Om die reden heb ik de afgelopen maanden bij SURF onderzoek gedaan naar de cybersecuritygevolgen van schaduw-ict binnen het hbo en het wo. Onder schaduw-ict vallen ict-middelen die zonder goedkeuring of medeweten van ict-afdelingen worden gebruikt. In het onderzoek zijn 11 interviews afgenomen met diverse personen uit het werkveld. Denk hierbij aan netwerkbeheerders en CISO’s. In deze blog deel ik de resultaten van dit onderzoek en beschrijf ik mogelijke oplossingen om de risico’s van schaduw-ict binnen je instelling te beperken. De belangrijkste conclusie is dat de cybersecuritygevolgen van schaduw-ict heel divers zijn, en sterk afhankelijk van de preventie-, detectie- en mitigatiemaatregelen die instellingen al genomen hebben. De rol van schaduw-ict in het dreigingslandschap kan zeer goed beheersbaar zijn als de instelling rekening houdt met het bestaan ervan.
Wat is schaduw-ict?
Schaduw-ict omvat hardware, software of diensten die voor werkzaamheden worden ingeregeld, ingevoerd en/of gebruikt zonder uitdrukkelijke goedkeuring of medeweten van de organisatie [1]. Een concreet voorbeeld van schaduw-ict is bijvoorbeeld een afdeling die een Google Workspace opzet, terwijl een instelling officieel Office 365 gebruikt. Of tools als Miro en Mentimeter, die door docenten als experiment worden gebruikt, voordat ze worden aangeschaft. Maar denk ook aan onderzoekers die een AWS-instance of eigen-gehoste website gebruiken voor hun onderzoek, zonder dat de ict-afdeling weet wat er gebeurt.
Risico’s van schaduw-ict
Schaduw-ict brengt verschillende risico’s met zich mee, waarbij ik me heb gefocust op de informatie- en netwerkbeveiligingsrisico’s. Op basis van interviews met verschillende instellingen heb ik de mogelijke ‘aanvalspaden’ gemodelleerd. Hieruit kwamen drie soorten scenario’s van security-incidenten naar voren die veroorzaakt of verergerd kunnen worden door schaduw-ict.
-
De klassieke hack van het netwerk, toegang door een derde
Schaduw-apparaten die direct met het internet worden verbonden (denk aan IP-camera’s en servers) zijn kwetsbaar voor aanvallen. Schaduw-apparaten hebben bijvoorbeeld niet de laatste beveiligingsupdates, firewall, antivirus, logging of toegangsbeheer; omstandigheden waar kwaadwillenden makkelijk gebruik van kunnen maken.
-
Gebrek aan controle over de gegevens
Gegevens op onversleutelde schaduw-apparaten kunnen op straat komen te liggen bij verlies. Ook gebrek aan goed doordachte toegangsbeveiliging op apparaten of in de cloud kan leiden tot onbevoegde toegang. Daarnaast kunnen gegevens worden gebruikt voor commerciële doeleinden of zomaar verwijderd worden, doordat er geen duidelijke afspraken gemaakt kunnen worden met een leverancier waar je als instelling geen contract mee hebt.
-
Interne problemen met gegevenstoegang en processen
Wanneer data wordt opgeslagen op een schaduw-ict-oplossing, kan het voorkomen dat de data niet voldoende is afgeschermd. Denk hierbij aan studenten die bij elkaars opdrachten of zelfs hun eigen cijfers kunnen. Daarnaast kan bijvoorbeeld de verplichting om onderwijsresultaten zeven jaar te bewaren niet worden nageleefd, of ontstaan er problemen in de bedrijfsvoering omdat niet iedereen hetzelfde, officiële, systeem als ‘bron van waarheid’ gebruikt.
Samenvatting en aanbevelingen
Uit het onderzoek kwam duidelijk naar voren dat er nauwelijks er ict-systemen zijn waar geen schaduw-versie van wordt gebruikt. Daarnaast zien we dat de risico’s van schaduw-ict heel erg afhankelijk zijn van welke mitigerende maatregelen er al zijn genomen: verschillende instellingen hebben hele verschillende problemen, afhankelijk van welke strategieën worden toegepast voor het voorkomen, detecteren en mitigeren van problemen.
Instellingen in het onderzoek die op een doordachte manier omgaan met schaduw-ict doen dat door in eerste instantie te accepteren dat het een inherent onderdeel van de ICT-omgeving van een open en vrije kennisinstelling is, en vanuit daar verder te denken over het mitigeren van risico’s. Het verbannen van schaduw-ict is zelden wenselijk. In het beste geval leidt het tot ontevreden medewerkers die hun werk minder goed kunnen doen, maar het meest waarschijnlijke scenario is dat je simpelweg nog meer schaduw-ict krijg, met nog minder zicht er op. Er zijn een aantal concrete aanbevelingen te doen:
Zorg dat de basismaatregelen worden gehanteerd
Er zijn diverse manieren om de risico’s van schaduw-ict problemen te beperken. De bekende basismaatregelen beperken de risico’s aanzienlijk. Denk daarbij aan MFA op alle accounts, extra authenticatie op beheerdersaccounts en werkomgevingen, netwerksegmentatie, zero-trust principes en goed doordacht wachtwoordbeleid. Ook is het verstandig om security-checks standaard onderdeel te maken van bestaande processen.
Daarnaast is scanning en detectie van belang om ongewenste effecten van schaduw-ict op tijd op te merken. Op managed apparaten, om zicht te houden op gebruikte software; binnen het netwerk, om zicht te houden op unmanaged apparaten en het soort verkeer wat ze genereren; en van buitenaf, om te controleren of er geen schaduw-ict is die als toegang tot het netwerk zou kunnen dienen. Verschillende instellingen geven aan de negatieve effecten van schaduw-ict hiermee grotendeels te beperken, zonder onderzoekers, studenten en docenten veel beperkingen op te hoeven leggen.
Zorg dat medewerkers ergens terecht kunnen met hun ict-gerelateerde ideeën
Een grote bron van schaduw-ict bleek te komen vanuit goedbedoelde pogingen van docenten en onderzoekers om met vernieuwende tools en apps aan de slag te gaan. Een oplossing om dit in goede banen te leiden, wederom aangedragen vanuit instellingen die hier al succes mee hebben, is zorgen dat medewerkers ergens terecht kunnen als ze hun instelling willen versterken met technologie. Naast dat dat verantwoord gebruik kan helpen, zorgt het er ook voor dat nieuwe behoeftes sneller worden opgemerkt. Dat kan een kundige Servicedesk zijn, maar vaker wordt dit gedaan door een los opgezet centrum of netwerk die hier ervaring en expertise mee heeft.
Maak ict zo gebruiksvriendelijk mogelijk
Bovenal zijn er lessen te trekken over hoe gebruiksvriendelijkheid van ict kan voorkomen dat mensen met andere systemen aan de slag gaan. Voorkom dat ze schaduw-ict nodig denken te hebben! Bied centrale diensten aan die beter en/of goedkoper zijn dan het schaduw-alternatief, en zorg dat mensen die diensten en de ondersteuning weten te vinden. Zorg dat mensen hun managed apparaat niet als traag en beperkend ervaren doordat je te veel probeert aan te passen. Ook hier geldt: liever je gebruikers op een licht-gemanagede werkplek, dan een flink aangepaste laptop die niemand gebruikt. Dan kan je de veiligheid van de onvermijdelijke schaduw-ict ook beter bewaken. Het klinkt wellicht als een open deur: voorkom problemen met schaduw-ict door de officiële ict aan te laten sluiten op de behoeftes. Toch is dit iets waar security-mensen zich niet altijd verantwoordelijk voor lijken voelen, maar misschien wel interesse in zouden moeten hebben.
Vervolg op het onderzoek
De volledige scriptie en een daaruit volgende publicatie zijn binnenkort openbaar, en nu al te downloaden via https://edu.nl/683h9. Als vervolg op mijn scriptie gaan er bij de UU-onderzoekers aan de slag met vraagstukken rondom het managen van facultaire ict, zero-trust en Mobile Device Management. Ikzelf ben ondertussen bij SURF gaan werken, als technisch productmanager van onze securitydiensten, en binnen het Security Expertise Centrum om instellingen te helpen met het vergroten van hun cyberweerbaarheid.
Uitgebreide resultaten van mijn onderzoek zal ik delen op de TNC23 conferentie van GÉANT, dat 5-9 juni plaatsvindt in Albanië. Dit zal ik eveneens doen op de SURF Security- en Privacyconferentie, die 29 en 30 juni plaatsvindt bij de Hogeschool Utrecht. Laat me weten als je nog vragen of suggesties hebt na het lezen van dit blog, dan gebruik ik dat als input voor die presentaties.
[1] Haag, S., & Eckhardt, A. (2017). Shadow IT. Business & Information Systems Engineering, 59(6), 469–473. https://doi.org/10.1007/s12599-017-0497-x
0 Praat mee