מעסיקים, התעוררו: Shadow IT – התופעה שמסכנת את הארגון שלכם

בעידן שבו טכנולוגיה היא הבסיס לפעילותו של כל ארגון, השימוש בטכנולוגיות חדשות הוא חיוני לצמיחה ולתחרות בשוק. עם זאת, אחד האיומים הגדולים ביותר שצמחו מתוך השימוש הגובר בטכנולוגיה הוא תופעת ה-Shadow IT – כאשר עובדים בארגון משתמשים בטכנולוגיות ושירותי ענן ללא אישור או פיקוח של מחלקת ה-IT. התופעה הזו, שכבר אינה נדירה, יוצרת סיכונים חמורים לארגון, במיוחד בהיבטים של אבטחת מידע ודליפות נתונים.

כשעובדים משתמשים ב-ChatGPT כדי ליצור קוד, לכתוב מסמכים או לבצע ניתוחי נתונים – הם עלולים להזין לתוך המערכת מידע רגיש, כגון נתוני לקוחות, תוכניות עסקיות או מידע פיננסי. אם המידע הזה מאוחסן או מעובד על ידי כלים חיצוניים שאינם מפוקחים, הוא הופך לפגיע במיוחד לדליפות ולתקיפות סייבר

תיקון חדש לחוק הגנת הפרטיות בישראל שעבר לאחרונה בכנסת וכולל שינויים משמעותיים. בין היתר, התיקון מרחיב את ההגדרה של מידע פרטי, בהתאמה להגדרות הרחבות בדין האירופי, ומאפשר הטלת קנסות גבוהים על חברות שיפרו את חוקי הפרטיות ותקנות אבטחת המידע. השילוב בין הגידול בשימוש ב-Shadow IT לבין ההחמרה הרגולטורית בארץ, מחייב ארגונים לשים דגש מיוחד על ניהול ובקרת מערכות המידע שלהם כדי להימנע מהשלכות כלכליות ומשפטיות כבדות.

אז מה זה בעצם Shadow IT?

Shadow IT מתייחס לשימוש בטכנולוגיות, תוכנות ושירותי ענן בתוך הארגון, שמבוצע ללא אישור או פיקוח של מחלקת ה-IT הארגונית. במילים פשוטות, מדובר בכלים שעובדים בוחרים להשתמש בהם כדי לפתור בעיות יומיומיות, מבלי להבין את ההשלכות הרחבות יותר על אבטחת המידע והתאימות של הארגון.

אחד הכלים שהפך לפופולרי במיוחד בארגונים הוא ChatGPT, שמאפשר לעובדים לבצע מגוון רחב של משימות – החל מכתיבת קוד ועד ליצירת תוכן שיווקי – ללא צורך באישור פורמלי. השימוש ב-ChatGPT כשלעצמו אינו בעייתי, אך כאשר הוא נכנס לארגון ללא ידיעת מחלקת ה-IT, הוא עלול לחשוף את הארגון לסיכוני אבטחה חמורים.

דוגמה נוספת ל-Shadow IT היא הימצאותם של שרתים רדומים – שרתים שמחוברים לרשת הארגונית אך אינם בשימוש פעיל ואינם מנוהלים כראוי. שרתים אלו, שלא מתבצע עליהם עדכון גרסה או תחזוקה, עלולים להפוך לנקודות תורפה בארגון. במקרה כזה, השרתים הרדומים יכולים לשמש כ"דלתות אחוריות" שדרכן תוקפים יכולים לחדור לרשת הארגונית ולנצל פרצות אבטחה קיימות. בנוסף, התקנת תוכנות על ידי עובדים ללא אישור או ידיעת מחלקת ה-IT מהווה גם היא סיכון. התקנות אלו, שעלולות להיראות כבלתי מזיקות, עלולות לפתוח פתח לתקיפות סייבר, לגרום לחוסר תאימות עם מערכות אחרות או לחשוף את הארגון לחדירה למידע רגיש.

שימוש בטכנולוגיות, תוכנות ושירותי ענן בתוך הארגון, שמבוצע ללא אישור או פיקוח של מחלקת ה-IT הארגונית. Shadow IT.

הסיכונים המרכזיים בעניין הזה הם כמובן בהקשר של אבטחת מידע ודליפת נתונים. כאשר עובדים משתמשים ב-ChatGPT כדי ליצור קוד, לכתוב מסמכים או לבצע ניתוחי נתונים – הם עלולים להזין לתוך המערכת מידע רגיש, כגון נתוני לקוחות, תוכניות עסקיות או מידע פיננסי. אם המידע הזה מאוחסן או מעובד על ידי כלים חיצוניים שאינם מפוקחים, הוא הופך לפגיע במיוחד לדליפות ולתקיפות סייבר.

מקרה קלאסי שאני שומע עליו רבות הוא השימוש ב-ChatGPT לכתיבת שאילתות SQL או לסריקת נתונים ממאגרי מידע. אם שאילתה זו עוברת דרך שירות חיצוני ללא הצפנה או הגנה מספקת, הנתונים יכולים לזלוג החוצה – עם כל ההשלכות החמורות הנלוות לכך.

אז איך מתמודדים עם הסיכון?

הפתרון לתופעת ה-Shadow IT אינו בהכרח איסור מוחלט על שימוש בטכנולוגיות חדשות. במקום זאת, ארגונים צריכים לפתח מדיניות גמישה, המאפשרת לעובדים לנצל את הטכנולוגיות המתקדמות בצורה מבוקרת ובטוחה.

מלבד הדרכת עובדים, שתסביר להם על הסיכונים שבשימוש בטכנולוגיות חיצוניות ללא אישור ועל החשיבות של שמירה על אבטחת המידע שיכולה למנוע טעויות יקרות, יש חשיבות עליונה בניטור ובקרה של שרתי ה-IT בארגון בצורה פרואקטיבית, וכן לאימוץ פתרונות טכנולוגיים מתקדמים לניהול ובקרה.

אחד מהצעדים המרכזיים הוא שימוש בטכנולוגיות מתקדמות שמאפשרות מיפוי וניטור אוטומטי של כל המערכות והשרתים בארגון, גם אלו שאינם מנוהלים ישירות על ידי מחלקת ה-IT.

טכנולוגיות אלו יכולות למפות את כל השרתים והמערכות בארגון תוך זמן קצר, ולהציע ראייה מקיפה של כל הנכסים הדיגיטליים, כולל אלו שנכנסו לארגון ללא אישור רשמי. בכך, ניתן לזהות במהירות כלים ושירותים שנמצאים בשימוש, ולעקוב אחרי פעילותם, מה שמאפשר לארגון לזהות סיכונים פוטנציאליים ולהגיב בזמן אמת לכל איום על אבטחת המידע.

בנוסף, טכנולוגיות אלו מסייעות להבטיח שכל הנתונים הרגישים מטופלים בהתאם למדיניות האבטחה הארגונית ולתקנות הרגולציה, תוך שמירה על שקיפות מלאה בנוגע לשימוש בטכנולוגיות חיצוניות. באמצעות ניטור ומיפוי אוטומטי, הארגון יכול להגן על המידע שלו בצורה אפקטיבית ולהפחית את הסיכונים הקשורים ל-Shadow IT.

הכותב הוא מייסד שותף בחברת פאדום (Faddom), המנהלת פלטפורמה למיפוי ותיעוד תשתיות מחשוב