ما المقصود بتكنولوجيا المعلومات الظلية؟

من أمثلة تكنولوجيا المعلومات الظلية مشاركة ملفات العمل على حساب التخزين السحابي الشخصي، أو عقد اجتماعات من خلال منصة غير مصرح بها لعقد مؤتمرات الفيديو عندما تستخدم الشركة خدمة مختلفة معتمدة، أو إنشاء دردشة جماعية غير رسمية دون موافقة قسم تكنولوجيا المعلومات.

لا تشمل تكنولوجيا المعلومات الظلية البرامج الضارة أو الأصول الأخرى التي يزرعها المتسللون. وتُشير فقط إلى الأصول غير المصرح بها التي ينشرها المستخدمون النهائيون المصرح لهم بالشبكة.

عادةً ما يتبنى المستخدمون النهائيون والفِرق تكنولوجيا المعلومات الظلية لأنهم يستطيعون البدء باستخدامها دون انتظار موافقة تكنولوجيا المعلومات، أو لأنهم يشعرون أنها توفِّر وظائف أفضل لأغراضهم من أي تقنيات بديلة يقدِّمها قسم تكنولوجيا المعلومات. ولكن على الرغم من هذه الفوائد، فإن تكنولوجيا المعلومات الظلية يمكن أن تشكِّل مخاطر أمنية كبيرة. نظرًا لأن فريق تكنولوجيا المعلومات غير مدرك لتكنولوجيا المعلومات الظلية، فإنه لا يراقب تلك الأصول أو يعمل على معالجة ثغراتها الأمنية. تُعَد تكنولوجيا المعلومات الظلية عرضةً بشكل خاص للاستغلال من قِبَل المتسللين. 

وفقًا لشركة Cisco، يستخدم 80% من موظفي الشركة تكنولوجيا المعلومات الظلية. غالبًا ما يتبنّى الموظفون الأفراد تكنولوجيا المعلومات الظلية من أجل راحتهم وإنتاجيتهم - فهم يشعرون أن بإمكانهم العمل بكفاءة وفاعلية أكبر باستخدام أجهزتهم الشخصية وبرامجهم المفضلة، بدلًا من الموارد المعتمدة في الشركة. وقد وجدت دراسة أخرى، أشار إليها معهد IBM Institute for Business Value، أن 41% من الموظفين حصلوا على التكنولوجيا أو قاموا بتعديلها أو ابتكروها دون علم فريق تكنولوجيا المعلومات لديهم. 

وقد زاد هذا فقط مع استهلاك تكنولوجيا المعلومات، ومؤخرًا، مع ظهور العمل عن بُعد. البرنامج كخدمة (SaaS) يُتيح لأي شخص لديه بطاقة ائتمان ومعرفة تقنية أساسية نشر أنظمة تكنولوجيا المعلومات المتطورة للتعاون وإدارة المشاريع وإنشاء المحتوى والمزيد. تسمح سياسات نظام أحضر جهازك معك (BYOD) للموظفين باستخدام أجهزة الكمبيوتر والأجهزة المحمولة الخاصة بهم على شبكة المؤسسة. ولكن حتى مع وجود برنامج رسمي لنظام أحضر جهازك معك (BYOD)، غالبًا ما تفتقر فِرق تكنولوجيا المعلومات إلى رؤية البرامج والخدمات التي يستخدمها الموظفون على أجهزة نظام أحضر جهازك معك (BYOD)، وقد يكون من الصعب فرض سياسات تكنولوجيا المعلومات على الأجهزة الشخصية للموظفين.

ولكن تكنولوجيا المعلومات الظلية ليست دائمًا نتيجةً لتصرّف الموظفين بمفردهم - فتطبيقات تكنولوجيا المعلومات الظلية يتم تبنيها أيضًا من قِبل فِرق العمل. وفقًا لشركة Gartner، فإن 38% من مشتريات التكنولوجيا تتم إدارتها وتحديدها والتحكم فيها من قِبل قادة الأعمال وليس فريق تكنولوجيا المعلومات. ترغب فِرق العمل في اعتماد الخدمات السحابية الجديدة والتطبيقات وغيرها من التكنولوجيا ، ولكنها غالبًا ما تشعر أن المشتريات التي ينفّذها قسم تكنولوجيا المعلومات ورئيس قسم المعلومات (CIO) مرهقة للغاية أو بطيئة. لذلك فهم يتهربون من تكنولوجيا المعلومات للحصول على التكنولوجيا الجديدة التي يريدونها. على سبيل المثال، قد يتبنّى فريق تطوير البرمجيات بيئة تطوير متكاملة جديدة دون استشارة قسم تكنولوجيا المعلومات، لأن عملية الموافقة الرسمية قد تؤخّر عملية التطوير وتتسبب في تفويت فرصة سوقية على الشركة.

ربما تكون البرمجيات والخدمات والتطبيقات الخاصة بالجهات الخارجية غير المصرح بها هي الشكل الأكثر انتشارًا لتكنولوجيا المعلومات الظلية. ومن الأمثلة الشائعة عليها ما يلي:

• تطبيقات الإنتاجية مثل Trello وAsana.
   

• تطبيقات التخزين السحابي ومشاركة الملفات وتطبيقات تحرير المستندات مثل Dropbox وGoogle Docs وGoogle Drive وMicrosoft OneDrive.
   

• تطبيقات التواصل والمراسلة بما في ذلك Skype وSlack وWhatsApp وZoom وSignal وTelegram وحسابات البريد الإلكتروني الشخصية.

غالبًا ما تكون هذه الخدمات السحابية وعروض البرمجيات كخدمة سهلة الوصول، وبديهية الاستخدام، ومتاحة مجانًا أو بتكلفة منخفضة جدًا، ما يُتيح للفِرق نشرها بسرعة حسب الحاجة. في كثير من الأحيان، يُحضر الموظفون تطبيقات تكنولوجيا المعلومات الظلية هذه إلى مكان العمل لأنهم يستخدمونها بالفعل في حياتهم الشخصية. قد تتم دعوة الموظفين أيضًا لاستخدام هذه الخدمات من قِبل العملاء أو الشركاء أو مقدِّمي الخدمات - على سبيل المثال، ليس من غير المألوف أن ينضم الموظفون إلى تطبيقات الإنتاجية الخاصة بالعملاء للتعاون في المشاريع.

تُعَد الأجهزة الشخصية للموظفين -الهواتف الذكية وأجهزة الكمبيوتر المحمول وأجهزة التخزين مثل محركات أقراص USB ومحركات الأقراص الصلبة الخارجية- مصدرًا شائعًا آخر لتكنولوجيا المعلومات الظلية. قد يستخدم الموظفون أجهزتهم للوصول إلى الموارد أو تخزينها أو نقلها عن بُعد، أو قد يستخدمون هذه الأجهزة محليًا كجزء من نظام أحضر جهازك معك (BYOD). وفي كِلتا الحالتين، غالبًا ما يكون من الصعب على أقسام تكنولوجيا المعلومات اكتشاف هذه الأجهزة ومراقبتها وإدارتها باستخدام أنظمة إدارة الأصول التقليدية.

في حين أن الموظفين عادةً ما يتبنون تكنولوجيا المعلومات الظلية لفوائدها المتصوَّرة، فإن الأصول الظلية تشكِّل مخاطر أمنية محتملة على المؤسسة. تشمل هذه المخاطر ما يلي:

نظرًا لأن فريق تكنولوجيا المعلومات غير مدرك بشكل عام لأصول تكنولوجيا المعلومات الظلية، فإن الثغرات الأمنية في هذه الأصول لا تتم معالجتها. قد لا يفهم المستخدمون النهائيون أو فِرق الإدارات أهمية التحديثات والتصحيح والتكوينات والأذونات والضوابط الأمنية والتنظيمية المهمة للأصول، ما يزيد من تعرّض المؤسسة للخطر.

قد يتم تخزين البيانات الحساسة أو الوصول إليها أو نقلها من خلال أجهزة وتطبيقات تكنولوجيا المعلومات الظلية غير الآمنة، ما يعرّض الشركة لخطر اختراق البيانات أو تسريبها. لن يتم التقاط البيانات المخزّنة في تطبيقات تكنولوجيا المعلومات الظلية أثناء النسخ الاحتياطي لموارد تكنولوجيا المعلومات المعتمدة رسميًا، ما يجعل من الصعب استعادة المعلومات بعد فقدان البيانات. كما يمكن أن تساهم تكنولوجيا المعلومات الظلية أيضًا في عدم اتساق البيانات: عندما تنتشر البيانات عبر أصول تكنولوجيا المعلومات الظلية المتعددة دون أي إدارة مركزية، قد يعمل الموظفون بمعلومات غير رسمية أو غير صالحة أو قديمة.

لوائح مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة، ومعيار أمن بيانات صناعة بطاقات الدفع، واللائحة العامة لحماية البيانات لديها متطلبات صارمة لمعالجة معلومات التعريف الشخصية. قد لا تفي حلول تكنولوجيا المعلومات الظلية التي أنشأها الموظفون والإدارات التي لا تتمتع بخبرة في مجال الامتثال بمعايير أمن البيانات هذه، ما يؤدي إلى فرض غرامات أو اتخاذ إجراءات قانونية ضد المؤسسة.

قد لا تندمج تطبيقات تكنولوجيا المعلومات الظلية بسهولة مع البنية التحتية لتكنولوجيا المعلومات المعتمدة، ما يُعيق سير العمل الذي يعتمد على المعلومات المشتركة أو الأصول. من غير المرجح أن يأخذ فريق تكنولوجيا المعلومات في الحسبان موارد تكنولوجيا المعلومات الموازية عند تقديم أصول جديدة معتمدة أو توفير البنية التحتية لتكنولوجيا المعلومات لقسم معين. نتيجةً لذلك، قد يعمل قسم تكنولوجيا المعلومات على إجراء تغييرات على الشبكة أو الموارد بطرق تعطِّل وظائف أصول تكنولوجيا المعلومات الظلية التي تعتمد عليها فِرق العمل.

في الماضي، حاولت المؤسسات في كثير من الأحيان التخفيف من هذه المخاطر عن طريق حظر تكنولوجيا المعلومات الظلية تمامًا. ومع ذلك، فقد تقبّل قادة تكنولوجيا المعلومات بشكل متزايد تكنولوجيا المعلومات الظلية باعتبارها أمرًا حتميًا، وتقبَّل العديد منهم فوائد تكنولوجيا المعلومات الظلية. وتتضمن هذه الفوائد ما يلي:

• تمكين الفِرق من أن تكون أكثر مرونة في الاستجابة للتغيرات في بيئة الأعمال وتطوُّر التكنولوجيا الجديدة.
   

• السماح للموظفين باستخدام أفضل الأدوات لوظائفهم.
   

• تبسيط عمليات تكنولوجيا المعلومات من خلال تقليل التكاليف والموارد المطلوبة لشراء أصول تكنولوجيا المعلومات الجديدة.

للتخفيف من مخاطر تكنولوجيا المعلومات الظلية دون التضحية بهذه الفوائد، يهدف العديد من المؤسسات الآن إلى مواءمة تكنولوجيا المعلومات الظلية مع بروتوكولات أمن تكنولوجيا المعلومات القياسية بدلًا من حظرها بشكل كامل. ولتحقيق هذه الغاية، غالبًا ما تطبّق فِرق تكنولوجيا المعلومات تقنيات الأمن الإلكتروني مثل أدوات إدارة سطح الهجوم، التي تراقب بشكل مستمر أصول تكنولوجيا المعلومات التي تواجه الإنترنت في المؤسسة لاكتشاف تكنولوجيا المعلومات الظلية وتحديدها أثناء اعتمادها. يمكن بعد ذلك تقييم الأصول الظلية هذه بحثًا عن الثغرات الأمنية ومعالجتها. 

قد تستخدم المؤسسات أيضًا برنامج وسيط أمن الأصول السحابي (CASB)، الذي يضمن اتصالات آمنة بين الموظفين والأصل السحابي الذي يستخدمونه، بما في ذلك الأصول المعروفة وغير المعروفة. يمكن لبرامج CASB اكتشاف الخدمات السحابية الظلية وإخضاعها لتدابير أمنية مثل التشفير وضوابط الوصول وكشف البرامج الضارة.