Zaposlenici idu u rizik koristeći neodobrene alate i aplikacije
Shadow IT predstavlja ozbiljan sigurnosni rizik za svaku organizaciju.
Iz našeg članka saznajte kako zaposlenici nesvjesno ugrožavaju vašu tvrtku neodobrenim aplikacijama i kako to učinkovito spriječiti.
Donosimo praktične savjete, konkretna rješenja i provjerene strategije.
Zamislite sljedeći scenarij. Vaš zaposlenik želi brzo podijeliti prezentaciju s klijentom. Službeni sustav mu se čini sporim, pa otvara privatni Google Drive, učitava dokument s povjerljivim financijskim podacima i šalje poveznicu.
Za pet minuta, posao je obavljen.
No, ono što taj zaposlenik ne zna jest da je upravo otvorio vrata potencijalnom curenju podataka koje bi vašu tvrtku moglo koštati stotine tisuća eura.
Ne razgovaramo o izmišljenom scenariju. Prema istraživanju tvrtke Gartner:
41% zaposlenika koristi tehnologiju koju IT odjel nije odobrio.
Moramo napomenuti da taj postotak kontinuirano raste.
Ovaj fenomen poznat je pod nazivom Shadow IT! Govori o korištenju neodobrenih aplikacija, servisa i uređaja u poslovnom okruženju, bez znanja IT odjela.
Shadow IT postao je jedan od najozbiljnijih sigurnosnih izazova s kojima se današnja poduzeća suočavaju. Nije riječ samo o tehničkom problemu, nego i o sustavnom organizacijskom riziku koji dotiče sve.
Utječe na zaštitu osobnih podataka i usklađenosti s GDPR-om do zaštite intelektualnog vlasništva i financijske stabilnosti tvrtke.
U ovom ćete članku saznati što točno Shadow IT jest, kako nastaje, zašto predstavlja tako ozbiljnu opasnost te, najvažnije, kako ga prepoznati i njime upravljati bez gušenja produktivnosti vaših zaposlenika.
Što je Shadow IT?
Definicija i objašnjenje koncepta
Shadow IT, u doslovnom prijevodu “IT iz sjene”, označava svaki hardver, softver, uslugu ili aplikaciju koju zaposlenici koriste u poslovne svrhe bez formalnog odobrenja ili znanja IT odjela.
U opasnosti može biti doslovno sve. Moramo paziti na jednostavno dijeljenje datoteka putem osobnog cloud računa, ali i kako koristimo cijele projektne platforme za upravljanje timskim zadacima.
Razlika između odobrenog IT-a i Shadow IT-a jest u tome što odobreni alati prolaze kroz proces evaluacije, sigurnosne provjere i integracije s postojećom infrastrukturom. Shadow IT zaobilazi sve te korake, što stvara nevidljive rupe u sigurnosnoj arhitekturi organizacije.
Važno je napomenuti da Shadow IT nije isto što i zlonamjerni IT.
Zaposlenici koji koriste neodobrene alate gotovo nikada ne rade s nekom lošom namjerom. No posljedice mogu biti jednako razorne kao i namjerni napad.
Najčešći primjeri Shadow IT alata
Shadow IT pojavljuje se u raznim oblicima. Želimo prikazati koje sve kategorije postoje, kako bi mogli lakše upravljati.
Pročitajte kategorije u nastavku teksta:
Cloud storage servisi: Besplatne verzije Dropboxa, Google Drivea ili OneDrivea koje zaposlenici koriste s privatnim računima za spremanje poslovnih dokumenata.
Govorimo o najraširenijem oblik Shadow IT-a jer je nevjerojatno jednostavan za korištenje.
Komunikacijske aplikacije: WhatsApp, Telegram, Signal ili Viber grupe u kojima se razmjenjuju poslovne informacije, uključujući osjetljive podatke o klijentima, financijske izvještaje ili strateške planove.
Projektni alati: Trello, Asana, Notion, Monday.com su alati koje timovi samostalno usvajaju bez konzultacija s IT odjelom.
Zaposlenici koriste besplatne verzije koje nemaju napredne sigurnosne značajke poput enkripcije podataka ili kontrole pristupa.
File sharing platforme: WeTransfer, SendAnywhere i slične usluge za slanje velikih datoteka. Ovi servisi često zadržavaju kopije datoteka na svojim serverima dulje nego što korisnici očekuju.
Generativni AI alati: ChatGPT, Google Gemini, Claude i drugi AI alati u koje zaposlenici unose povjerljive poslovne informacije.
Ovaj oblik Shadow IT-a najbrže raste i ima s potencijalno dalekosežne posljedice za zaštitu podataka.
Osobni uređaji (BYOD): Privatni laptopi, tableti i pametni telefoni koji se koriste za pristup poslovnim sustavima bez odgovarajućih sigurnosnih mjera poput MDM upravljanja ili enkripcije diska.
SaaS aplikacije: Besplatne ili jeftine pretplate na razne SaaS alate koje pojedini odjeli ili zaposlenici samostalno aktiviraju. Ovdje se ubraja Canva, kao i alati za analitiku ili automatizaciju.
Koliko je Shadow IT rasprostranjen?
Statistike su zabrinjavajuće i dosljedno pokazuju da je problem daleko veći nego što većina organizacija pretpostavlja:
Prema istraživanju tvrtke McAfee, prosječno poduzeće koristi 1.083 cloud servisa, od čega je IT odjel svjestan postojanja tek 108 njih.
Gledajući iz drugog kuta, 90% cloud usluga u tipičnoj organizaciji spada u kategoriju Shadow IT-a.
Izvještaj tvrtke Cisco dodatno potvrđuje ovaj trend. U njemu stoji da je stvarni broj cloud aplikacija u uporabi 15 do 25 puta veći od onoga što IT odjel procjenjuje.
Istraživanje Everest Grupe pokazuje da Shadow IT čini između 30% i 40% ukupne IT potrošnje u velikim poduzećima.
Idemo dalje s istraživanjima. Prema podacima tvrtke IBM Security, organizacije koje imaju visoku razinu Shadow IT-a, bilježe identificiranje i suzbijanje sigurnosnih incidenata prosječno 77 dana dulje od onih s dobrom vidljivošću nad svojim IT resursima.
U hrvatskim poduzećima, posebno malim, situacija je još kritičnija.
Naime, IT odjeli raspolažu manjim resursima za nadzor, a kultura samostalnog snalaženja je duboko ukorijenjena.
Psihološki faktori iza Shadow IT-a
Razumijevanje korijena uzroka Shadow IT-a važno je za njegovu učinkovitu prevenciju.
Zaposlenici gotovo nikada ne koriste neodobrene alate sa zlom namjerom. Iza njihovog ponašanja stoje potpuno razumljivi razlozi:
Potreba za bržim rješenjima: Kada službeni sustav zahtijeva pet koraka za dijeljenje jednog dokumenta, a WeTransfer omogućava u jednom, izbor je za zaposlenika očigledan.
Brzina i jednostavnost uvijek pobjeđuju u svakodnevnom poslovanju. Zaposlenici su pod pritiskom rokova i KPI-jeva i sigurnost im jednostavno u tom trenutku nije prioritet.
Frustracija s postojećim IT sustavima: Zastarjeli, spori ili neintuitivni službeni alati tjeraju zaposlenike da traže alternative.
Ako službeni sustav za videokonferencije stalno pada, zaposlenici će se prebaciti na Zoom ili Google Meet bez razmišljanja o sigurnosnim implikacijama.
Svaka frustracija s odobrenim alatom korak je bliže prema Shadow IT-u.
Nedostatak svijesti o rizicima: Većina zaposlenika jednostavno ne razumije sigurnosne posljedice svojih akcija.
Za njih je prijenos datoteke na osobni Google Drive samo praktično rješenje, a ne potencijalna sigurnosna prijetnja koja može rezultirati kršenjem GDPR-a.
Koncept “perimetra podataka” apstraktan je ljudima izvan IT profesije.
Kultura snalaženja: Posebno u hrvatskom poslovnom okruženju, postoji duboko ukorijenjena kultura samostalnog rješavanja problema.
Zaposlenici se nerado obraćaju IT odjelu jer ne žele čekati, stvarati probleme ili djelovati nekompetentno. Radije će sami pronaći rješenje, pa čak i ako to znači korištenje neodobrenog alata.
Nepoznavanje procedura: U mnogim organizacijama, zaposlenici jednostavno ne znaju koje su procedure za zahtjev za novim alatom, ili im se taj proces čini prekompliciranim i predugim.
Ako zaposlenik ne zna da postoji procedura za evaluaciju novog softvera, naravno da će ga sam instalirati.
Najčešći rizični scenariji
Evo konkretnih situacija koje se svakodnevno događaju u poduzećima diljem Hrvatske i regije. Svaki od ovih scenarija nosi specifične rizike:
Scenarij 1 – Dijeljenje osjetljivih dokumenata putem neosigurane e-pošte: Zaposlenik šalje ugovor s osobnim podacima klijenta putem privatnog Gmail računa jer mu je tako “lakše”.
Taj e-mail nema end-to-end enkripciju koja je odobrena za poslovnu komunikaciju, a kopija dokumenta ostaje trajno pohranjena na Googleovim serverima izvan kontrole tvrtke. Ako dođe do kompromitiranja tog privatnog računa, svi poslovni dokumenti su izloženi.
Scenarij 2 – Korištenje osobnih cloud računa za poslovne podatke: Menadžerica prodaje sprema kompletnu bazu klijenata na svoj osobni Dropbox kako bi mogla raditi od kuće.
Kada napusti tvrtku, ti podaci odlaze s njom, a tvrtka gubi kontrolu nad njima. Nema mogućnosti revokacije pristupa jer IT odjel nije ni znao da ti podaci postoje izvan službenih sustava.
Ovakva situacija je ujedno i potencijalno kršenje GDPR-a jer se osobni podaci obrađuju izvan kontroliranog okruženja.
Scenarij 3 – Instalacija neovlaštenog softvera na službenim uređajima: Programer instalira besplatni alat preuzet s neprovjerene web stranice jer mu treba za specifičan zadatak.
Taj alat dolazi u paketu s malwareom koji kompromitira cijelu mrežu. Jedno neovlašteno preuzimanje može biti ulazna točka za ransomware napad koji paralizira cijelu organizaciju.
Scenarij 4 – Rad na osobnim uređajima bez sigurnosnih mjera: Zaposlenik pristupa poslovnom e-mailu s osobnog tableta koji nema antivirusnu zaštitu ni enkripciju diska. Ako tablet bude ukraden ili izgubljen, svi poslovni podaci su izloženi.
Bez rješenja MDM (Mobile Device Management), organizacija nema mogućnost daljinskog brisanja podataka s tog uređaja.
Scenarij 5 – Unos povjerljivih podataka u AI alate: Zaposlenik kopira interni financijski izvještaj u ChatGPT kako bi dobio sažetak ili analizu.
Ti podaci potencijalno postaju dio trening skupa za buduće verzije modela, a tvrtka nema nikakvu kontrolu nad njihovom daljnjom uporabom.
Ova situacija je posebno problematična za tvrtke u reguliranim industrijama poput financijskog sektora ili zdravstva.
Scenarij 6 – Korištenje besplatnih online alata za konverziju:
Zaposlenik koristi besplatni online servis za pretvaranje Word dokumenta u PDF.
Taj servis zadržava kopiju dokumenta na svojim serverima na neodređeno vrijeme. Ako dokument sadrži osobne podatke, tvrtka vrši prijenos podataka trećoj strani bez pravne osnove i bez obavijesti ispitanicima.
Primjer iz prakse
Jedna srednje velika računovodstvena tvrtka iz Zagreba otkrila je tijekom sigurnosnog audita da njeni zaposlenici koriste čak 47 neodobrenih aplikacija.
Među njima je bio i besplatni servis za pretvaranje PDF dokumenata koji je sve učitane datoteke pohranjivao na servere u Kini.
Kroz taj servis prošlo je više od 200 dokumenata s osobnim podacima klijenata, uključujući OIB-ove, IBAN-ove i porezne prijave.
Potencijalna kazna prema GDPR-u za ovakvo kršenje mogla je doseći i do 20 milijuna eura ili 4% globalnog godišnjeg prihoda.
Osim financijskog rizika, tvrtka je bila suočena s mogućnošću gubitka povjerenja klijenata i ozbiljne reputacijske štete koja bi u računovodstvenoj branši mogla biti kobna.
Posebno nas brine to što nijedan zaposlenik nije smatrao da čini nešto pogrešno. Za njih se jednostavno radilo o najbržem načinu pretvaranja formata dokumenta.
Kombinacija rizika
Shadow IT donosi višestruke rizike koji se često međusobno pojačavaju. Ako razumijemo sve kategorije rizika, lakše ćemo kreirati sveobuhvatnu obrambenu strategiju.
Curenje podataka i kršenje privatnosti
Curenje podataka najočigledniji je i potencijalno najskuplji rizik Shadow IT-a. Kada zaposlenici koriste neodobrene servise, podaci napuštaju zaštićeni perimetar organizacije i odlaze na lokacije nad kojima IT odjel nema nikakvu kontrolu.
Gdje je najveći rizik?
Neenkriptirane komunikacije: Mnoge besplatne aplikacije ne koriste end-to-end enkripciju ili pohranjuju podatke u nekriptiranom obliku na svojim serverima.
Tada treće strane, uključujući pružatelje usluga i potencijalne napadače, mogu pristupiti tim podacima.
Posebno je rizična kombinacija osjetljivih poslovnih podataka i besplatnih servisa, čiji je poslovni model monetizacija korisničkih podataka.
Skladištenje osjetljivih podataka na nesigurnim lokacijama: Kada zaposlenik koristi osobni cloud račun, podaci se nalaze na serverima koji nisu pod nadzorom organizacije.
Ti serveri možda ne zadovoljavaju sigurnosne standarde potrebne za poslovne podatke, a njihova fizička lokacija može biti u jurisdikcijama s nedovoljnom zaštitom privatnosti.
GDPR i regulatorna usklađenost: Prema Općoj uredbi o zaštiti podataka (GDPR), organizacija je odgovorna za osobne podatke koje obrađuje, bez obzira na to gdje su pohranjeni.
Ako zaposlenik pohrani osobne podatke klijenata na neodobreni cloud servis čiji su serveri izvan EU-a bez odgovarajućih zaštitnih mehanizama (poput standardnih ugovornih klauzula), organizacija krši GDPR.
Hrvatska Agencija za zaštitu osobnih podataka (AZOP) aktivno provodi nadzor i već je pokrenula postupke za ovakve slučajeve.
Nemogućnost poštivanja prava ispitanika: GDPR daje pojedincima pravo na pristup, ispravak i brisanje njihovih osobnih podataka.
Ako su ti podaci razbacani po neodobrenim servisima, organizacija ne može jamčiti ispunjavanje ovih prava – što samo po sebi predstavlja kršenje uredbe.
Malware i ransomware prijetnje
Neodobrene aplikacije mogu biti trojanski konj za zlonamjerni softver.
Ovaj rizik manifestira se na više načina i predstavlja jednu od najopasnijih posljedica Shadow IT-a:
Zaražene aplikacije: Besplatne verzije softvera preuzete s neprovjerenih izvora često dolaze u paketu s malwareom.
Zaposlenik koji instalira “besplatni” alat za uređivanje slika može nesvjesno instalirati keylogger koji bilježi sve što tipka, uključujući lozinke za pristup poslovnim sustavima, bankarske podatke i povjerljive informacije.
Supply chain napadi: Čak i legitimne aplikacije mogu biti kompromitirane kroz napade na lanac opskrbe.
Ako organizacija nema uvid u sve alate koji se koriste, ne može ni procijeniti izloženost ovakvim napadima.
U prethodnom članku smo pisali o napadu na SolarWinds, iz 2020. godine koji je kompromitirao tisuće organizacija upravo kroz legitimni softver.
Phishing kroz neodobrene kanale: Komunikacija putem neslužbenih kanala teže je pod nadzorom sigurnosnih filtera.
Napadači koji saznaju da organizacija koristi određeni alat za neformalnu komunikaciju mogu ciljano slati phishing poruke kroz taj kanal, zaobilazeći sve službene sigurnosne mehanizme.
Primjer poznatog napada: U 2023. godini, ransomware napad na jednu europsku logističku tvrtku započeo je upravo kroz neodobrenu verziju alata za daljinski pristup koju je instalirao zaposlenik.
Napadači su kroz taj alat dobili pristup internoj mreži i enkriptirali sve podatke, tražeći otkupninu od 2,3 milijuna eura.
Oporavak je trajao 6 tjedana, a ukupna šteta premašila je 5 milijuna eura kada se uračunaju izgubljeni prihodi i troškovi remedijacije.
Gubitak kontrole nad podacima
Kada podaci napuste službene sustave, organizacija gubi sposobnost praćenja, upravljanja i zaštite tih podataka.
Problem je posebno problematičan u kontekstu regulatornih zahtjeva i forenzičke analize nakon sigurnosnog incidenta:
Nemogućnost nadzora i audit traila: Službeni IT sustavi imaju ugrađene mehanizme bilježenja (logiranja) tko je pristupao kojim podacima i kada.
Neodobreni alati nemaju takve mehanizme ili ih organizacija ne može dohvatiti.
U slučaju sigurnosnog incidenta, organizacija ne može utvrditi opseg štete, što dodatno komplicira prijavu incidenta regulatoru u roku od 72 sata kako zahtijeva GDPR.
Problemi pri odlasku zaposlenika (offboarding): Situacija je posebno kritična i jedna je od zanemarenih aspekata Shadow IT-a.
Kada zaposlenik koji je koristio Shadow IT alate napusti organizaciju, svi podaci pohranjeni na njegovim osobnim računima ostaju izvan dosega tvrtke.
Standardni offboarding proces koji uključuje deaktivaciju službenih računa i povrat opreme ne pokriva ono za što IT odjel ne zna.
Nema načina za revokaciju pristupa podacima koji nikada nisu ni bili pod kontrolom organizacije.
Nemoguća centralizirana zaštita: IT odjel ne može primijeniti sigurnosne zakrpe, ažuriranja ili politike pristupa na sustave za koje ne zna da postoje.
Tako nastaju mrtvi kutovi u sigurnosnoj arhitekturi. Točke u kojima su podaci potpuno nezaštićeni i nevidljivi.
Svaki takav mrtvi kut potencijalna je ulazna točka za napadače.
Fragmentacija podataka: Kada se poslovni podaci nalaze na desetak različitih neodobrenih platformi, organizacija gubi sposobnost stvaranja jedinstvenog izvora istine (single source of truth).
Ne radi se samo o sigurnosnom riziku, već problem izravno utječe na kvalitetu poslovnih odluka temeljenih na nepotpunim ili nekonzistentnim podacima.
Kompatibilnost i operativni problemi
Osim sigurnosnih, Shadow IT donosi i značajne operativne izazove koji utječu na svakodnevno poslovanje:
Konflikti s postojećim sustavima: Neodobreni softver može biti nekompatibilan s postojećom infrastrukturom, uzrokujući padove sustava, gubitak podataka ili degradaciju performansi.
Na primjer, neodobreni VPN klijent može konfliktirati sa službenim sigurnosnim rješenjima, dok neodobreni browser ekstenzije mogu interferirati s poslovnim web aplikacijama.
Problemi integracije i silosiranje podataka: Kada različiti timovi koriste različite neodobrene alate, nastaje informacijski kaos.
Podaci postaju fragmentirani po desetak platformi, verzioniranje dokumenata postaje nemoguće, a suradnja između timova značajno je otežana.
Marketing koristi jedan projektni alat, prodaja drugi, a razvoj treći i nitko nema cjelovitu sliku.
Opterećenje mrežne infrastrukture: Neodobreni servisi, posebno oni koji uključuju streaming, backup velikih datoteka ili konstantnu sinkronizaciju, mogu značajno opteretiti mrežnu infrastrukturu i usporiti rad službenih sustava za sve korisnike.
Poteškoće u pružanju IT podrške: IT odjel ne može pružati podršku za alate za koje ne zna da postoje.
Kada zaposlenik ima problem s neodobrenim alatom, problem često eskalira jer IT odjel nema znanje ni pristup za rješavanje.
Financijski rizici
Shadow IT ima mjerljive financijske posljedice koje često ostaju nevidljive sve do trenutka kada je prekasno:
Dupla plaćanja za slične usluge: Kada različiti odjeli samostalno plaćaju pretplate na slične alate, organizacija efektivno plaća više puta za istu funkcionalnost.
Već spomenuto Gartnerovo istraživanje pokazuje da prosječno poduzeće na ovaj način gubi između 30% i 40% svog IT budžeta.
Na razini srednje velike tvrtke, može se raditi o desecima tisuća eura godišnje.
Kazne za neusklađenost s propisima: GDPR predviđa kazne do 20 milijuna eura ili 4% globalnog godišnjeg prihoda, ovisno o tome što je veće.
Osim GDPR-a, organizacije u specifičnim sektorima moraju poštivati dodatne regulatorne zahtjeve, poput PCI DSS za obradu kartica, NIS2 direktive za ključne sektore ili sektorskih regulativa Hrvatske narodne banke za financijski sektor.
Nevidljivi troškovi produktivnosti: Vrijeme koje zaposlenici troše na manualni prijenos podataka između nekompatibilnih Shadow IT alata i službenih sustava, te dupliciranje rada zbog fragmentiranih informacija, predstavlja skriveni trošak koji se rijetko mjeri ali značajno utječe na krajnji rezultat.
Kako prepoznati Shadow IT u vašoj tvrtli
Učinkovito suzbijanje Shadow IT-a počinje s detekcijom.
Ne možete upravljati onim što ne vidite.
Evo sustavnog pristupa otkrivanju neodobrenih alata u vašoj organizaciji.
Znakovi upozorenja
Prepoznavanje Shadow IT-a zahtijeva budnost i proaktivan pristup. Obratite pažnju na sljedeće indikatore:
Neobični mrežni promet: Ako mrežna analiza pokazuje značajan promet prema nepoznatim ili neodobrenim cloud servisima, jasan je indikator Shadow IT aktivnosti.
Posebno obratite pozornost na promet prema servisima za dijeljenje datoteka, komunikacijskim platformama i SaaS aplikacijama u neuobičajenim količinama.
Zaposlenici koji učestalo traže deblokadu vanjskih servisa: Ako zaposlenici redovito traže IT odjel da im deblokira pristup određenim web stranicama ili servisima, problem ukazuje na širu uporabu neodobrenih alata.
Oni koji ne traže pristup, možda su već pronašli zaobilazna rješenja poput VPN-ova ili mobilnih podatkovnih veza.
Nepoznate aplikacije na službenim uređajima: Tijekom rutinskih provjera uređaja, IT administratori mogu otkriti instalirane aplikacije ili browser ekstenzije koje nisu dio službenog softverskog paketa.
Neuobičajeni obrasci preuzimanja podataka: Ako određeni zaposlenici redovito preuzimaju (download) velike količine podataka iz službenih sustava, moguće je da ih prenose na neodobrene platforme.
DLP (Data Loss Prevention) sustavi mogu automatski detektirati ovakve obrasce.
Pritužbe na performanse mreže: Korištenje bandwidth-intenzivnih neodobrenih servisa može usporiti mrežu za sve korisnike, što se često manifestira kao žalbe na “sporost” sustava.
Nepoznate pretplate na korporativnim karticama ili troškovima: Pregledom financijskih izvještaja ponekad se otkrivaju male mjesečne pretplate na SaaS servise koje nitko u IT odjelu nije odobrio.
Zaposlenici koji “uvijek imaju rješenje”: Ako pojedini zaposlenici ili timovi konzistentno obavljaju zadatke brže ili drugačije od ostalih bez očiglednog razloga, moguće je da koriste vlastite alate.
Shadow IT nije samo tehnički problem, već odraz načina na koji zaposlenici zaobilaze sustave kako bi bili brži. Nesvjesno otvaraju sigurnosne rupe.
Moramo provoditi kontrolu, imati bolju vidljivost i paziti na edukaciju zaposlenika, jer u suprotnom najjednostavnije navike mogu postati najveća prijetnja poslovanju.
