Przejdź do treści
Breachroad
Wróć do bloga
Zarządzanie ryzykiem

Shadow IT: aplikacje poza kontrolą działu IT

Pracownicy używają kilkukrotnie więcej aplikacji, niż zatwierdziło IT. Skąd bierze się shadow IT, czym grozi i jak nad nim zapanować bez blokowania.

KR
Karol Rapacz
21 maja 2026 · 11 min czytania
Shadow IT: aplikacje poza kontrolą działu IT

Podczas audytów zadajemy działom IT proste pytanie: „ile aplikacji SaaS jest używanych w firmie?”. Typowa odpowiedź: kilkanaście, może dwadzieścia. Potem patrzymy w logi DNS i wyciągi kart służbowych — i znajdujemy kilkadziesiąt do kilkuset. Ta różnica to shadow IT: narzędzia, konta i integracje, które żyją poza wiedzą i kontrolą IT. Nie jest to problem złych ludzi — to problem procesów, które nie nadążają za potrzebami. Ale konsekwencje bezpieczeństwa są jak najbardziej realne.

Skąd się bierze shadow IT

Mechanizm jest zawsze ten sam: pracownik ma zadanie do wykonania, oficjalne narzędzie nie istnieje albo jest niewygodne, a rejestracja w SaaS zajmuje 30 sekund. Marketing zakłada konto w narzędziu do grafik, sprzedaż testuje nowy CRM „na próbę”, księgowość wrzuca pliki do darmowego konwertera PDF, a deweloper spina produkcję z osobistym kontem w narzędziu do monitoringu. Każda z tych decyzji jest lokalnie racjonalna. Globalnie powstaje niezarządzana powierzchnia ataku.

Nowym rozdziałem tej historii jest shadow AI — użycie ChatGPT i podobnych narzędzi na danych firmowych z prywatnych kont. Pisaliśmy o nim w tekście o bezpieczeństwie AI w firmie; tu potraktujmy go jako szczególnie palący podzbiór szerszego problemu.

Czym to naprawdę grozi

  • Dane poza kontrolą. Pliki klientów w prywatnym Dropboxie, baza kontaktów w nieautoryzowanym CRM — w razie wycieku i tak odpowiadasz Ty, tylko że o incydencie dowiesz się ostatni. RODO nie zna pojęcia „ale to było na koncie pracownika”.
  • Konta bez MFA i bez off-boardingu. Narzędzie, o którym IT nie wie, nie jest w SSO. Hasło bywa wspólne dla zespołu, a po odejściu pracownika konto żyje dalej — z jego dostępem.
  • Integracje i tokeny. Wtyczki i aplikacje OAuth podpięte do firmowej poczty czy dysku (przez „Zaloguj przez Google/Microsoft”) dostają trwałe uprawnienia — to kanał ataku typu consent phishing, opisywany przy M365.
  • Płatności i vendor lock-in. Subskrypcje na kartach prywatnych i służbowych, o których nikt nie wie — problem kosztowy, ale też ciągłości: proces biznesowy potrafi zależeć od narzędzia, którego nikt nie zinwentaryzował (TPRM nie obejmie dostawcy, którego nie znasz).
  • Brak logów. Gdy dojdzie do incydentu, w oficjalnych systemach nie ma śladu — bo wszystko działo się w narzędziu spoza radarów.

Jak zmierzyć skalę (zanim zaczniesz cokolwiek blokować)

Odkrywanie shadow IT to praca detektywistyczna z czterech źródeł:

  1. Logi DNS/proxy/firewalla — lista domen SaaS, z którymi łączy się sieć firmowa; nawet bez drogich narzędzi klasy CASB da się z niej wyciągnąć top 100 używanych usług.
  2. Logi tożsamości — w Entra ID/Google Workspace przejrzyj aplikacje OAuth, którym użytkownicy wyrazili zgody; to najszybsze pojedyncze źródło prawdy o integracjach.
  3. Finanse — wyciągi kart służbowych i raporty wydatków przefiltrowane pod subskrypcje; księgowość wie o shadow IT więcej niż SOC.
  4. Ankieta bez sankcji — proste pytanie do zespołów: „jakich narzędzi używacie do pracy?” z obietnicą amnestii. Zadziała tylko raz — nie zmarnuj tego na polowanie na winnych.

Wynik zderz z listą narzędzi oficjalnych. Różnica to Twój backlog.

Jak zapanować: rządzenie zamiast prohibicji

Doświadczenie jest jednoznaczne: samo blokowanie przegrywa. Zablokowane narzędzie wraca przez telefon prywatny, hotspot albo jeszcze mniej kontrolowaną alternatywę. Skuteczny model ma trzy elementy:

1. Kanał legalizacji. Prosty proces „chcę nowe narzędzie”: jeden formularz, ocena w dni (nie miesiące), jasne kryteria (gdzie dane, czy jest SSO/MFA, czy dostawca podpisze DPA). Większość zgłoszeń da się zatwierdzić z warunkami; odmowa musi wskazywać alternatywę.

2. Katalog i SSO. Zatwierdzone narzędzia wpinasz w logowanie firmowe (SSO + MFA), dzięki czemu dostajesz kontrolę cyklu życia kont (off-boarding!) i logi. Katalog „z czego korzystamy do czego” publikujesz wewnętrznie — połowa shadow IT bierze się z niewiedzy, że oficjalne narzędzie istnieje.

3. Reguły dla danych, nie dla narzędzi. Krótka polityka klasyfikacji: jakie dane wolno przetwarzać tylko w narzędziach zatwierdzonych (dane klientów, finanse, kod), a co można w dowolnych (materiały publiczne). Ludzie zapamiętają trzy kategorie danych łatwiej niż listę 400 dozwolonych domen.

Od strony technicznej wspieraj to: ograniczeniem samodzielnych zgód OAuth, alertami na nowe aplikacje w tenancie, a przy większej skali — narzędziem klasy CASB/SSPM. Ale technologia jest wsparciem procesu, nie jego zamiennikiem.

Shadow AI: wariant przyspieszony

Dla narzędzi AI zastosuj ten sam model w trybie pilnym: zapewnij legalną alternatywę (konta firmowe z DPA i wyłączonym treningiem na danych), określ w jednej stronie, czego nie wolno wklejać nigdzie poza narzędziami zatwierdzonymi (dane klientów, kod, umowy), i przejrzyj zgody OAuth pod kątem wtyczek „AI”, które proszą o dostęp do poczty i dysku. Zakaz bez alternatywy przenosi problem do telefonów prywatnych — czyli tam, gdzie nie widzisz nic.

Najczęstsze pytania (FAQ)

Czy shadow IT to powód do zwolnień dyscyplinarnych? W zdrowej organizacji — nie, o ile nie doszło do celowego obejścia zakazów przy danych wrażliwych. Ludzie wybierali narzędzia, bo chcieli dobrze wykonać pracę. Karanie za przeszłość zabija jedyne tanie źródło wiedzy o problemie: szczerość zespołów. Amnestia + jasne zasady na przyszłość działają lepiej.

Ile naprawdę aplikacji używa typowa firma? Badania branżowe od lat pokazują ten sam wzór: liczba realnie używanych aplikacji SaaS jest kilkukrotnie wyższa niż liczba znanych IT — w średnich firmach to zwykle setki. Twoja dokładna liczba ma mniejsze znaczenie niż trend: czy po wdrożeniu procesu różnica maleje.

Czy CASB/SSPM to konieczność? Nie na start. Pierwsze 80% efektu daje: przegląd zgód OAuth, analiza logów DNS, SSO dla top-20 narzędzi i kanał legalizacji. Narzędzia klasy CASB mają sens, gdy skala (setki aplikacji, wiele lokalizacji) przerasta pracę ręczną.

Co z narzędziami, których nie da się wpiąć w SSO? Decyzja ryzyka: jeśli narzędzie jest ważne, wymuś menedżer haseł z silnymi, unikalnymi hasłami i MFA natywnym, przypisz właściciela odpowiedzialnego za konta i przegląd kwartalny. Jeśli nie jest ważne — to kandydat do wygaszenia.

Jak sprawdzić, czy przez shadow IT już coś nie wyciekło? Przegląd zgód OAuth (szczególnie z dostępem do poczty/dysku), audyt udostępnień w dyskach firmowych, monitoring wycieków poświadczeń dla domeny firmowej. Robimy to w ramach audytu bezpieczeństwa — często to właśnie tam znajdujemy pierwsze „niespodzianki”. Umów przegląd.

Podsumowanie

Shadow IT nie zniknie, bo jego źródłem jest tempo pracy, nie zła wola. Zapanować nad nim można tylko modelem „łatwa ścieżka legalna + jasne reguły dla danych + widoczność”: wtedy nowe narzędzia trafiają pod kontrolę, zanim staną się ryzykiem. Zacznij od pomiaru (OAuth, DNS, finanse), amnestii i katalogu — a za kwartał różnica między „wiemy” a „używamy” zacznie się zamykać.

Udostępnij artykuł

Usługi Umów konsultację