13 апреля 2026 г.
Окончание, начало здесь
«Теневые ИТ» проходят период ускоренного экстенсивного развития. Рост загрузки сотрудников усугубляет требования к продуктивности, становятся массовыми новые форматы занятости — все это повышает востребованность «теневых ИТ» у растущего количества сотрудников как коммерческих компаний, так и госструктур.
Удаленная/гибридная работа была экзотикой, но стала распространенным форматом в пандемию ковида, а потом стала популярней частичная занятость и параллельная работа на нескольких работодателей (поливоркинг). В ряде случаев один и тот же компьютер оказывался в структуре «теневого ИТ» нескольких разных компаний, что для ИБ оказывается настоящим кошмаром. Но это не единственные изменения в рассматриваемом направлении. Ситуацию усугубляют сложности в экономике страны.
Три четверти компаний сектора малого и среднего бизнеса отмечают отсутствие прибыли для развития собственного бизнеса, сообщает РБК со ссылкой на данные мартовского мониторинга экономического климата Центра стратегических разработок. Показатель продемонстрировал существенный рост: в феврале он составлял 57%. В таких условиях развитие «теневого ИТ» для большинства компаний сегмента СМБ становится практически единственной формой совершенствования ИТ-рельефа.
Качественная динамика, которая не к лучшему
Обострению ситуации способствует применению в «теневых ИТ» не только разнообразных аппаратных решений, но и стороннего программного обеспечения. Масштабы явления поражают: общее количество приложений в «зоопарке» применяемых сотрудниками ИТ-инструментов оказывается на порядок больше — точнее, в 14,6 раза, по данным Spin Technology — чем списочный состав ПО, которое находится под контролем ИТ-администраторов и «безопасников»! Более того, «теневые» решения в ряде случаев оказываются или свободно-распространяемыми (с непонятным уровнем защиты), или взломанными версиями коммерческих программных продуктов (которые зачастую получают недокументированные возможности, заранее добавленные в код киберпреступниками).
С распространением «облаков», которые работники стали активно использовать как «теневые ресурсы», ситуация кратно усугубилась. Сейчас все стало еще сложнее: в «тень» уходят технологии, от которых зависит продуктивность, но и определяющие конкурентное преимущество и перспективы развития, прежде всего системы «искусственного интеллекта» — от чат-ботов до систем с ИИ-агентами. Подчеркнем, что ИИ-инструменты тоже являются компонентами «теневых ИТ», значимость и риски которых рынку еще предстоит оценить в полной мере.
Ограничения «теневых ИТ» опасны?
Причины роста «теневых ИТ», как видно, много шире, чем нарушения регламента из-за капризов работников. Если время на согласование внедрения/использования нового ПО зачастую оказывается настолько значительным, что сотрудники самостоятельно начинают искать быстрые альтернативы — это важный показатель для компании, характеризующий состояние как в ИТ, так и в принятии управленческих решений.
Запрещать «теневые ИТ» для большинства корпораций — занятие не только бессмысленное, но и вредное. Исключения есть, но они крайне редкие; если уровень секретности в компании не требует от всех сдавать смартфоны на входе, то с «теневыми ИТ» придется работать, причем очень аккуратно, а не давить их огульными запретами. Попытка запрещать компоненты «теневых ИТ», о которых стало известно ИБ-отделу, снизит эффективность ряда работников, в том числе, ключевых, от которых зависят конкурентные преимущества компании, эффективность бизнеса в целом и т. д.
Запреты приведут не только к снижению эффективности и недовольству персонала, но и к уменьшению лояльности сотрудников к работодателю. В современных условиях второе более существенно: работники остаются самым ценным активом любой организации, поэтому обращаться с ними нужно бережно.
Более того, задача искоренения «теневых ИТ» не имеет решения. Попытки давления только загонят их в настолько скрытые зоны, что отслеживать и контролировать «теневые ИТ» станет проблематично. Напомним, что кроме офисных сотрудников, которые работают в традиционном формате занятости, в компаниях растет количество «удаленщиков» и совместителей, для которые запреты малоэффективны, так как проконтролировать их соблюдение крайне сложно.
Ситуация с «теневыми ИТ» развивается по принципу «смысл деятельности лежит за пределами этой деятельности». В данном случае напоминание этого тезиса важно для понимания причин возникновения явления и того факта, что «приручение» «теневых ИТ» нужно не для расширения контроля, а для повышения эффективности работников (хотя совершенствование контроля все же понадобится).
Как восприятие меняет подходы
Работа по налаживанию взаимодействия «теневых ИТ» с корпоративным ИТ-рельефом во многом напоминает «цифровую трансформацию», только реализуемую в отдельном круге задач. Во всяком случае, три основные направления — пересмотр и оптимизация процессов, внедрение для их поддержки дополнительных ИТ-решений (или перенастройка имеющихся) и обучение персонала работе в новых условиях — оказываются одинаковыми в обоих случаях.
Есть еще одно важное сходство с «цифровой трансформацией» — повышение эффективности бизнеса. Только если в случае с традиционной «трансформацией» рост эффективности будет определять увеличение бизнес-процессов, то в данном случае — минимизация упущенной выгоды (если не давать креативным сотрудникам пользоваться нужными инструментами, объемы этой выгоды могут оказаться значительными) и экономией на тратах за нарушение комплаенса (они могут оказаться большими, особенно если, например, возникнут утечки и регуляторами будет запущен механизм обратных штрафов).
Как видно, вопросы важны, поэтому для их решения нужно повышенное внимание со стороны высшего руководства.
Как управлять «тенью»?
Хаос «теневых инноваций» можно и нужно превращать в управляемую энергию «цифровой трансформации». Это длительная и кропотливая работа. Придется менять политики, приводя их в соответствие с реальностью, управлять рисками и повышать культуру персонала — как штатного офисного, так и «удаленщиков», временного занятых (от нанятых на проекты до стажеров, включительно), представителей партнеров и заказчиков, которым нужно работать в периметре компании, и пр.
Количество и масштабы задач настолько велики, что для эффективного их решения нужна стратегия, строить которую лучше всего на концепции недопустимых событий. Это даст компании точное понимание, где и как можно применять инструменты «теневых ИТ», а где от них придется отказаться. Это станет основой для формирования политик и регламентов, задача которых не гасить инициативу сотрудников, а направлять её в безопасное и продуктивное русло. В фокусе внимания при этом стоит держать данные и комплаенс-риски.
Следующий этап — планирование требуемых изменений в корпоративном ИТ-рельефе и их последовательная реализация. Например, запретить использование личных гаджетов для работы с корпоративными данными — с почтой, календарями и пр. — вряд ли возможно, а обязать использовать для этого соответствующий софт защищенную почту и пр. — можно и нужно.
Далее придется донести до персонала смысл новых политик, в том числе, и важность запретов. Люди были и будут наиболее уязвимым элементом для кибератак. Тут важна просветительская работа. Маркетолог вместо того, чтобы ждать недели ресурсов от ИТ, за 5 минут арендует виртуальную машину у стороннего провайдера. Программист, которому нужен современный ассистент по коду, покупает личную подписку на ChatGPT или Openclaw. И оба даже не задумываются, что передают внешним ресурсам внутренние данные компании или ее собственность (в данном случае, фрагменты коммерческого кода). Также придется объяснять, почему для взаимодействия с клиентами уже нельзя пользоваться каналами связи, которые недавно были привычными.
Для обеспечения требуемого уровня безопасности нужно развитие аналитики поведения. ИБ-отделы должны отслеживать аномалии в потоках данных и в поведении сотрудников, что позволит вовремя заметить утечку информации вне зависимости от того, какие инструменты — штатные или «теневые» — использует данный работник.
Источник: Александр Маляревский, внештатный обозреватель IT Channel News
