Když přijdu do nové firmy a dělám úvodní audit, jedna z věcí, kterou se ptám, je co a jak lidé reálně používají k práci. Odpověď od majitele bývá jedna, odpověď od zaměstnanců úplně jiná. A mezi nimi se skrývá to, čemu se říká stínové IT.
Co je stínové IT
Stínové IT je všechen software, cloudové služby a nástroje, které zaměstnanci ve firmě používají bez vědomí majitele nebo IT správce. Není to spiknutí, není to úmyslné obcházení pravidel. Ve většině případů je to prostě snaha udělat svoji práci rychleji nebo jednodušeji, když oficiální nástroje selhávají nebo chybí.
Klasický scénář vypadá takhle. Účetní potřebuje poslat klientovi velký PDF soubor. Firemní e-mail má limit 25 MB, sdílený OneDrive nikdo zaměstnancům neukázal jak používat. Účetní si tedy otevře Google, najde například uschovna.cz, nahraje tam fakturu se všemi údaji a pošle. Hotovo. Problém vyřešen. A firma má najednou citlivá data na cizím serveru, o kterém nikdo netuší.
Co konkrétně se ve firmách objevuje
Když projdu počítače zaměstnanců nebo se kouknu do síťového provozu, opakují se mi pořád stejné věci.
Osobní cloudová úložiště. Soukromý Dropbox nebo Google Drive, kam si lidé synchronizují firemní dokumenty, aby je měli „doma na večer" nebo na soukromém notebooku. Když pak zaměstnanec odejde, data odejdou s ním a firma nemá jak je získat zpět.
Převaděče a online nástroje. „Smallpdf, ilovepdf, online OCR, převést Word do PDF". Bezplatné weby, kam lidé nahrávají dokumenty se smlouvami, mzdovými údaji nebo zdravotními záznamy. Co se s těmi daty děje na druhé straně, nikdo neví.
AI nástroje. Aktuální klasika. Zaměstnanec si otevře ChatGPT, vloží do něj e-mailovou komunikaci s klientem, požádá o shrnutí. Vloží do něj smlouvu, požádá o kontrolu. Vloží do něj seznam zaměstnanců, požádá o návrh hodnocení. Všechna ta data jsou pryč, mimo firmu, a u bezplatných verzí často i v tréninkových datech modelu.
Komunikační aplikace. WhatsApp skupiny místo firemního chatu, soukromý e-mail pro „rychlou komunikaci s klientem", Messenger pro interní záležitosti. Firma nemá zálohu, nemá historii, nemá žádnou kontrolu nad tím, co se v té komunikaci řeší.
Doplňky a rozšíření v prohlížeči. Lidé si instalují různé pluginy, které slibují produktivitu, AI asistenci nebo lepší e-mail. Některé z nich mají přístup ke všemu, co se v prohlížeči zobrazuje, včetně přihlašovacích údajů a obsahu firemní pošty.
Vlastní hardware. Zaměstnanec pracuje z domu na soukromém notebooku, protože je to pohodlnější než sebou nosit ten firemní. Firma nemá jak zajistit, že je ten notebook aktualizovaný, šifrovaný a bez malwaru, ale firemní data se na něm běžně objevují. Když pak takový notebook někdo ukradne nebo na něj zaměstnancovo dítě stáhne hru s trojanem, je problém firemní.
Proč je to problém
Nejde jen o pocit, že majitel nemá kontrolu. Stínové IT vytváří úplně konkrétní rizika, která se dají vyčíslit.
První je únik dat. Když zaměstnanec nahraje smlouvu na neznámý online převaděč, firma poruší závazek mlčenlivosti vůči klientovi, aniž by o tom kdokoli věděl. Pokud se data později objeví v úniku, GDPR pokuta nepadá na zaměstnance, ale na firmu.
Druhé je ztráta dat. Když odejde zaměstnanec, který si tři roky synchronizoval projektová data do osobního Dropboxu, odchází s archivem, ke kterému firma nemá přístup. A nemá ani jak doložit, co bylo součástí pracovního výstupu.
Třetí je bezpečnostní riziko. Doplňky prohlížečů, neznámé desktopové aplikace, podivné cloudové služby, to vše může obsahovat malware, špionážní kód nebo prostě jen díry, které útočník zneužije.
Čtvrté je problém při auditu nebo incidentu. Když přijde NIS2, GDPR audit nebo bezpečnostní incident, firma musí být schopná říct, kde data jsou, kdo k nim má přístup a jak jsou chráněna. Pokud polovina firemních dokumentů obíhá po cloudech, o kterých nikdo neví, tahle otázka nemá rozumnou odpověď.
Jak na to (a co nedělat)
Instinktivní reakce je zakázat. Vydat směrnici, která říká „je zakázáno používat neschválené nástroje", a tím to skončit. Tohle přesně nefunguje. Zaměstnanci budou neoficiální nástroje používat dál, jen pečlivěji, a firma navíc ztratí možnost vidět, co se děje.
Co reálně funguje, je dát lidem nástroje, které potřebují, dřív než si je najdou sami. Pokud někdo posílá velké soubory, ukažte mu, jak na to v M365 nebo Google Workspace, je to tam celé připravené. Pokud někdo potřebuje převést PDF, dejte mu k tomu nástroj, který firma platí a má pod kontrolou. Pokud někdo chce používat AI, vytvořte firemní účet s pravidly, co tam smí a co ne, nebo nasaďte řešení, které data nepouští ven.
Druhá vrstva je viditelnost. Nemusíte zaměstnance špehovat, ale měli byste vědět, jaký software na firemních počítačích běží a jaké cloudové služby z firemní sítě komunikují. Dobře nastavená správa zařízení (MDM) a monitoring sítě tohle ukáže za pár hodin a často je to pro majitele překvapení.
Třetí vrstva je rozhovor. Zaměstnanci nepoužívají tyto neschválené nástroje ze zlomyslnosti, ale proto, že firemní řešení neznají nebo nefungují. Jednou za čas se zeptat „co používáš, co ti chybí, kde ti to skřípe" odhalí víc než jakákoli směrnice.
Závěr
Stínové IT je ve většině firem realita. Ne proto, že by zaměstnanci byli zlí nebo nezodpovědní, ale proto, že chtějí mít svoji práci hotovou. Otázka pro majitele není, jestli to ve vaší firmě existuje (skoro určitě existuje), ale jestli o tom víte a jestli máte pod kontrolou ta největší rizika.
Pokud byste chtěli vidět, co konkrétně se ve vaší firmě děje pod povrchem, ozvěte se mi na impactit.cz. Jako součást bezpečnostního auditu běžně mapuji, jaké nástroje a služby zaměstnanci reálně používají, a navrhuji řešení, která nezakazují, ale dávají lidem rozumnou alternativu.