Blog

Shadow IT foydalanuvchilarning IT bo’limini chetlab o’tish uchun ruxsatsiz texnologiya resurslaridan foydalanish amaliyotini anglatadi. Foydalanuvchilar mavjud AT siyosatlari juda cheklovchi deb hisoblasa yoki o’z ishlarini samarali bajarishlariga to’sqinlik qilganda, ATning soyali amaliyotlariga murojaat qilishlari mumkin.

Eski maktab hodisasi

Shadow IT yangi emas. Yillar davomida soyali IT-dan keng foydalanishning son-sanoqsiz misollari mavjud. Masalan, 2000-yillarning boshlarida ko‘plab tashkilotlar Wi-Fi tarmog‘ini o‘z xavfsizligiga putur yetkazishidan qo‘rqib, joriy qilishni istamas edi. Biroq, foydalanuvchilar simsiz qurilmalarning qulayligini xohlashdi va ko’pincha IT bo’limining bilimi yoki roziligisiz simsiz ulanish nuqtalarini joylashtirdilar.

Xuddi shu narsa iPad birinchi marta mashhur bo’lganida sodir bo’ldi. AT bo’limlari qurilmalarga Group Policy sozlamalari va boshqa xavfsizlik boshqaruvlarini qo’llash imkoni yo’qligi sababli biznes ma’lumotlari bilan iPad’lardan foydalanishni asosan taqiqladi. Shunga qaramay, foydalanuvchilar ko’pincha IT-ni e’tiborsiz qoldirishdi va baribir iPad-dan foydalanishdi.

Albatta, IT oxir-oqibat iPad va Wi-Fi-ni qanday himoya qilishni aniqladi va oxir-oqibat texnologiyani o’zlashtirdi. Biroq, soya IT har doim ham yaxshi tugamaydi. Soya IT bilan shug’ullanadigan foydalanuvchilar o’zlari bilmagan holda tashkilotga tuzatib bo’lmaydigan zarar etkazishi mumkin.

Biroq, IT-dan soyadan foydalanish muammosi bugungi kungacha saqlanib qolmoqda. Agar biror narsa bo’lsa, so’nggi bir necha yil ichida soyali IT foydalanish ko’paydi. Masalan, 2021 yilda Gartner barcha IT-xarajatlarining (yirik korxonada) 30% dan 40% gacha soya ITni moliyalashtirishga ketishini aniqladi.

Shadow IT 2022 yilda o’sishda

Pandemiyadan keyin masofaviy ish

Soyali IT-dan foydalanishning o’sishining sabablaridan biri masofaviy ishdir. Foydalanuvchilar uydan ishlaganlarida, ular korporativ ofisdan ruxsatsiz texnologiyadan foydalanishga urinishdan ko’ra IT bo’limiga xabar berishdan osonroq qochishlari mumkin. Asosiy tadqiqotlar shuni ko’rsatdiki, COVID bilan bog’liq masofaviy ish IT soyasidan foydalanishni 59% ga oshirdi.

Texnologiya oxirgi foydalanuvchilar uchun osonlashmoqda

Soyali ITning o’sishining yana bir sababi shundaki, foydalanuvchi uchun ITni chetlab o’tish har qachongidan ham osonlashdi. Bir lahzaga foydalanuvchi ma’lum bir ish yukini o’rnatmoqchi deb faraz qilaylik, lekin IT so’rovni rad etadi.

Qat’iy foydalanuvchi bulut hisobini o’rnatish uchun shunchaki korporativ kredit kartasidan foydalanishi mumkin. Ushbu hisob mustaqil ijarachi sifatida mavjud bo’lgani uchun IT uni ko’rmaydi va hatto uning mavjudligini bilmasligi ham mumkin. Bu foydalanuvchiga ruxsatsiz ish yukini to’liq jazosiz bajarish imkonini beradi.

Aslida, 2020 yilgi tadqiqot shuni ko’rsatdiki, xodimlarning 80 foizi ruxsatsiz SaaS ilovalaridan foydalanishni tan olgan. Xuddi shu tadqiqot shuni ko’rsatdiki, o’rtacha kompaniyaning soya buluti IT kompaniyaning ruxsat etilgan bulutdan foydalanishidan 10 baravar katta bo’lishi mumkin.

O’z tarmog’ingizni biling

Foydalanuvchining soyali AT aktivlarini joylashtirish qulayligini hisobga olsak, AT bo‘limining soya AT aktivlaridan foydalanilmayapti yoki ular soyali AT aktivlaridan foydalanishni aniqlay oladi, deb taxmin qilish haqiqatga to‘g‘ri kelmaydi. Shuning uchun, eng yaxshi strategiya foydalanuvchilarni IT soyasi bilan bog’liq xavflar haqida o’rgatish bo’lishi mumkin. Cheklangan AT tajribasiga ega foydalanuvchi yashirin IT ga ulanish orqali beixtiyor xavfsizlik xavfini yaratishi mumkin. Forbes Insights hisobotiga ko’ra, kompaniyalarning 60 foizi tahdidlarni baholashda soyali ITni qo’shmaydi.

Xuddi shunday, soyali IT dan foydalanish tashkilotni tartibga soluvchi jarimalarga olib kelishi mumkin. Darhaqiqat, ko’pincha IT bo’limi emas, balki muvofiqlik auditorlari, oxir-oqibat, soyali IT dan foydalanishni aniqlaydilar.

Albatta, soya AT dan foydalanishni to’xtatish uchun faqat foydalanuvchilarni o’qitishning o’zi etarli emas. Ogohlantirishlarga e’tibor bermaslikni tanlagan foydalanuvchilar doimo bo’ladi. Xuddi shunday, foydalanuvchilarning ma’lum texnologiyalardan foydalanish so’rovlariga berilish har doim ham tashkilot manfaatlariga mos kelmaydi. Axir, tashkilotingiz uchun jiddiy xavf tug’dirishi mumkin bo’lgan yomon yozilgan yoki eskirgan ilovalarning etishmasligi yo’q. Foydalanuvchilarga josuslik qilishi ma’lum bo’lgan ilovalar haqida gapirmasa ham bo’ladi.

Shadow IT uchun nol ishonch yechimi

Soya IT tahdidlariga qarshi kurashning eng yaxshi variantlaridan biri ishonchni nolga o‘tkazish bo‘lishi mumkin. Nolinchi ishonch – bu sizning tashkilotingizda hech narsa avtomatik ravishda ishonilmaydigan falsafa. Foydalanuvchi va qurilma identifikatorlari har safar resursga kirishda tekshirilishi kerak.

Nolinchi ishonch arxitekturasining turli jihatlari bor va har bir tashkilot nol ishonchni boshqacha amalga oshiradi. Ba’zi tashkilotlar, masalan, resurslarga kirishni nazorat qilish uchun shartli kirish siyosatidan foydalanadilar. Shunday qilib, tashkilot foydalanuvchiga resursga cheksiz kirish huquqini bermaydi, balki foydalanuvchi resursga qanday kirishga harakat qilishini ko’rib chiqadi. Bu foydalanuvchining geografik joylashuvi, qurilma turi, kun vaqti yoki boshqa omillarga asoslangan cheklovlarni o’rnatishni o’z ichiga olishi mumkin.

Mijozlarni qo’llab-quvvatlashga nol ishonch

Tashkilot nol ishonchni amalga oshirish nuqtai nazaridan qila oladigan eng muhim narsalardan biri bu yordam stolini yaxshiroq himoya qilishdir. Aksariyat tashkilotlarning yordam stollari ijtimoiy muhandislik hujumlariga qarshi himoyasiz.

Agar foydalanuvchi qo’ng’iroq qilsa va parolni tiklashni so’rasa, yordam stoli bo’yicha mutaxassis foydalanuvchi o’zi aytgan shaxs deb hisoblaydi, haqiqatda qo’ng’iroq qilgan shaxs tarmoqqa kirish uchun parolni tiklash so’rovidan foydalanishga urinayotgan xaker bo’lishi mumkin. Foydalanuvchi identifikatorini tasdiqlamasdan parolni tiklash so’rovlarini taqdim etish nol ishonch degan hamma narsaga zid keladi.