Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



05.09.2022

Łatwiejsza migracja do chmur

Commvault i Oracle rozszerzyły partnerską współpracę i wspólnie oferują rozwiązanie...
01.09.2022

Badanie sieci

QNAP ogłosił wprowadzenie oprogramowania ADRA Network Detection and Response (NDR) dla...
01.09.2022

5G w Polsce

Z badania Kearney 5G Readiness Index 2022 wynika, że Polska jest jednym z najgorzej...
01.09.2022

Zarządzanie działaniami

Fortinet zaprezentował chmurową usługę, która koreluje informacje dotyczące...
01.09.2022

Selektywna rejestracja

Naukowcy z UCLA przedstawili projekt inteligentnej kamery, która pozwala wybrać, jaki...
01.09.2022

Więcej mocy, komputer...

Profesjonalny komputer Dell Precision 7865 Tower z AMD Ryzen Threadripper PRO 5000...
01.09.2022

Rekord prędkości

Firma Aorus zapowiada superszybki dysk, następcę modelu Gen4 7000s SSD, który ma oferować...
01.09.2022

Beprzewodowe drukowanie

Firma Brother wprowadziła do swojego portfolio nowe urządzenie wielofunkcyjne z systemem...
01.09.2022

Obraz dobrze zaprogramowany

Monitor interaktywny Lyra to połączenie Androida 11, szyby antybakteryjnej, wbudowanego...

IT drugiego obiegu

Data publikacji: 01-09-2022 Autor: Michał Jaworski

Media obiegają sensacyjne informacje mające jakoby potwierdzenie w mailach pomiędzy premierem a jednym z ministrów. Rząd jeszcze nie zdecydował, czy lepiej nazywać to fejkiem, czy też uznać to za atak sił wrogich Polsce. Zapewne czyni to z ostrożności procesowej, bo zawsze może się okazać, że znajdą się materiały świadczące, że to nie był fejk lub też – co miało już miejsce – wstanie operator poczty i będzie miał twarde dowody, że żadnego ataku nie było. W takich przypadkach sam dział IT niewiele może przeciwdziałać.

 

Jeśli przyjąć, że „przygody pana Michała” z pocztą elektroniczną to prawda, wówczas mamy do czynienia z sytuacją, w której członkowie organizacji nie mają zaufania do swoich systemów i zarządzających. Dlatego zaczynają do celów służbowych wykorzystywać środki komunikacji poza kontrolą wewnętrzną, a pytaniem pozostają powód i cel takiego działania. Może to być przekonanie, że wewnętrzne systemy są spenetrowane. Taka sytuacja miała miejsce podczas kampanii Hillary Clinton, kiedy to każdy ruch kandydatki był świetnie znany drugiej stronie. Połapali się, kiedy na jednym z wieców zaczęto zadawać jej pytania w sprawie, którą miała poruszyć, ale nie poruszyła! Sztab wyborczy porzucił wówczas swoje serwery na rzecz zewnętrznych. Co ciekawe, otrzymali wcześniej informację o ataku, ale ją zlekceważyli. Innym powodem może być jednak także to, że użytkownicy nie mają pewności, czy ktoś jeszcze nie czyta ich informacji. Oczywiście ktoś z wewnątrz.


Przeciwdziałanie takiemu IT w drugim obiegu jest zasadniczo nieinformatyczne, bo najważniejsze jest przekazanie każdemu użytkownikowi – począwszy od zastępcy pionka ds. nieważnych, a skończywszy na prezesach i ministrach – że informacji służbowych nie wolno przetwarzać poza systemami organizacji. Mają przeczytać, podpisać, zapoznać się z konsekwencjami. Z kolei część informatyczna przeciwdziałania musi się łączyć z klasyfikacją danych oraz np. wprowadzeniem mechanizmów DLP, które będą przeciwdziałać sabotażowi, niefrasobliwości i głupocie.


Przejdźmy do najpopularniejszego z rodzajów shadow IT, tzn. wprowadzania do systemów organizacji różnego rodzaju oprogramowania lub wykorzystywania niezatwierdzonych usług. To mnóstwo drobnego softu nieznanego pochodzenia, przydatnego w jakichś drobiazgach, coś tam konwertującego lub przeliczającego. To także wszystkie darmowe chmurowe usługi do wymiany grubszych plików. A czasem prywatne aplikacje do obsługi banków czy sklepów. W infrastrukturze firmy pojawia się nagle ktoś nieznany, niewiadomego pochodzenia, nieznanej jakości i niewiadomego zachowania. Może nieść ze sobą podatność na atak, może transmitować dane poza firmę albo udzielać dostępu osobom niepożądanym. Nie jest wcale łatwo odpowiedzieć, co z tym robić.


Pominę wprowadzenie zasad Zero Trust. Nie znam w Polsce organizacji, która by to już zrobiła, choć bez wątpienia jednym z dodatkowych efektów byłoby ograniczenie shadow IT. Pominę także postulat stworzenia i wdrożenia odpowiedniej klasyfikacji danych i połączonych z nią reguł. Tylko niewiele firm przeprowadziło taki proces.


Wróćmy teraz do naszych samowolnych organizatorów informatyki. Próba całkowitego zablokowania ich działań jest z góry skazana na porażkę. Nie pomogą srogie maile od kierownictwa, nie wystarczy ukaranie przyłapanego pracownika, nie podniosą świadomości pogadanki i szkolenia. Zawsze będzie ktoś, komu się spieszy lub lubi jakąś aplikację, a może nie wierzy w opowieści o hakerach. Dlatego też pierwszym krokiem jest wsłuchanie się w głos ludu. Pracownicy, którzy uruchomili coś w drugim obiegu, po prostu mieli potrzebę użycia takiej usługi. Chcieli zmienić JPG-a na PDF-a albo przerzucić stumegabajtowy plik do innej osoby, albo przeliczyć waluty, albo… Skoro taka usługa lub soft nie są dostępne w firmie, a istnieją na zewnątrz, nie wahali się ani minuty… Administratorze! Informacja, że taka historia miała miejsce, to dla Ciebie sygnał, że ludzie czegoś potrzebują, zajmij się tym!


Natomiast tym, którzy samodzielnie coś tworzą bez czekania na dział IT, warto zaproponować platformę low-code/no-code. Niech powstają apki i programy! Przygotujmy dla nich przetestowaną i bezpieczną platformę. Zachęcajmy do pracy. Niech działają! A samemu tematowi warto poświęcić nawet cały numer „IT Professional”!

 

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"