תופעת ה- Shadow IT נמצאת בראש דאגות אבטחת המידע

יום ג', 10 במאי 2022

 

 

מחקר חדש של Torii חושף: 69% ממנהלי הטכנולוגיה מודים כי תופעת ה- Shadow IT נמצאת בראש דאגות אבטחת המידע שלהם
דוח "נראות והשפעת ה-SaaS לשנת 2022" של Torii מצא כי רוב הארגונים המנסים לעמוד בקצב עדכוני האבטחה של תוכנות ה-SaaS שלהם, צריכים להפחית בדחיפות את הסיכון הנובע מהגברת השימוש ביישומי SaaS.
 

SaaS זה ראשי תיבות של Software as a Service . SaaS זה בעצם סוג של דרך להגיש תוכנות בעולם המודרני. אם בעבר היינו צריכים להוריד כל תוכנה למחשב על מנת להשתמש בה, כיום ניתן לצרוך את רוב התוכנות דרך ענן (שזה למעשה דרך הדפדפן אינטרנט) ללא הצורך בהתקנות מיותרות.

בעולמות הסטארט-אפים, חברות SaaS אלו חברות המנסות לפתור בעיה ספציפית בתחום מסוים ומנגישות אותו למשתמשים ולקוחות רלוונטים דרך האינטרנט

 
צוין כי Torii, מפתחת פלטפורמת ניהול ה-SaaS האוטומטית , פרסמה את דו"ח הנראות והשפעת ה-SaaS לשנת 2022. הסקר נערך על ידי Pulse ו-Torii בדצמבר 21 וינואר 22, בקרב 100 מנהלי טכנולוגיה בעלי למעלה מ-75% יישומי SaaS בארגונם במטרה להבין כיצד מגפת הקורונה השפיעה על המשימות היומיומיות שלהם ומהי גישתם ל-IT.
בדוח נמצא כי 69% ממנהלי הטכנולוגיה מאמינים כי Shadow IT היא דאגה הנמצאת בעדיפות עליונה בכל הקשור לאימוץ SaaS או יישומי ענן. מרבית המשיבים בסקר העידו כי ביצעו חריגות במדיניות אבטחת ה-SaaS שלהם, כאשר 80% מהם עשו זאת בגלל שהיישומים אומצו מחוץ לתחום הפעילות של צוות ה-IT. כדי להילחם בבעיה זו ובשאר האתגרים העולים מהשתרעות יישומי SaaS, 64% ממשיבי הסקר מעריכים או מתכננים לפרוס כלים לניהול SaaS. להלן ממצאי הדו"ח העיקריים: 
מגפת הקורונה האיצה את אימוץ ה-SaaS
מעל מחצית מהמשיבים (54%) דיווחו כי הנהגת החברה שלהם שינתה את נקודת מבטם על טכנולוגיה בעקבות מגפת הקורונה. המשיבים דיווחו גם כי המגפה האיצה את אימוץ כלי ה-SaaS (53%) – וגם את סיכוני האבטחה (32%) – והביאה להתמקדות באבטחה בארגונים שלהם (26%).
נראות וסיכוני אבטחה של יישומי SaaS נמצאים בראש סדר העדיפויות
דאגות האבטחה המשמעותיות ביותר בקרב מנהלי הטכנולוגיות כוללים את ה-Shadow IT (69%), הליך הפרדה (offboarding) של עובדים שעזבו את החברה מהיישומים בהם השתמשו (59%) ועובדים מרוחקים אשר חושפים נתונים (56%).
Shadow IT הם יישומים המהווים חלק ממאגר הטכנולוגיות של החברה אבל הם לא מוכרים לצוותי ה-IT או האבטחה ולכן, לא מאושרים לשימוש על ידם. בעקבות זאת, אותם יישומים חושפים את החברות לסיכונים משמעותיים. כאשר עובדים רבים הורגלו לרכוש יישומי ענן בעצמם, תופעת ה-Shadow IT לא הולכת לשום מקום. לפי ממצאי הסקר, 52% מהמשיבים העידו כי העובדים רוכשים יישומים עצמאית ובלי ליידע את מנהלי ה-IT ו-36% מהמשיבים אמרו כי דבר דומה קורה עם מנהלים עסקיים.
אם לצוותי האבטחה וה-IT אין יכולת לראות את יישומי ה-Shadow IT, אין להם דרך להגן את נתוני הארגון העוברים דרכם. הדבר נהיה ברור כאשר עובדים עוזבים את החברה ולא מבצעים תהליך offboarding כראוי מהחברה (כלומר, המשתמשים שלהם אינם מבוטלים והם לא מנותקים מהרשת של החברה והתוכנות שלה). משמעות הדבר היא שעדיין תהיה להם גישה למידע רגיש של החברה גם לאחר שהם אינם מועסקים בה. 
כמו כן, אסור להתעלם מנושא ההתממשקות. כאשר יישומים ללא אישורים לעיתים קרובות מתחברים לכלים אחרים המכילים נתונים ארגוניים – ארגונים מסתכנים בחשיפת המידע הרגיש שלהם.
הדרדרות בשמירה על פרוטוקולי אבטחה  
עוד עולה מהסקר כי ההיצמדות לתקנות האבטחה שהארגון קבע לעצמו נפגעה, כאשר 55% מהארגונים ביצעו חריגות בתקנות האבטחה שלהם עבור יישומי SaaS. לפי מרבית משיבי הסקר (80%), הסיבה לכך היא כי היישומים אומצו מחוץ לתחום הפעילות של צוות ה-IT בארגון.
 
ניהול גישת זהויות והזדהות יחידה אינם מספיקים
כמעט כל המשיבים לסקר (90%) משתמשים בניהול גישת זהויות (IAM) או בהזדהות יחידה (SSO) כדי להפחית את החשיפה לאיומי אבטחה. יחד עם זאת, הכלים הללו ממוקדים ביישומים ידועים והם לא חושפים ולא רואים יישומי Shadow IT. לכן, חברות עדיין נאבקות עם אתגרי גישה וזיהוי.
 
"המציאות החדשה של עבודה מבוזרת או מרוחקת הביאה את תופעת ה-Shadow IT לרמה חדשה, כאשר ניתן לעובדים הכוח לספק ולנהל את יישומי הענן שלהם בעצמם. אומנם מצב זה אפשר לצוותים ליצור חידושים במהירות רבה יותר, המצב הביא גם לגידול משמעותי בסיכוני האבטחה והתמוטטות מוחלטת של הכלים והשיטות הישנים לניהולם. אותם כלים לא עוצבו עבור ההתפרצות של SaaS ו-Shadow IT והם פשוט לא עומדים בקצב", אמר אורי הרמתי, מנכ"ל ומייסד שותף של Torii. SaaS מחייב גישה חדשה לחלוטין. עסקים מתחילים להבין זאת ונוקטים באמצעים יעילים יותר לניהול מאגר ה-SaaS שלהם והפחתת הסיכונים".
  לממצאי הדוח המלאים לחצו כאן.