A shadow IT és az adatszivárgás kapcsolata - az MNB 8/2020 nagyítóján keresztül - (Első rész)

A Magyar Nemzeti Bank 8/2020. (VI.22.) számú ajánlása az informatikai rendszer védelméről iránytű és Biblia: gyakran kell forgatni, hogy a jó úton haladjunk és ne tévedjünk el.

Minél többször olvassa az ember, annál több dolgot tud kiolvasni belőle, most például egy olyan megközelítést vázolunk fel, amely az adatszivárgások és a Shadow IT közötti kapcsolatra igyekszik rávilágítani. 

Mi az a shadow IT?

A shadow IT-t sokan, sokféleképpen igyekezett már definiálni. A legjobb hétköznapi meghatározás amit hallottam, hogy a Shadow IT a szervezeten belüli informatikai szolgáltatás és a felhasználói igények közötti rés, hézag vagy szakadék, amelyet a felhasználók saját kezűleg igyekeznek feltölteni - kockázatokkal. 

A Gartner egy kicsit szofisztikáltabban definiálja:

A Shadow IT kifejezés azon eszközökre, szoftverekre és szolgáltatásokra utal, amelyeket nem kontrolálják az informatikai szervezetek.

A Shadow IT jelenség során tehát a szervezeten belül olyan informatikai eszközök, szoftverek és szolgáltatások használata jelenik meg, amelyet nem a helyi IT kontrolál, sőt, jellemzően (hivatalosan) nem is tud arról, hogy használatban vannak. Nyilván ebből egyenesen következik, hogy az ellenőrizetlen, nem felügyelt és nem szabályozott eszközök és rendszerek használata magas kockázattal jár a szervezetre nézve.

Számos megoldás és kontroll létezik, amelyekkel vissza lehet szorítani a Shadow IT terjedését, például:

  • A hálózati kapcsolódás korlátozásával biztosítható, hogy csak a szervezethez tartozó és arra jogosult eszközök legyenek csatlakoztathatók a hálózathoz (például Port Security, 802.1x eszközhitelesítés, Network Access Control megoldás bevezetése, stb).
  • Az USB adathordozók használatának korlátozásával biztosítható, hogy ne lehessen pendriveról futtatható vagy egyéb alkalmazást bemásolni a vállalati eszközökre (például végpontvédelem, USB port- és eszközmenedzsment, vagy Active Directory GPO USB adathordozó tiltás, stb.)
  • A webes letöltések korlátozásával biztosítható, hogy ne lehessen alkalmazástelepítőket, futtatható állományokat vagy portable alkalmazásokat letölteni (például határvédelmi vagy web tartalomszűrés).  
  • Szoftverleltár alkalmazása és a munkaállomások szoftverkörnyezetének felügyelete. 

Látható azonban, hogy a kompenzációs kontrollok csak olyan tényezőkre tudnak fókuszálni, amelyek alapvetően a szervezet látó- és hatókörében tartoznak.

Van azonban olyan terület, amire a szervezet IT-jának nincsen jó rálátása: a különféle külső, webes vagy felhőalapú szolgáltatások igénybevétele. 

Halvány kontrollt itt is tudhat ugyan az IT megvalósítani, például a folyamatos és részletes felhasználói internetes adatforgalom monitorozása, vagy a felhasználói tevékenység és viselkedés monitorozása (employee-monitoring - ezt mennyire szereti a GDPR!) de alapvetően ez a terület egy olyan vakfolt, amely kockázatait műszaki intézkedésekkel meglehetősen nehéz csillapítani. 

Az adminisztratív intézkedések fókuszálhatnak és jó esetben fókuszálnak is a témára, az IBSZ jellemzően tartalmaz (vagy tartalmaznia kellene) olyan klauzulát, amely rendelkezik például a céges azonosítók szervezeten kívüli, pláne nem üzleti célú felhasználásáról - azonban ezeket az adminisztratív kontrollokat a szervezetek nem tudják kikényszeríteni, sőt a legtöbb esetben ellenőrizni sem tudják. 

Külső, webes és felhős szolgáltatások, például webes projektmenedzsment alkalmazás, infografika készítő, hírlevél küldő, fájlmegosztó, fájltároló, csoportmunka-támogató, time management, jegyzetelő, CRM és egyéb sales-támogató, és ki tudja mennyi egyéb alkalmazás kerül nap mint nap használatba úgy, hogy ezekre a szervezet IT üzemeltetésének vagy biztonsági menedzsmentjének nincs rálátása, nem tud róla és semmilyen kontrollal nem rendelkezik fölötte. 

(A felhős rendszerek biztonságával kapcsolatban a Magyar Nemzeti Bank 4/2019. (IV.1.) számú ajánlása a közösségi és publikus felhőszolgáltatások igénybevételéről rendelkezik, azonban az adatszivárgás elleni védelemről  a 8/2020 ajánlás rendelkezik részletesebben, a későbbiekben a tanulmány az ott szereplő pontokra reflektál)
A Shadow IT és az adatszivárgás

A külső webes és felhős alkalmazások használatának kockázata abban rejlik, hogy a szervezet nem tudja, hogy ki, milyen alkalmazást, milyen célra, milyen módon, milyen biztonsági körülmények között használ, azokban milyen adatokat tárol, kezel vagy dolgoz fel. 

Az ilyen rendszerekben tárolt, kezelt és feldolgozott adatok egyértelműen adatszivárgás áldozatai lehetnek, hiszen a szervezet sem a hozzáférések kezeléséről, sem pedig az adatok kezeléséről, pláne a védelméről nem tud rendelkezni. Klasszikus értelemben, ha egy felhasználó a szervezethez tartozó vállalati adatvagyon bármely elemét külön feljogosítás nélkül ilyen rendszerben kezeli, azzal már adatszivárgási incidens következik be. 

Adatszivárgásnak nevezzük az olyan nem üzemszerű eseményeket, ahol az adatvagyonhoz tartozó, valamilyen szempontrendszer alapján minősített információ előírt vagy nem előírt módokon az információ megszerzésére és/vagy birtoklására és/vagy megismerésére fel nem jogosított fél birtokába jut.

És lássuk be, ezt egyáltalán nem nehéz összehozni. 

Ha a felhasználó a számára biztosított eszközökkel nem tudja (vagy úgy érzi, hogy nem tudja) elvégezni a feladatát, vagy hatékonyabbnak, gyorsabbnak véli egy ilyen eszköz használatát, akkor a szervezet az ellen nagyon nehezen fog tudni technikai eszközökkel védekezni. Az érem másik oldala, hogy a kockázat nem sokkal csillapítódik akkor sem, ha mindezt a szervezet tudtával, vagy akár támogatásával teszi, hiszen attól, hogy a szervezet adminisztratívan engedélyezi a külső, webes vagy felhős rendszerek használatát, a felhasználás módját már nem tudja ellenőrizni. 

A külső, a szervezettől idegen eszközök használata és a Shadow IT lehetséges kockázatai:

  • A szervezet elveszíti a kontrollt, a hozzáféréskezelés, jogosultságkezelés, adatkezelés, adatbiztonság átláthatatlanná válik.
  • Nemmegfelelőségek a szervezetre vonatkozó belső szabályozással, felügyeleti vagy törvényi előírással (compliance) kapcsolatban.
  • A külső rendszerek kompromittálása a szervezet számára adatszivárgási incidens bekövetkeztét jelenti, a tárolt, kezelt, feldolgozott adatok bizalmassága súlyosan sérül. 
  • Az adatok és a rendszerek felhasználása nem hogy hatékonyabbá válna, de a tömeges Shadow IT azzal fog járni, hogy a rendszerek közötti együttműködés megszűnik, a szervezet homogenitásra  és egységes infrastruktúrára való törekvése teljesen feleslegessé válik (a belefektetett irgalmatlan költségek és erőforrások mennek a levesbe).
  • Megnövekednek a költségek, hiszen többféle, egyébként azonos célú vagy nagyon hasonló rendszert is használni fognak a felhasználók.
  • Ami pedig a legkomolyabb probléma, hogy

ismeretlen forrású, ismeretlen mértékű és ismeretlen hatású kockázatok jelennek meg, amelyek a szervezettől idegen, külső rendszerek saját IT- és információbiztonsági gyengeségeiből és sebezhetőségéből fakadnak - amelyekre a szervezetnek semmilyen ráhatása nincs.

Ez pedig egyenes út az adatszivárgáshoz.

A következő részben a Credential Leak és Account Takeover jelenséggel foglalkozunk, amelyek jogosulatlan hozzáférést biztosíthatnak a Shadow IT jelenségen belül használt külső, webes és felhős rendszerekhez, azokon belül pedig természetesen az ott tárolt, kezelt vagy feldolgozott vállalati adatvagyon elemekhez.