De helft van de medewerkers wereldwijd gebruikt tijdens het werk diensten voor de overdracht of opslag van bestanden, zonder dat hun werkgever daarvoor toestemming heeft gegeven. Dit blijkt uit onderzoek van securitytrainingsbureau KnowBe4.
Shadow IT vormt een reëel risico voor organisaties. Dit geldt zeker voor ongeautoriseerde ‘file services’ die niet voldoen aan de veiligheidseisen van bedrijven en instellingen. Kai Roer, chief research officer van KnowBe4, noemt de bevindingen van dit onderzoek zeer verontrustend. ‘Medewerkers handelen onveilig, waardoor organisaties aan grote risico’s worden blootgesteld,’ zegt hij.
KnowBe4 onderzocht het gebruik van ongeautoriseerde clouddiensten voor de opslag van informatie en communicatie op de werkplek. Verder werd gekeken naar het aantal downloads via ongeautoriseerde file sharing-netwerken. Per sector loopt het gebruik van Shadow IT sterk uiteen. Vooral medewerkers van bouwbedrijven en onderwijsinstellingen gebruiken veel ongeautoriseerde software en diensten. Ook ambtenaren nemen nogal wat risico. Voorzichtiger zijn medewerkers van financiële instellingen en technologiebedrijven. Volgens Roer moeten bedrijven hun mensen bewuster maken van de veiligheidsrisico’s.
Filters inbouwen
Tijdens het Mobile World Congress (MWC) onlangs in Barcelona bleek dat veel bedrijven overgaan tot een zogeheten secure access service edge (sase), een omgeving in de cloud met verschillende security-filters. Bedrijven zoals VMware, Cloudflare, Okto en Zscaler verkopen steeds meer van dit soort oplossingen. Ook traditionele leveranciers van firewalls waaronder Cisco, CheckPoint, Juniper en Palo Alto Networks hebben sase omarmd. Met filters is tegen te gaan dat werknemers toegang krijgen tot bepaalde sites of andere software gebruiken dan die door hun werkgever beschikbaar is gesteld.
KnowBe4 laat onvermeld welke diensten voor het delen van bestanden minder veilig kunnen zijn. Maar bekend is dat WeTransfer qua encryptie niet aan de hoogste eisen voldoet waardoor data in verkeerde handen kunnen komen. Zelfs verkeerd gebruik van een populaire dienst kan risico’s met zich mee brengen. OneDrive biedt bijvoorbeelkd de mogelijkheid om naast een zakelijke OneDrive nog een privé OneDrive in te stellen. Het uploaden van bedrijfsdata naar de privéversie houdt het risico van een datalek in. Ook achter een applicatie als Pdf2Go kunnen vraagtekens worden gezet. Alle data die deze app ontvangt, worden namelijk eigendom van Pdf2Go. En niet elk bedrijf zal daar gelukkig mee zijn.
