Привет, Хабр.
Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен» — системы учета и контроля ИТ-инфраструктуры. В этой статье хочу разобрать одну из самых устойчивых и при этом недооцененных проблем корпоративных ИТ — несанкционированную установку программного обеспечения, Shadow IT.
Во многих компаниях такие установки до сих пор воспринимаются как частный вопрос дисциплины: кто-то поставил лишнее, кто-то обошел регламент. На практике это не отдельные инциденты, а системное явление, которое напрямую влияет и на безопасность, и на управляемость инфраструктуры.
По нашим наблюдениям, в значительной части организаций сотрудники самостоятельно устанавливают рабочий софт, не проходящий централизованное согласование. Причем речь идет не только о специализированных инструментах, но и о вполне привычных вещах: офисных приложениях, утилитах для обмена файлами, удаленного доступа, аналитики и совместной работы.
Важно понимать: в большинстве случаев здесь нет злого умысла. Причины почти всегда лежат в устройстве процессов. Бизнес развивается быстрее, чем ИТ-регламенты, и людям нужно решать задачи здесь и сейчас. При этом согласование нового ПО может занимать дни или недели. Отдельный фактор — работа с подрядчиками, которые устанавливают их в инфраструктуре заказчика привычные им инструменты.
Еще один распространенный сценарий — передача техники между подразделениями. Устройство меняет владельца, а установленное ранее ПО остается без пересмотра. В результате в инфраструктуре постепенно накапливается слой неучтенного и неавторизованного программного обеспечения.
Суть проблемы
Опасность Shadow IT выходит далеко за рамки формального несоблюдения регламентов. На практике риски лежат сразу в трех плоскостях: информационная безопасность, соблюдение требований законодательства и управляемость инфраструктуры.
С точки зрения ИБ несанкционированные установки создают прямые каналы для проникновения вредоносного кода. Бесплатные и условно бесплатные приложения из открытых источников нередко содержат трояны, шпионские модули или уязвимости, которые не закрываются корпоративными средствами защиты. Такие программы часто обходят политики обновлений, не получают патчи и остаются вне поля зрения службы безопасности.
Отдельная угроза — сохраненные доступы. Приложения могут хранить учетные данные, токены доступа к корпоративным сервисам и облачным хранилищам. Если устройство перестает обслуживаться или выпадает из-под контроля ИТ-службы, риск утечки данных и несанкционированного доступа возрастает кратно.
Вторая группа рисков связана с соблюдением законодательства и лицензионной чистоты. Использование нелицензионного ПО или превышение числа установок может привести к претензиям правообладателей. При этом аргумент «мы не знали, что это установлено» не освобождает компанию от ответственности. В случае проверок бизнесу приходится в режиме пожара закупать лицензии, оплачивать штрафы и устранять нарушения.
Для многих отраслей критично и соблюдение требований по защите информации и персональных данных. Неучтенное ПО усложняет выполнение требований законодательства и отраслевых стандартов, потому что компания не может точно подтвердить, какие системы обрабатывают данные и какие меры защиты применяются.
Третья проблема — потеря управляемости инфраструктуры. Когда ИТ-служба не имеет полной и актуальной картины установленных программ и устройств, становится невозможно эффективно управлять обновлениями, доступами и затратами. Инциденты в таких условиях выявляются постфактум, и действия по исправлению ситуации начинаются после того, как проблема произошла.
Почему запреты не работают
На практике попытки решить проблему исключительно запретами редко дают устойчивый эффект. Даже самые жесткие регламенты не работают, если у компании нет инструментов, которые позволяют видеть фактическое состояние инфраструктуры: какое ПО установлено, где оно используется и кто за него отвечает.
Теневые ИТ появляются не из-за плохих сотрудников. Это симптом того, что инфраструктура развивается быстрее, чем механизмы контроля.
С чего начинать снижение рисков
Снижение рисков, связанных с теневыми ИТ, начинается не с усиления периметра и не с новых запретов, а с базового учета. Пока компания не может ответить на простой вопрос о том, что реально установлено и используется в ее ИТ-ландшафте, любые меры по безопасности и соответствию требованиям остаются фрагментарными.
Именно поэтому инвентаризация ИТ-активов и программного обеспечения становится фундаментом для контроля. Она позволяет выявлять несанкционированные установки, снижать уязвимости, приводить использование ПО в соответствие с лицензиями и возвращать управляемость инфраструктурой до того, как риски реализуются в виде утечек, штрафов или простоев.
Комментарии (15)
V-core
03.03.2026 07:47Разрешение на установку, запуск any .exe зависят от требований ИБ.
Если эти правила корректно прописаны, то не ленивый админ с лёгкостью их реализует.
dantrusov10 Автор
03.03.2026 07:47Групповые политики и запрет запуска .exe - важный слой защиты, спору нет.
Но на практике в крупных компаниях всегда есть исключения: подрядчики, разработчики, тестовые среды, legacy-системы. Плюс остаются браузерные сервисы и SaaS, которые технически не блокируются такими методами.
Поэтому мы скорее говорим о комплексном подходе: политики + прозрачность фактической картины + понятный процесс согласования.
UniInter
03.03.2026 07:47Массу проблем безопасности при самостоятельной установке и эксплуатации софта на рабочий компьютер решает антивирус. За 25 лет моей офисной работы в it-компаниях корпоративный антивирус стоял везде. И в каждой компании кроме крайней у меня были админские права. А я даже не сисадмин по профессии. В одной международной компании в первый день работы мне просто выдали чистый компьютер и несколько дистрибутивов разных ОС на дисках на выбор. Дальше сам и полная свобода. В крайней компании свободы меньше - установка программ через Техподдержку. Но я выкручиваюсь с помощью портабельных сборок.
По большому счету и антивирус-то не обязателен. Последние 8 лет дома живу без него. Безопасность поддерживаю одной легкой программкой, которая в фоне следит за разными местами автозагрузки и извещает, если кто-то хочет в нее попасть. Сомнительные но нужные для посещения сайты исследую в VirtualBox.
Itkir
03.03.2026 07:47Потому что не все ИТ-службы осиливают групповые политики и не забирают админские права у пользователей?
dantrusov10 Автор
03.03.2026 07:47Отчасти так и есть — техническая дисциплина сильно влияет на масштаб проблемы.
Но даже при жестких политиках остаются SaaS-сервисы, portable-версии, удаленные подключения и подрядчики. Поэтому вопрос обычно не только в админских правах, а в общей зрелости процессов управления ПО.
NoName_13
03.03.2026 07:47Ни один антивирус не спасёт от 3,14здеца т.к. если понадобится - взломают в любом случае (истории с банками тому подтверждение). И хоть ты забирай права админа хоть не забирай - взломать могут на ура или чего более весёлое начудить
PereslavlFoto
03.03.2026 07:47Еще один распространенный сценарий — ПО необходимо для работы, однако IT-отдел не умеет его установить, а на покупку лицензионной версии не хватает денег.
dantrusov10 Автор
03.03.2026 07:47Да, это тоже распространенный сценарий. Когда ИТ не могут оперативно развернуть нужное решение или бюджет не согласован, бизнес начинает искать обходные пути. Здесь важно не только запрещать, но и выстраивать прозрачный процесс оценки потребностей и тестирования ПО. Иначе теневая ИТ-инфраструктура будет расти естественным образом.
PereslavlFoto
03.03.2026 07:47Оценка потребностей очень простая. Потребности назначает учредитель. А если сотруднику что-нибудь нужно, он может сам это купить.
VenbergV
03.03.2026 07:47Потому-что неправильно оформлены юридически обязывающие документы с сотрудником.
На моей жизненной практике только это заставляет человека сначала думать, а потом может быть делать.
Чисто технические ограничения работают зачастую плохо, если не подкреплены юридически.
Сотрудник имеет физический доступ к оборудованию и технически ему ни что не помешает творить на нем что угодно.dantrusov10 Автор
03.03.2026 07:47Согласен, юридическая фиксация ответственности важна. Но по нашему опыту, одних запретов и подписанных документов недостаточно, если процесс получения нужного инструмента для работы остается сложным.
Самая устойчивая модель - когда есть и понятная ответственность, и прозрачный механизм легального получения нужного ПО.
hard_sign
03.03.2026 07:47И что, многие соглашаются работать с такими юридическими ограничениями? Или просто их не читают?
Belibak
03.03.2026 07:47Отличное решение. Запретить решать задачи нормальнвми средствами. Предоставить "бересту и уголек". И требовать немедленного решения задач. Всем аставить зонд. Несогласным сломать руку в 4х местах, чтоб удобнее было делать через жопу. Профит неизбежен.
DDoroninX
Теневой ИТ почти всегда вырастает не из злого умысла, а из скорости бизнеса. Когда согласование нового ПО занимает недели (иногда даже месяцы и годы:)), люди просто находят способ решить задачу быстрее.
В статье правильно акцент на инвентаризации и контроле активов — без понятной картины по используемому и установленному софту дальше разговаривать бессмысленно. Но по опыту, одних инструментов мало, если процесс выбора и внедрения софта остаётся тяжёлым, эта вся теневая история будет воспроизводиться.
dantrusov10 Автор
Согласен, именно об этом и хотели сказать, инструменты без изменений в процессе не работают.
Если согласование нового ПО длится неделями, пользователи все равно найдут способ обойти регламент. Поэтому инвентаризация — это только первый шаг: она дает фактическую картину. А дальше уже вопрос к зрелости процессов выбора, тестирования и ввода ПО в эксплуатацию. В идеале контроль и скорость бизнеса не должны конфликтовать.