Firmy a technologie

Stínové IT: světlá, temná i neschválená strana osobních zařízení

15 min. čtení

Stínové IT – či anglicky Shadow IT – je plíživým problémem, který může podkopat bezpečnost firmy přímo před nosem IT oddělení.

Pravděpodobně jste už někdy slyšeli o zásadách „Bring Your Own Device“ (BYOD), které umožňují zaměstnancům používat jejich osobní zařízení pro pracovní účely. Přestože jsou tato zařízení pro interní systém „cizí“, jsou pečlivě spravována a klíčová pro zachování integrity interních systémů firem, které je provozují. 

Jelikož to někteří zaměstnanci, na které se BYOD vztahuje, vnímají mimo jiné jako zásah do svého soukromí, ti méně nadšení si mohou říct: co moje IT oddělení nevidí, to ho nebolí. Zaměstnanci neznalí firemní politiky začnou přistupovat k firemní síti s neprověřenými zařízeními, aniž by mysleli na nevyhnutelné dopady. 

Tato zařízení se nazývají „shadow IT“ neboli v češtině stínové IT. Pro mnoho organizací jde o bezpečnostní slepou skvrnu. 

Klíčové body tohoto článku
  • Stínové IT je mnohostranným problémem, kterému čelí firmy všech velikostí, a to i v prostředích, kde jsou vlastní soukromá zařízení povolena.
  • Nesledovaná zařízení a softwarová řešení představují pravděpodobná bezpečnostní rizika, která mohou vést k nenápadným incidentům.
  • Přesto může být stínové IT také přínosné – například při zavádění nových technologií, nových způsobů jejich využití, být katalyzátorem vyšší produktivity a pomoct odhalit bezpečnostní mezery. 

Proč je stínové IT cestou do propasti? 

Stínové IT představuje víc než běžné domácí notebooky připojené k firemním sítím. Ve skutečnosti tento termín může zahrnovat několik různých typů zařízení, a dokonce i softwarová řešení nebo služby. Jedná se přitom jak o cloud a jeho úložiště, tak o asistenty generativní umělé inteligence. Zpravidla si tyto nástroje náhodní zaměstnanci sami označí jako „v pořádku“ a používají je bez toho, aniž by požádali o povolení. 

Podle společnosti Cisco používá téměř 80 % koncových uživatelů v práci software, který nebyl schválen IT oddělením. Dokonce 83 % IT pracovníků používá neschválený software nebo služby. 

Důvodů je více. Řadoví zaměstnanci zjistí, že firemní řešení nejsou dostatečně flexibilní, aby jim pomohla dosáhnout vyšší produktivity. A zažádat o povolení k použití například bezplatného softwaru uznávaného v oboru se může zdát zbytečně namáhavé a zdlouhavé. 

Podobně i IT profesionálové mohou mít pocit, že jejich současné nástroje nejsou na úrovni potřebné k efektivní práci. To souvisí i s příkladem z úvodu — správa zařízení se může některým zdát příliš omezující a mohou se obávat o své soukromí. 

Studie z roku 2023 ukázala, že až 69 % zaměstnanců obchází pokyny kybernetické bezpečnosti, přičemž 74 % z nich je ochotných je obejít, aby dosáhli svého pracovního cíle. 

Za každou zásadou řízení rizik však stojí důvod, proč existuje. Neprověřená zařízení mohou představovat bezpečnostní rizika, protože jejich ochrana pravděpodobně nesplňuje firemní standardy. 

Stínové IT může zároveň představovat náklady nad rámec běžného rozpočtu společnosti – údajně může tvořit přibližně 50 % IT výdajů ve velkých firmách. Jelikož tyto výdaje nejsou součástí pravidelného ročního rozpočtu, pravděpodobně nejsou nezbytné. 

Zabezpečení ve firmě se stínového IT netýká 

Organizace obvykle používají více řešení nebo služeb k ochraně pracovních zařízení. Může se jednat například o řešení ESET Endpoint Security spolu s technologií ESET Inspect pro lepší vizualizaci a kontrolu stavu, a také ochranu pracovních mobilních telefonů ESET Mobile Threat Defense.

 ESET PROTECT

Díky jednotnému přístupu z platformy ESET PROTECT můžete snadno monitorovat a spravovat všechna mobilní zařízení ve vaší firmě. K dispozici máte řadu bezpečnostních funkcí, jako je Anti-malware, Anti-phishing nebo Anti-theft, ale také bezproblémové nasazení a správu.

DOZVĚDĚT SE VÍCE

To vytváří bezpečné prostředí, ve kterém tyto nástroje snadno odhalí škodlivou aktivitu. Kontrolují nesrovnalosti související s existujícími pravidly nebo neobvyklé chování, například když zaměstnanec nainstaluje zranitelný ovladač (který v nejhorším případě znamená přítomnost EDR killeru). 

Neschválená zařízení nic z této péče nemají: žádné automatické záplatování zranitelností, téměř nulovou obranu proti pokročilým hrozbám kvůli neexistujícímu přístupu SOC týmu a otevřené dveře k firemním datům pro každého ochotného útočníka. 

Stínové IT je navíc také problémem z hlediska compliance, protože nemonitorované aplikace či zařízení pravděpodobně budou vynechány při povinných auditech kvůli pojištění nebo zákonnému reportování. 

Jedná se o obzvlášť velký problém, protože zaměstnanci mohou snadno přenést firemní dokumenty na osobní USB disk, nahrát je do osobního cloudu nebo v nejhorším případě vpustit malware do firemní sítě prostřednictvím kompromitovaného zařízení. S takovými možnostmi se pravděpodobnost incidentu blíží jistotě. 

Podle zprávy IBM Cost of a Data Breach Report z roku 2025 jsou neschválené AI služby zodpovědné až za 20 % bezpečnostních incidentů. To zvyšuje náklady na jejich řešení o 670 000 USD a vede také ke zneužívání duševního vlastnictví a osobních údajů. 

Světlá i temná strana 

Stínové IT však nelze úplně zavrhnout. I když je určitě rizikové, má i některé výhody, například: 

  • Zvýšení produktivity: Ti, kteří hledají vyšší efektivitu a produktivitu, ji mohou najít v neschválených produktech, které používají.
  • Odhalení technologických mezer: Možná dostupné nástroje skutečně nestačí a individuální volby zaměstnanců mohou informovat firemní IT o vhodných alternativách.
  • Náklady: Buďme upřímní, dnes je všechno drahé. Počítače, telefony, SaaS … a náklady stále rostou. Pokud se firmy nemusí zavázat k větším nákupům, mohou dlouhodobě ušetřit.
  • Lepší monitorování bezpečnosti: Zavedením nových prvků do firemního prostředí mohou bezpečnostní pracovníci lépe pochopit, jak řídit externí rizika, a získat lepší přehled o tom, co je nebo není rizikové chování zaměstnanců. 

Jak si poradit se stínovým IT 

Problém se stínovým IT spočívá v tom, že je obtížné posoudit jeho rozsah v rámci organizace. 

Kvůli velkému počtu zařízení a programů, které se pravděpodobně používají, je jejich audit téměř nemožný. Téměř. U softwaru nainstalovaného na pracovních počítačích to může být snazší, protože ty už mají vzdálenou správu nebo bezpečnostní software, ale u neautorizovaných zařízení to bude pravděpodobně složitější. 

Chytré firmy tento vektor možného útoku řeší prostřednictvím segmentace sítě (například formou guest Wi-Fi) a správy přístupu (vyžadující chráněné VPN pro přístup k interním serverům). Nezabrání to však lidem kopírovat nebo posílat soubory na neautorizovaná místa, což rizika opět násobí. Proto je nutné dát na první místo prevenci.

Ze stínu ven 

Aby firmy bojovaly proti stínovému IT a zároveň řešily produktivitu zaměstnanců, měly by: 

Prosazovat interní zásady: Firmy mohou zvýšit povědomí zaměstnanců a snížit nároky na svou odpovědnost tím, že budou jasně komunikovat očekávání ze strany IT, a to včetně možných sankcí.

Zaměřit se na povědomí o bezpečnosti: Školení kybernetické bezpečnosti by měla vysvětlit rizika spojená s neprověřenými zařízeními nebo aplikacemi a přistupovat k tomuto tématu jako ke klíčovému. 

Zjistit postoj zaměstnanců: Je pravděpodobné, že zaměstnanci mají oprávněné důvody pro používání stínového IT. Zjistěte jejich názor a zmapujte jejich zkušenosti k posouzení příležitostí pro lepší návratnost investic spojenou s používáním produktů. 

Doladit monitorování: Nemáte na stínových zařízeních nainstalované aktivní monitorování? Žádný problém. Pokud se daní zaměstnanci připojují k firemním sítím, jednoduše skenujte aktivitu a provoz sítě, abyste odhalili podezřelé chování. U potenciálně nežádoucích aplikací nebo služeb může být velkou pomocí buď nainstalovaný bezpečnostní produkt, nebo monitorovací nástroj.

Expertní tipy a postřehy ke stínovému IT 

„Zaměstnanci už léta používají neschválené nástroje – známé jako stínové IT – aby obešli byrokracii a pomalé interní procesy, které zdržují zavádění technologií. Při hledání nových řešení ke zvýšení produktivity tento přístup často vkládá skrytá rizika do prostředí organizace, která přetížené oddělení IT a bezpečnostní týmy nemohou pokrýt. Časté zavádění nových, výkonných a uživatelsky přívětivých nástrojů umělé inteligence tento trend výrazně posílilo, což vede k tomu, že organizace bojují s identifikací a řízením neznámých hrozeb zabudovaných do jejich produktů a infrastruktury.“ 

„Teprve čas ukáže skutečný dopad stínového IT a AI na procesy, produktivitu, ochranu dat, bezpečnost a kvalitu produktů. Jednou z oblastí, která zvlášť vzbuzuje obavy, jsou softwarové produkty, kde kód generovaný pomocí AI a praktiky jako vibe coding mohou opětovně zavádět nezabezpečené návrhy a zranitelnosti. Přestože může stínové IT podporovat inovace, pokud není správně řízeno, může se stát zátěží, která potenciálně povede k vážným incidentům nebo v nejhorším případě ke katastrofálnímu selhání organizace.“ 

– Ondrej Kubovič, ESET Security Awareness Specialist

Rozuzlení

Je stínové IT problém? Záleží na úhlu pohledu. I když se jedná o problémový faktor, který znásobuje riziko úniku dat nebo kompromitace, existuje i jeho pozitivní stránka. Pravděpodobně nedává smysl zakázat všechny stínové aplikace, ale lze třeba využít jejich používání k lepšímu rozhodování ohledně nákupu zařízení nebo softwaru. Může například podnítit i tvorbu interních zásad týkajících se BYOD. 

Čtěte více