная хакерами флешка со зловредным программным обеспечением, фишинговое письмо «по работе», направленное на личную почту в обход корпоративных систем защиты, взломанный домашний ПК, с которого проще украсть рабочие документы, и пр.

Устройства стали подключенными, поэтому неизвестный уровень защищенности используемых каналов связи тоже волнует ИБ-отделы корпораций. Ограничения на интернет-доступ через сотовые сети может побуждать удаленных и мобильных сотрудников использовать для работы публичные точки доступа, защищенность которых непредсказуема.

Интересен прецедент, когда в организации из-за «белых списков» в штатной сети и при отсутствии корпоративного Wi-Fi сотрудники развернули более 70 неконтролируемых точек доступа для обеспечения необходимой связи с внешним миром.

Про основную (но не единственную) причину

Основная причина возникновения и роста «теневых ИТ» — отставание возможностей штатного ИТ-стека от реальных потребностей бизнеса. Сотрудникам нужна функциональность, которую ИТ-отдел зачастую предложить не может, так как своевременные внедрения с нужным уровнем стабильности и безопасности (да еще при наличии корпоративной бюрократии) требуют ресурсов, с которыми сейчас у всех проблемы.

Это будет только усугубляться в имеющейся экономической ситуации, когда корпоративные заказчики сокращают бюджеты на развитие ИТ, а локальные вендоры испытывают проблемы с внедрением в продукты, пригодные для задач импортозамещения, новых функций с желаемой заказчиками скоростью.

В некоторых организациях по понятным причинам существует выраженный акцент на безопасность, поэтому в ИТ-рельефе допускают только доверенные решения, которые прошли обязательную сертификацию. Очевидно, что в таких условия ради безопасности приходится жертвовать функциональностью инструментов, приобретаемых по повышенным ценам. На получение сертификатов для новых или обновляемых компонентов, пригодных к внедрению в такие ИТ-ландшафты, требуется время, в результате работать приходится с модификациями прошлый версий, а иногда и прошлых поколений. Такие решения будут обходиться корпоративным заказчикам значительно дороже, так как менее распространены и для выхода на рынок требуют дополнительных действий по сертификации.

Для некоторых структур жесткие требования к ИТ-ландшафту обязательны, но для большинства корпоративных заказчиков — как коммерческих компаний, так и госструктур — такое малоприемлемо: лишних денег нет, эффективность сотрудников важнее, ограничения на «теневые ИТ» создают проблемы с персоналом.

В ближайшей перспективе корпоративные клиенты обязаны научиться оценивать и брать на вооружение технологии, «апробированные в «теневых ИТ». Например, если отдел маркетинга докажет, что с новым «теневым» ИИ-инструментом для генерации баннеров конверсия выросла на 20%, этот инструмент должен быть не заблокирован и не запрещен, а закуплен, стандартизирован и предложен всем работникам компании в составе корпоративного ИТ-ландшафта.

История теневых ИТ для понимания текущего момента

История «теневых ИТ» очень давняя — явление стало известно еще во времена господства мэйнфреймов: для повышения эффективности сотрудники стали покупать ПК — например, PC XT и Macintosh 128К, а также более поздние модели — приносить их в офисы и использовать для рабочих задач. Потом аналогичная ситуация возникла с принтерами. Сотрудники, чтобы по несколько раз в день не ходить через весь офис к корпоративному печатающему устройству и непроизводительно тратить на это рабочее время, стали приносить персональные принтеры.

В нулевые ситуация, казалось бы, стабилизировалась — мало кто приобретал за свои деньги оборудование для офиса. Но «теневые ИТ» плавно росли по мере того, как люди брали работу на дом, где файлы, принадлежащие компании, открывали и обрабатывали на домашнем компьютере, пересылали через личную почту и массовые мессенджеры.

Демократизация ноутбуков нарастила популярность формата «принеси свое устройство» (BYOD), который расширил спектр применения для рабочих задач систем, не контролируемых корпорацией. Наконец, часть рабочих задач сотрудники стали выполнять не на ПК, а на гаджетах — планшетах и смартфонах — которые тоже оказываются в «теневых ИТ». Уровень защищенности мобильных решений для массового рынка в общем случае недостаточен для корпоративного рынка.

Востребованность теневых ИТ сотрудниками диктуют особенности текущего момента в виде изменения нагрузок на работников, а также трудовых отношений, что заметно даже в рублевой зоне.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News