Schaduw-IT verwijst naar IT-systemen en -oplossingen die binnen een organisatie worden gebruikt zonder goedkeuring of beheer van de officiële IT-afdeling. Dit kan variëren van niet-goedgekeurde softwaretoepassingen tot complete systemen die zijn opgezet zonder kennis van of controle door de IT-afdeling. Hoewel schaduw-IT kan ontstaat uit de behoefte van werknemers om productiever te zijn, introduceert het vaak significante beveiligingsrisico’s.
In dit licht is de staat van IT-beheer in veel bedrijven zorgwekkend. Volgens een nieuwe studie heeft 6% van de IT-assets het einde van hun technische ondersteuning bereikt (END of Life EOL), wat neerkomt op verouderde activa die niet meer actueel gehouden worden met veiligheidspatches en updates. Bovendien is bijna een derde van de IT-assets onjuist beheerd, waardoor het aantal ongepatchte beveiligingskwetsbaarheden alleen maar groeit.
Uit een gedetailleerde analyse, gebaseerd op de zichtbaarheid van 1,2 miljoen IT-assets zoals servers en apparaten binnen de klant- en prospectnetwerken van Sevco, bleek dat één op de zestien assets de ondersteuningsfase voorbij is. Hierdoor kunnen bekende beveiligingsproblemen onopgelost blijven.
Verder toonde het onderzoek van Sevco aan dat 28% van alle geïnventariseerde IT-assets minimaal één essentiële beveiligingscontrole mist, zoals endpointbescherming of patchbeheer. Dit gebrek aan fundamentele beheersmaatregelen is een serieus risico voor de veiligheid van informatie.
Deskundigen wijzen op de toenemende risico’s die verouderde software en schaduw-IT systemen met zich meebrengen. Het volume en de beschikbaarheid van niet-standaard, onbeheerde apparaten die verbonden zijn met het internet, neemt sterk toe. Deze apparaten, vaak ingesteld door gebruikers zonder diepgaande kennis van beveiliging, zijn meestal niet zo goed beschermd en zijn significant kwetsbaarder dan de reguliere IT-middelen.”
Een recent voorbeeld van de risico’s van schaduw-IT kwam naar voren toen Zscaler, een groot bedrijf in cloudbeveiliging, ontdekte dat een testserver, niet gehost op zijn primaire infrastructuur, het doelwit was van cybercriminelen die toegang probeerden te verkopen.
Ook in 2023, tijdens de cyberaanval op Okta, leidde het gebruik van ongeautoriseerde IT-systemen tot een significante datalek. Werknemersgegevens werden op een persoonlijk Google-account bewaard vooraleer een werk-laptop door malware werd geïnfecteerd, wat de ernstige gevolgen van schaduw-IT voor de gegevensbeveiliging van een onderneming nogmaals onderstreepte.
End of life zeker geen end of risk
Verouderde software maakt organisaties aanzienlijk kwetsbaarder voor beveiligingsinbreuken. Een goed voorbeeld hiervan is hack via oude Windows XP-systemen in Britse ziekenhuizen door de WannaCry-malware van 2017.
Na het bereiken van het einde van de levensduur krijgen IT-assets niet langer reguliere updates of beveiligingspatches onder de standaard onderhoudscontracten van leveranciers. Hoewel sommige aanbieders uitgebreide ondersteuning bieden voor een prijs—bijvoorbeeld $427 voor drie jaar van beveiligingsupdates voor een Windows 10-pc na 2025—besluiten veel organisaties, vooral die met financiële beperkingen, soms de update over te slaan.
Vooral sectoren die traditioneel niet online zijn, zoals ziekenhuizen of vitale infrastructuur, lopen een groot risico door verouderde software. Organisaties zouden continu een uitgebreide inventaris moeten bijhouden van alle systemen, software, gebruikers, accounts en gegevens, en die van derde partijen die toegang hebben tot de organisatiedata.
Het implementeren van een adequaat patchbeheersysteem is van groot belang, ook voor officieel goedgekeurde IT-systemen. Sterk configuratiebeheer en tracking van de software bill-of-materials zijn essentieel om de integriteit van systemen en software te waarborgen.
Beveiligingstrainingen helpen de bewustwording rond de gevaren van niet-goedgekeurde software en apparaten te vergroten. Het is bovendien belangrijk dat bedrijfsprocessen zo worden geoptimaliseerd dat ze aansluiten bij de behoeften van de werknemers, wat de verleiding om niet-goedgekeurde oplossingen te gebruiken kan verminderen. Doorlopende risicoanalyses en -audits moeten worden uitgevoerd om kwetsbare punten proactief te identificeren en aan te pakken.
Bovendien is het belangrijk te erkennen dat de oplossingen niet alleen technologisch zijn. Training en goede processen zijn essentieel om het menselijke element achter schaduw-IT, en de redenen waarom het optreedt, aan te pakken. Zelfs ervaren ontwikkelaars gaan soms zorgeloos om met het implementeren van beveiligingsprotocollen, wat het belang onderstreept van constante waakzaamheid en opleiding voor alle medewerkers binnen een organisatie.
Meer hierover is te lezen op https://www.techrepublic.com/article/shadowit-leaves-security-grappling-low-visibility/
Aanvragen van het Sevco rapport kan via https://content.sevcosecurity.com/fy24q1-report-state-of-cyberscurity-attack-surface
