Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Nowe aplikacje, pluginy do aplikacji, Software as a Service (SaaS), narzędzia oparte o AI - rozwój technologii wciąż nabiera tempa. Firmy próbują znaleźć sposób na efektywne wykorzystanie możliwości, jakie daje technologia i to samo robią jej odbiorcy indywidualni, którzy poszukują narzędzi do wykorzystania dla własnych celów. Miejsce pracy to potencjalny punkt styku w tej sferze obu grup: firmy, jako pracodawcy i indywidualnych odbiorców technologii, jako pracowników. Często zdarza się tak, że przyjęty w danej organizacji sposób funkcjonowania sfery IT nie jest do końca respektowany przez pracowników, którzy bez wiedzy pracodawcy samodzielnie wprowadzają i wykorzystują w pracy różne narzędzia IT. Ponieważ dostęp do technologii wydaje się łatwiejszy niż kiedykolwiek, a praca zdalna zyskuje na popularności tak bardzo, że została nawet uregulowana w Kodeksie pracy, powoduje to, że kontrola nad działaniami pracowników w sferze IT jest jeszcze trudniejsza. W rezultacie związane z tym ryzyka, takie jak nieuprawnione wykorzystanie danych, rosną.

Czym dokładnie jest zjawisko shadow IT?

Shadow IT nie jest ani nowym zjawiskiem, ani świeżo ukutym określeniem. Jest to sytuacja, w której pracownicy na własną rękę ingerują w sferę IT firmy zazwyczaj poprzez samodzielne zainstalowanie oprogramowania czy coraz popularniejsze obecnie korzystanie z aplikacji online, nie angażując osób odpowiedzialnych za ten obszar (np. dział bezpieczeństwa IT) lub obchodząc w ten sposób inne wytyczne przyjęte w danej organizacji. Tego rodzaju nieautoryzowane działanie pracowników, którzy nie posiadają na nie zgody, ale też odpowiedniej wiedzy czy umiejętności, naraża organizację na kłopoty - w tym prawne.

Kiedy w praktyce możemy mieć do czynienia ze zjawiskiem shadow IT?

Michał jest pracownikiem niedużej firmy działającej w branży e-commerce. Pracując na stanowisku specjalisty ds. e-commerce w firmie takich rozmiarów, ma sporo na głowie. Firma jest ambitna - chce się rozwijać i rosnąć, dlatego kładzie coraz większy nacisk na marketing. Z tego powodu również od Michała oczekuje się podejmowania coraz większej ilości działań marketingowych.

Sytuację, w jakiej się znalazł i wymagania rosnące proporcjonalnie do ambicji wzrostu firmy, Michał skonsultował z chatbotem działającym z wykorzystaniem sztucznej inteligencji. Wśród wielu linijek odpowiedzi chatbot wygenerował jedno słowo, mające stać się kluczem do sukcesu i wydajności pracy Michała: automatyzacja.

Dalej było już z górki, kilka kolejnych promptów w ramach rozmowy z chatbotem, kilka haseł wpisanych do wyszukiwarki internetowej i jeden cel - Michał liczy na to, że znajdzie bezpłatne i profesjonalne narzędzie automatyzacji działań marketingowych (kolejność cech narzędzia nieprzypadkowa).

Pracy jest dużo, oczekiwań rezultatów od Michała również. Co prawda w firmie nie funkcjonuje dział IT, ale pracodawca polecił Michałowi, aby sprawy z tego zakresu (np. konfiguracja sprzętu IT, czy instalacja potrzebnego oprogramowania na firmowym komputerze), załatwiał ze wskazanym zewnętrznym dostawcą takich usług, które w firmie zostały outsourcowane.

Jak dotąd Michał nawet sumiennie kierował tematy IT do wskazanej zewnętrznej firmy, ale do czasu. Co prawda pracownicy firmy IT zawsze sprawnie i zdalnie radzili sobie z wszelkimi kwestiami dotyczącymi komputera Michała, tyle że procedura potrafiła zająć nawet kilka godzin - od przesłania e-mailem zgłoszenia, poprzez ustalenie terminu działania i pracę nad zgłoszeniem - czasem rozłożoną na kilka zdalnych połączeń z komputerem Michała - do sprawdzenia, czy wszystko działa jak trzeba i dopiero zamknięcia danego taska.

Dla Michała czas jest jednak na wagę złota bardziej niż kiedykolwiek, a kto obecnie nie potrafi instalować programu komputerowego, czy zarejestrować się na platformie online, aby skorzystać z narzędzi działających w chmurze? Wystarczy zaakceptować wyskakujące okienka z informacją o wyrażeniu zgody na instalację albo po prostu zarejestrować się na danej platformie (co do właściwego postępowania w odniesieniu do treści warunków korzystania z narzędzi tego rodzaju - na przykładzie narzędzi opartych o sztuczną inteligencję - przeczytaj nasz wpis tutaj). Michał potrafi i tak też zrobił - zainstalował na komputerze nowe oprogramowanie, zarejestrował się też do aplikacji działającej w ramach cloud services. Teraz marketing będzie robił się sam dzięki automatyzacji. Mimo że osoby odpowiadające za IT w firmie Michała powinny wiedzieć co Michał zamierza, zanim jeszcze podjął swoje działanie. Z punktu widzenia jego pracodawcy nie jest pozbawione znaczenia z jakich aplikacji i innych narzędzi pracy IT pracownicy tacy jak Michał korzystają...

Przedstawiony powyżej scenariusz to przykładowe zobrazowanie sytuacji, w której mamy do czynienia z shadow IT. Wykorzystywanie oprogramowania innego niż odpowiednio zatwierdzone przez pracodawcę, ignorowanie wytycznych co do tego, jakie aplikacje mogą być w danej organizacji używane, korzystanie z innej niż firmowej sieci, lub uzyskiwanie dostępu do firmowych zasobów poprzez logowanie się do nich z wykorzystaniem prywatnego adresu e-mail (np. do Google Drive) - shadow IT może przybrać wiele różnych formy.

Każdy przypadek sprowadza się jednak do braku kontroli nad sferą IT przez osoby odpowiadające za nią albo naruszenia innych przyjętych w danej organizacji dla tej sfery wytycznych, będące konsekwencją samowolnego działania pracownika.

Złego dobre początki - skąd bierze się shadow IT?

Zjawisko shadow IT często nie wynika ze złej woli pracownika, lecz motywowane jest chęcią szybkiego i samodzielnego uporania się z zaistniałym w przestrzeni IT zagadnieniem. Jeśli jednak pracownik wykorzystuje firmowy sprzęt lub inne zasoby pracodawcy w taki niewłaściwy sposób, skutki mogą być różne.

Mimo że shadow IT nie zawsze musi prowadzić do negatywnych konsekwencji i może nawet usprawnić działanie pracownika - zwiększyć szybkość jego pracy, to pójście na skróty i pominięcie właściwej ścieżki działania oraz korzystanie z oprogramowania/aplikacji nieautoryzowanych, czy inne niewłaściwe działanie pracownika w tej sferze, powoduje, że zagrożone staje się firmowe bezpieczeństwo IT. Powstaje tym samym ryzyko wystąpienia negatywnych skutków zarówno po stronie pracodawcy, jak i pracownika. Korzyści mogą być krótkotrwałe i niewielkie w porównaniu z potencjalny ryzykiem, jakie przy okazji wygeneruje shadow IT.

Konsekwencje prawne shadow IT

Zagrożenia związane z Shadow IT to nie tylko narażanie się na zakłócenia wewnętrznych procesów danej organizacji, ale też naruszenia przepisów prawa i wynikająca z tego odpowiedzialność. Związane z shadow IT ryzyka prawne można podzielić ze względu na podmiot, który ponosi za nie odpowiedzialność.

Odpowiedzialność pracownika za działanie w ramach shadow IT

W przypadku zarówno pracownika w rozumieniu Kodeksu pracy, jak i pracownika współpracującego na podstawie umowy cywilnoprawnej, z reguły odpowiedzialność za ich działanie w pierwszej kolejności będzie ponosić firma zatrudniająca tych pracowników.

Taka firmowa odpowiedzialność może powstać na różnych płaszczyznach. Przykładowo, jeśli wskutek zjawiska shadow IT wyciekłyby objęte poufnością krytyczne dane kontrahenta, wówczas ta odpowiedzialność dotyczyłaby sfery odszkodowawczej firmy. Jeżeli jednak wyciek danych obejmowałby dane osobowe, firma naraziłaby się na kary finansowe ze strony Prezesa Urzędu Ochrony Danych Osobowych.

Niebezpieczne zjawisko shadow IT dotyczy każdej organizacji

Warto zdać sobie sprawę z tego, że obecnie niemal każdy przedsiębiorca w zakresie swojej działalności pozostaje zdany na korzystanie z różnego rodzaju oprogramowania, aplikacji czy urządzeń IT.

Jeśli okoliczności prowadzenia danej działalności są takie, że przedsiębiorca może nie mieć pełnej kontroli nad aspektami IT w swojej firmie - bo przykładowo nie jest jednoosobowym przedsiębiorcą niezatrudniającym żadnych pracowników - to wówczas różnice sprowadzają się głównie do skali uzależnienia od różnych urządzeń i oprogramowania, a w konsekwencji rozmiarów ewentualnych szkód, jakie shadow IT może danej organizacji wyrządzić.

Jak chronić się przed shadow IT?

Całkowite wyeliminowanie ryzyka związanego z shadow IT jest niemożliwe. Niemniej pracodawca powinien wiedzieć z jakich narzędzi IT jego pracownicy korzystają, aby móc dbać o zachowanie nad tą sferą odpowiedniej kontroli i tym samym zminimalizować zagrożenia związane z shadow IT.

Rozwiązania jakie w tej mierze można przyjąć, to przykładowo odpowiednie zarządzanie uprawnieniami użytkowników firmowych komputerów. Pomóc mogą również regularne szkolenia z zakresu bezpieczeństwa IT. Z technicznego punktu widzenia warto skonsultować ten temat ze specjalistami z dziedziny bezpieczeństwa IT.

Punktem wyjścia pozostaje jednak profilaktyka - tworzenie jasnych wytycznych i zasad dotyczących funkcjonowania IT w danej organizacji, ale w szczególności budowanie wśród pracowników świadomości istnienia zjawiska shadow IT. Z jednej strony chodzi o spójność i niezakłócone działanie ekosystemu IT w danej firmie, z drugiej zaś jej bezpieczeństwo prawne.

Zgodnie z zasadą "lepiej zapobiegać niż leczyć", zamiast martwić się ryzykiem wypłaty potencjalnego odszkodowania, warto z wyprzedzeniem podjąć odpowiednie kroki, aby zminimalizować ryzyko powstania szkody.

{{widget6}}