Jesper Lund Stocholm bloghoved

Shadow IT - er du også sårbar

I dag landede endnu en artikel på det ulmende bål omhandlende skygge-IT - nemlig artiklen om at der lækkes fortrolig information via gratis oversættelsestjenester som Google Translate og Microsofts translate.com.

At det sker kan vel ikke komme som nogen overraskelse for nogen - ej heller at tjenesterne bruges så meget som de åbenbart gør. "Verden bliver større og større" og i mit daglige arbejde har jeg jævnligt brug for at oversætte imellem dansk, tysk, engelsk, russisk, hollandsk og ja ... nogle gange også svensk.

Motivationen til at bruge disse tjenester opleves i mange virksomheder og organisationer - og årsagen er som oftest den samme:

Organisationens IT-afdeling har ikke vist rettidig omhu og har ikke givet brugerne værktøjer, som er nemme at bruge.

Hos os oplever vi nøjagtig den samme mekanisme. For bare at nævne nogle af dem, så anvendes der Dropbox, Google Drive, Google Docs, Onedrive (den personlige), VNC, TeamViewer, join.me, linoit, prezi, Slack, YouTube, Vimeo, ... alt sammen selvom vi faktisk har værktøjer i vores IT-portefølje, der punkt for punkt kunne være et alternativ. Vores eksisterede vidensdelingsplatform var en pain (for nogle), og derfor fandt nogen på at tage Wordpress i brug og vi har også en MediaWiki-installation kørende. De sidstnævnte viste sig dog at være så gode alternativer, at de nu er indlemmet i vores applikationsstack og driftes nu af os selv.

Af og til forsøger vi at rydde op og gøre folk opmærksomme på problematikken ... men det er i hvert fald mit indtryk, at effekten flader ud efter ganske få måneder ... eller uger!

Vi kunne sådan set godt begynde at blokere for disse tjenester - men det ville primært give utilfredse medarbejdere ... og i virkeligheden peger pilen éntydigt på os som IT-organisation:

Medarbejdere er som vand - de finder altid den letteste vej at komme fra "A" til "Z".

... og så længe de kan tilbagelægge vejen med et værktøj, der *ikke *er "godkendt" ... så vil de gøre det.

Vi kan lige så godt indse det - med mindre vi giver vores medarbejdere nogle værktøjer, der er lette at bruge og som de oplever hjælper dem i deres daglige arbejde, så risikerer vi, at vores fortrolige data ender i skyen.

Punktum.

Hvordan håndterer I det?

Kommentarer (14)
Flemming Riis

-Organisationens IT-afdeling har ikke vist rettidig omhu og har ikke givet brugerne værktøjer, som er nemme at bruge.

Eller har ikke fået tid eller budget til at teste tingede , og det er typisk deres ansvar at tænke på hele forretningen og ikke en brugers utålmodighed

-og så længe de kan tilbagelægge vejen med et værktøj, der *ikke *er "godkendt" ... så vil de gøre det.

Hvilket er sindsygt med det trussels niveau der findes.

Det er ingen tvivl om at core it kan arbejde hurtigere mange stedet end de gør men at folk downloader flavor of the month app med lokal admin rettighedder er også en glidebane.

Jesper Lund Stocholm Blogger

Eller har ikke fået tid eller budget til at teste tingede , og det er typisk deres ansvar at tænke på hele forretningen og ikke en brugers utålmodighed


Klassisk undvigemanøvre :-)

Hvilket er sindsygt med det trussels niveau der findes.

Det er ingen tvivl om at core it kan arbejde hurtigere mange stedet end de gør men at folk downloader flavor of the month app med lokal admin rettighedder er også en glidebane.


Min pointe er jo nok, at man godt kan sætte sig hen i hjørnet og vende det hvide ud af øjnene over de idiotiske brugere (jeg siger ikke, at du gøre det), men det er i mine øjne langt mere proaktivt at håndtere brugernes tåbelige opførsel.

Eller har ikke fået tid eller budget til at teste tingede , og det er typisk deres ansvar at tænke på hele forretningen og ikke en brugers utålmodighed

Og med "hele forretningen" MÅ også indgå en risiko-vurdering af konsekvenserne af brugeres adfærd. Hvis man blot tænker "IT" og ikke forholder sig til, at - når man ikke leverer varen - så bliver brugerne kreative og potentielt udsætter virksomheden for farer, så fejler man.

Flemming Riis

men det er i mine øjne langt mere proaktivt at håndtere brugernes tåbelige opførsel.

Ja naturligvis , det skal bare også være fornuft i det , det nytter ikke noget at man vælger 10 forskellige cloud file sync tools , hvis man kan købe dropbox med 2fa og så alle er glade

Classic IT kan ikke følge med og derfor skal de hjælpe med at finde tools

Men at acceptere at man bare lige installere det fil sync tool man lige har lyst til er aldrig noget jeg kommer til at forstå.

Claus Juul

For hver uautoriseret tjeneste der opdages, stilles ledelsen spørgsmålet: vil i acceptere brugen af denne tjeneste, med de dertil hørende risici, for at følsomme data havner der (og evt gdpr bøde) eller skal vi blokere for brugen eller skal vi implementere en data loss prevention løsning der kan reducere risikoen for at følsomme data havner på denne tjeneste.

Når der blokeres kan der selvfølgelig også arbejdes med at implementere en interne alternative løsning.

Ivo Santos

Alle burde vel vide at fortrolige informationer er fortrolige informationer, og derfor er det ikke ligegyldigt hvordan man behander disse dokumenter og hvilken tjenester man benytter i samme forbindelse.

Under normale omstændigheder er der nok ikke nogen i en virksomhed som sådan bare uden videre udleverer fortrolige dokumenter til fremmede personer, men, det er reelt det man gør når man benytter tjenester så som Google oversæt, eller translate.com.

Her er et godt eksempel på hvorfor man ikke uden videre bør bruge offentlige tjenester:
taget fra https://www.translate.com/legal

Please do not submit Content that may contain crucial confidential information, such as medical records, as we do not guarantee confidentiality.

... contain crucial confidential!!! Egentlig burde dettte stykke tekst stå med store bogstaver på forsiden, men der er vel en grund til at denne tekst ikke står på forsiden, men derimod er gemt godt væk af vejen i en underside som ingen alligevel besøger.

Skal man have oversat fortrolige dokumenter eller lign. så er det bedste nok at man laver en fælles aftale med et firma, og sørger for at de behandler ens dokumenter på en fortrolig måde, det koster naturligvis mere men så har man da i det mindste muligheden for at hive det pågældende firma lækker fortrolige information på nettet eller et andet sted, og det er jo det man ikke kan med f.eks. Google, eller andre tjenester.

Claus Juul

Alle burde vel vide at fortrolige informationer er fortrolige informationer

Jeg tror næppe alle ved det. Jeg kan se at mindst en lærer på mine børns skole anvender Facebook til at dele billeder med forældrene. Billeder hvor personerne er identificerebare er omfattet af persondataloven og GDPR, ergo ved læreren ikke at det faktisk er persondata.

Denny Christensen

Ikke mere klassisk undvigemanøvre at det er korrekt... den stadige besparelse og de dyre IT ressourcer får naturligt en leder til at drible uden om IT - til gengæld kaster man samtidig den viden og de dyder IT folkende har væk og begår prik de samme fejl som IT folket har lært af.

Jeg kan nemt bygge en carport, og en trænet tømrer ville gøre det nemmere, hurtigere og billigere - og korrekt :)

Mogens Kühn Pedersen

Professionelle udviklere burde have en ret og pligt til at holde sig fagligt a jour i et særligt udviklingsmiljø.
Brugere, der vil prøve nye applikationer, er i dag ilde stedte med den ringe udbredelse af SW-certifikater med angivelse af porte, api'ere, etc. som forståeligt kunne beskrive et "standard" risikoniveau i den enkelte applikation.
Men alle har problemet: Data.
Har vi alle ikke et problem med at "sikre" data for utilsigtet - vilkårlig - udbredelse bl.a. pga manglende eller mangelfuld sporbarhed og dermed også opdagelse af data-tyverier? Data er kilde til værdi. Hvis vi kunne lære at omgås data som "store- seddel-kontanter" kunne meget være vundet?

Jesper Lund Stocholm Blogger

... og denne artikel viser så med al tydelighed, at uanset hvor meget vi forsøger at beskytte os - på den ene eller den anden måde, så vil brugere finde på måder at dumme sig på.

Having some transparency about security problems with software is great, but Adobe's Product Security Incident Response Team (PSIRT) took that transparency a little too far today when a member of the team posted the PGP keys for PSIRT's e-mail account—both the public and the private keys

https://arstechnica.com/information-technology/2017/09/in-spectacular-fa...

Log ind eller Opret konto for at kommentere