Shadow IT в компании: как выявить несанкционированные доступы
Shadow IT в компании: как выявить несанкционированные доступы
Ваши сотрудники прямо сейчас используют сервисы, о которых IT-отдел ничего не знает.
Маркетологи загружают клиентские базы в ChatGPT и Notion. Разработчики хранят рабочие токены в личных GitHub-аккаунтах. Менеджеры ведут сделки в личных Trello-досках. Бухгалтерия пересылает закрытые отчёты через личную почту на Gmail.
Они делают это не из злого умысла — просто корпоративные инструменты медленнее, неудобнее или недоступны. Но данные компании уже находятся за пределами периметра, и вы об этом не знаете.
Это называется Shadow IT — теневые технологии. И это одна из наиболее недооценённых угроз корпоративной безопасности.
Масштаб проблемы
80%
сотрудников используют хотя бы один несанкционированный сервис
3–5 дн.
доступы уволенного остаются активными в теневых сервисах
от 3 млн
рублей штраф за утечку через неконтролируемый сервис
Что такое Shadow IT и почему это происходит
Shadow IT — это любые технологии, сервисы, приложения и учётные записи, которые сотрудники используют для работы без ведома и одобрения IT-отдела.
Важно понять: это не саботаж и не халатность. Это рациональное поведение людей, которым нужно выполнять работу прямо сейчас, а корпоративные инструменты этому мешают.
Разработчик не может ждать две недели, пока IT одобрит новый инструмент для мониторинга — он регистрируется сам. Маркетолог не может объяснить IT, зачем нужен конкретный SaaS-сервис для аналитики — он подключает его на личную карту. Продавец не хочет возиться с корпоративной CRM — ведёт клиентов в личной таблице.
Результат: корпоративные данные живут в десятках мест, о которых компания не знает, не контролирует и не может защитить.
Три категории теневых доступов
Понимание того, где именно возникает Shadow IT, помогает правильно расставить приоритеты при аудите.
Теневые SaaS-сервисы
Сотрудники регистрируются в облачных сервисах на корпоративную почту или, что хуже, на личную. Notion, Airtable, Figma, Slack-воркспейсы, Trello, различные AI-инструменты — всё это может содержать корпоративные данные.
Особая опасность: когда сотрудник увольняется, его аккаунт в таком сервисе остаётся активным. Данные там тоже остаются.
Теневые учётные записи к корпоративным системам
Бывший сотрудник создал себе дополнительный аккаунт «на всякий случай». Подрядчик получил логин и пароль, и никто не отозвал доступ после окончания работ. Разработчик создал технического пользователя в production-среде и не задокументировал его.
Это особенно опасная категория: речь идёт о несанкционированных входах в системы, которые вы контролируете — но не знаете обо всех учётках.
Теневые каналы передачи данных
Сотрудники пересылают рабочие файлы через личную почту, загружают документы в личный Google Drive, отправляют пароли через Telegram. Данные уходят из периметра не через взлом, а через удобство.
Знаете ли вы, кто сейчас имеет доступ к вашим паролям?
BearPass показывает полную карту доступов: кто, к каким папкам и когда последний раз входил. Журнал событий фиксирует каждое действие. Попробуйте бесплатно.
Многие компании воспринимают теневое IT как проблему дисциплины: «сотрудники нарушают регламент». На самом деле это проблема безопасности с прямыми финансовыми последствиями.
Утечка персональных данных через неконтролируемый сервис. Сотрудник загрузил базу клиентов в облачный сервис, не прошедший проверку безопасности. Сервис взломали. С точки зрения 152-ФЗ ответственность несёт компания — как оператор персональных данных. Штраф от 3 до 15 млн рублей не зависит от того, что сотрудник действовал самостоятельно.
Неотозванные доступы уволенных сотрудников. Менеджер уволился. IT заблокировал его корпоративную почту и доступ к CRM. Но в Notion, куда он загружал презентации для клиентов, у него до сих пор есть аккаунт. И в Figma. И в SaaS-сервисе аналитики, который он подключил сам.
Потеря данных при уходе сотрудника. Вся клиентская переписка велась через личную почту. Все макеты лежат в личном Figma-аккаунте. Когда сотрудник уходит — данные уходят вместе с ним, потому что они никогда не были корпоративными.
Соответствие регуляторным требованиям. Приказы ФСТЭК требуют учёта всех информационных систем, обрабатывающих защищаемые данные. Теневые сервисы не попадают ни в какой реестр — и при проверке это становится проблемой.
Как выявить Shadow IT: пошаговый алгоритм
Шаг 1. Аудит корпоративной почты
Большинство сервисов регистрируются через корпоративный email. Это ваша первая точка входа.
🔍 Попросите IT-отдел выгрузить список всех сервисов, которые отправляли письма на корпоративные адреса за последние 6–12 месяцев. В большинстве почтовых систем это делается через поиск или фильтры.
🔍 Обратите внимание на письма с подтверждением регистрации, уведомлениями о входе, счетами и квитанциями за подписки.
🔍 Отдельно проверьте почтовые ящики уволенных сотрудников — в них могут быть регистрации в сервисах, о которых компания не знает.
Шаг 2. Анализ сетевого трафика
Если в компании есть прокси-сервер или система анализа трафика, запросите отчёт о внешних ресурсах, к которым обращаются сотрудники с рабочих устройств.
🔍 Составьте список доменов с наибольшим трафиком и сопоставьте их с официально одобренными инструментами.
🔍 Обратите особое внимание на облачные хранилища (Dropbox, Яндекс.Диск, Google Drive), AI-инструменты и платформы для совместной работы.
Шаг 3. Опрос руководителей подразделений
IT-отдел не всегда знает, какие инструменты реально используют команды. Прямой разговор с руководителями отделов даёт другую картину.
🔍 Попросите каждого руководителя перечислить все инструменты, которые использует его команда — включая платные сервисы, оплачиваемые с личных карт.
🔍 Задайте прямой вопрос: есть ли инструменты, которые команда использует, но которые не прошли одобрение IT?
Этот разговор работает лучше, когда он подаётся не как проверка, а как возможность легализовать нужные инструменты.
Шаг 4. Аудит учётных записей в известных системах
Параллельно с поиском теневых сервисов нужно проверить, нет ли теневых учётных записей в системах, которые вы уже контролируете.
🔍 Выгрузите полный список пользователей из каждой корпоративной системы.
🔍 Сопоставьте с актуальным списком сотрудников. Учётные записи, не соответствующие ни одному активному сотруднику — под особое внимание.
🔍 Проверьте технических пользователей и сервисные аккаунты: задокументированы ли они, кто их создал и зачем.
Как это упрощает BearPass. В консоли администратора можно в любой момент получить полный список пользователей с их правами, датой последнего входа и историей действий. Пользователи, которые не заходили в систему несколько месяцев — кандидаты на проверку и деактивацию.
Модуль «Правила» позволяет настроить автоматическое уведомление при авторизации пользователя, который давно не появлялся в системе, или при получении доступа к чувствительным папкам.
Шаг 5. Анализ финансовых транзакций
Подписки на SaaS-сервисы оставляют финансовый след. Это один из наиболее надёжных способов выявить теневое IT.
🔍 Попросите бухгалтерию предоставить список транзакций с пометкой «программное обеспечение» или «подписка» за последние 12 месяцев.
🔍 Отдельно проверьте корпоративные карты — какие сервисы списывают с них деньги.
🔍 Выясните, нет ли подписок, оплачиваемых с личных карт сотрудников с последующей компенсацией.
Начните с учётных данных
Централизованное хранение паролей в BearPass показывает полную картину доступов. Вы видите кто, куда и когда заходил — в реальном времени.
Обнаружить теневые сервисы — это половина работы. Дальше нужно принять решение по каждому.
✅ Легализовать
Сервис реально нужен команде, несёт низкий риск. Провести оценку безопасности, добавить в реестр одобренных инструментов, настроить корпоративный аккаунт.
⚠️ Заменить
Сервис нужен, но несёт риски. Найти корпоративный аналог, перенести данные, заблокировать теневой доступ.
🚫 Заблокировать
Сервис несёт высокий риск или не нужен для работы. Заблокировать на уровне сети, уведомить пользователей, настроить мониторинг повторного использования.
🔍 Расследовать
Непонятное назначение или подозрительная активность. Выяснить кто использует, какие данные передавались, оценить возможный ущерб.
При принятии решения о каждом сервисе важно ответить на три вопроса:
🔸 Какие корпоративные данные туда передавались и могли ли они быть персональными?
🔸 Кто из сотрудников имеет доступ и продолжают ли они работать в компании?
🔸 Какой риск создаёт сервис: хранение данных за рубежом, отсутствие шифрования, возможность утечки?
Как предотвратить Shadow IT: системный подход
Выявить и устранить теневое IT — это разовая акция. Чтобы проблема не возвращалась, нужны системные меры.
Shadow IT возникает там, где корпоративные инструменты не справляются с потребностями. Если сотрудники регистрируются в сторонних сервисах для хранения паролей — значит, у них нет удобного корпоративного инструмента. Если загружают данные в личное облако — значит, у них нет удобного корпоративного хранилища.
Как это решает BearPass. Корпоративный менеджер паролей с браузерным расширением, автозаполнением и PWA-приложением на телефоне. Сотрудникам не нужно хранить пароли в браузере, заметках или Telegram — в BearPass это удобнее. Когда удобный инструмент есть, мотивация использовать теневой исчезает.
Настройте централизованное управление учётными данными
Пока пароли хранятся у сотрудников индивидуально, вы не контролируете доступы. Корпоративный менеджер паролей с ролевой моделью — это единый реестр того, кто и к чему имеет доступ.
Как это решает BearPass. Все корпоративные учётные данные — в одном зашифрованном хранилище на вашем сервере. RBAC разграничивает доступы по ролям. Журнал событий фиксирует каждое обращение к паролю. При увольнении — Kill Switch отзывает все доступы мгновенно.
Автоматизируйте offboarding
Большинство «призраков» в системах появляются именно при увольнениях. Ручной процесс неизбежно даёт сбои.
Как это решает BearPass. Интеграция с Active Directory и LDAP синхронизирует управление пользователями: заблокировали в AD — потерял доступ в BearPass автоматически. Журнал событий сохраняет историю действий уволенного сотрудника для последующего аудита.
Настройте мониторинг нестандартного поведения
После наведения порядка важно не потерять его снова. Автоматические уведомления при нестандартных событиях позволяют замечать проблемы раньше, чем они становятся инцидентами.
Как это решает BearPass. Модуль «Правила» настраивает уведомления на почту при конкретных событиях: авторизация нетипичного аккаунта, попытка получить доступ к чувствительной папке, массовый просмотр паролей за короткое время. Вы узнаёте об аномалиях сразу, не при плановом аудите через квартал.
Возьмите доступы под контроль прямо сейчас
BearPass разворачивается на вашем сервере за 1–2 часа. RBAC, журнал событий, Kill Switch, интеграция с AD — всё в базовом тарифе.
Регуляторный аспект: почему Shadow IT — это ещё и юридический риск
Компания несёт ответственность за персональные данные, которые обрабатывают её сотрудники, — вне зависимости от того, в каком сервисе это происходит и знала ли компания об этом.
Если маркетолог загружает базу клиентов в несанкционированный SaaS-сервис, и этот сервис допускает утечку — это утечка данных компании. Штраф по 152-ФЗ в редакции 2025 года составит от 3 до 15 млн рублей. Роскомнадзор не будет разбираться, что это сделал конкретный сотрудник без ведома IT.
Дополнительный риск: нарушение требований ФСТЭК. Приказы №17 и №21 требуют учёта всех информационных систем, обрабатывающих защищаемую информацию. Если теневые сервисы содержат такие данные — это нарушение независимо от того, санкционированы они или нет.
Итог
Shadow IT — это не проблема дисциплины, а проблема удобства и управления. Сотрудники используют теневые инструменты там, где корпоративные не справляются.
Системный ответ состоит из трёх частей: выявить теневые доступы через аудит, устранить их и предотвратить появление новых через удобные корпоративные инструменты с централизованным управлением.
Ключевое звено — учётные данные. Пока пароли хранятся у сотрудников индивидуально, вы не контролируете доступы. Корпоративный менеджер паролей с журналом событий, ролевой моделью и интеграцией с AD — это основа, без которой аудит Shadow IT превращается в разовую акцию без долгосрочного результата.
BearPass — корпоративный менеджер паролей
Возьмите все корпоративные доступы под контроль за одну неделю
RBAC · Журнал событий · Kill Switch · LDAP и Active Directory · Модуль «Правила» On-premise · Реестр отечественного ПО №15427 · Astra Linux · РЕД ОС