3 способа, которыми разработчики без кода могут выстрелить себе в ногу

Было время, когда организации, избегающие риска, могли серьезно ограничить возможность своих бизнес-пользователей совершать дорогостоящие ошибки. С ограниченными техническими ноу-хау, строгими разрешениями и отсутствием попутного ветра худшее, что может сделать бизнес-пользователь, — это загрузить вредоносное ПО или попасться на фишинговую кампанию. Те дни прошли.

В наше время, каждая основная платформа «программное обеспечение как услуга» (SaaS) поставляется в комплекте с возможностями автоматизации и создания приложений, которые предназначены и продаются непосредственно бизнес-пользователям. Платформы SaaS, такие как Microsoft 365, Salesforce и ServiceNow, внедряются платформы без кода / с низким кодом в свои существующие предложения, предоставляя их непосредственно бизнес-пользователям, не спрашивая корпоративного одобрения. Возможности, которые раньше были доступны только ИТ-специалистам и командам разработчиков, теперь доступны во всей организации.

Power Platform, платформа Microsoft с низким кодом, встроена в Office 365 и является отличным примером благодаря сильной позиции Microsoft на предприятии и скорости, с которой она используется бизнес-пользователями. Возможно, сами того не осознавая, предприятия передают власть на уровне разработчиков в руки большего числа людей, чем когда-либо прежде, с гораздо меньшим уровнем безопасности или технической подкованностью. Что возможно могло пойти не так?

На самом деле довольно много. Давайте рассмотрим несколько реальных примеров из моего опыта. Информация была анонимизирована, а бизнес-процессы были опущены.

Ситуация 1: Новый поставщик? Просто сделай это

Команда по работе с клиентами в многонациональной розничной компании хотела обогатить свои данные о клиентах информацией о потребителях. В частности, они надеялись найти больше информации о новых клиентах, чтобы лучше обслуживать их даже во время первоначальной покупки. Команда обслуживания клиентов выбрала поставщика, с которым они хотели бы работать. Поставщик требовал, чтобы им отправляли данные для обогащения, которые затем извлекались их службами.

Обычно именно здесь на сцену выходит ИТ. ИТ-специалистам потребуется создать какую-то интеграцию для передачи данных поставщику и от него. Команда ИТ-безопасности, очевидно, также должна быть задействована, чтобы гарантировать, что этому поставщику можно доверять данные клиентов и одобрять покупку. Закупки и юридические вопросы также сыграли бы ключевую роль. Однако в данном случае дело пошло по другому пути.

Эта конкретная команда по работе с клиентами состояла из экспертов Microsoft Power Platform. Вместо того, чтобы ждать ресурсов или одобрения, они просто взялись за дело и сами построили интеграцию: собирали данные о клиентах с работающих SQL-серверов, перенаправляли все это на FTP-сервер, предоставленный поставщиком, и загружали обогащенные данные обратно с FTP-сервера на производственная база данных. Весь процесс автоматически выполнялся каждый раз, когда в базу данных добавлялся новый клиент. Все это было сделано с помощью интерфейсов перетаскивания, размещенных в Office 365, и с использованием их личных учетных записей. Лицензия была оплачена из собственного кармана, что не давало возможности закупок.

Представьте себе удивление директора по информационной безопасности, когда они обнаружили множество средств автоматизации бизнеса, перемещающих данные о клиентах на жестко закодированный IP-адрес в AWS. Будучи клиентом только Azure, это подняло гигантский красный флаг. Кроме того, данные отправлялись и принимались через небезопасное FTP-соединение, что создавало угрозу безопасности и соответствию требованиям. Когда команда безопасности обнаружила это с помощью специального инструмента безопасности, данные перемещались в организацию и из нее почти год.

Ситуация 2: Ох, неправильно ли собирать кредитные карты?

HR-команда крупного поставщика ИТ готовилась к проводимой раз в год кампании «Отдай деньги», в рамках которой сотрудников призывают делать пожертвования в пользу их любимой благотворительной организации, а компания принимает участие, уравновешивая каждый доллар, пожертвованный сотрудниками. Кампания прошлого года имела огромный успех, поэтому ожидания были выше крыши. Чтобы усилить кампанию и упростить ручные процессы, творческий сотрудник отдела кадров использовал Power Platform от Microsoft для создания приложения, которое упростило весь процесс. Чтобы зарегистрироваться, сотрудник должен войти в приложение со своей корпоративной учетной записью, указать сумму пожертвования, выбрать благотворительную организацию и предоставить данные своей кредитной карты для оплаты.

Кампания имела огромный успех, с рекордным участием сотрудников и минимальной ручной работой от сотрудников отдела кадров. Однако по какой-то причине команда безопасности была недовольна тем, как все обернулось. При регистрации в кампании сотрудник службы безопасности понял, что кредитные карты собираются в приложении, которое, похоже, не должно было этого делать. В ходе расследования они обнаружили, что эти данные кредитной карты действительно были обработаны ненадлежащим образом. Данные кредитной карты хранились в среде Power Platform по умолчанию, что означает, что они были доступны для всего арендатора Azure AD, включая всех сотрудников, поставщиков и подрядчиков. Более того, они хранились в виде простых строковых полей открытого текста.

К счастью, нарушение обработки данных было обнаружено группой безопасности до того, как злоумышленники — или аудиторы соответствия — заметили его. База данных была очищена, а приложение исправлено, чтобы правильно обрабатывать финансовую информацию в соответствии с законодательством.

Ситуация 3: Почему я не могу просто использовать Gmail?

Никому из пользователей не нравятся элементы управления защитой от потери корпоративных данных. Даже когда это необходимо, они создают досадные трения в повседневных операциях. В результате пользователи всегда пытались их обойти. Одно из вечных противоречий между креативными бизнес-пользователями и командой безопасности — корпоративная электронная почта. Синхронизация корпоративной электронной почты с личной учетной записью электронной почты или корпоративного календаря с личным календарем: у специалистов по безопасности есть решение для этого. А именно, они внедряют решения для защиты электронной почты и защиты от потери данных, чтобы блокировать пересылку электронной почты и обеспечивать управление данными. Это решает проблему, верно?

Ну нет. Повторный вывод на крупных и малых предприятиях обнаруживает, что пользователи создают средства автоматизации, которые обходят элементы управления электронной почтой и пересылают корпоративную электронную почту и календарь в свои личные учетные записи. Вместо того, чтобы пересылать электронные письма, они копируют и вставляют данные из одного сервиса в другой. Выполняя вход в каждую службу с отдельным удостоверением и автоматизируя процесс копирования и вставки без кода, бизнес-пользователи с легкостью обходят средства контроля безопасности, и у специалистов по безопасности нет простого способа выяснить это.

Сообщество Power Platform даже разработало шаблоны который может подобрать и использовать любой пользователь Office 365.

С большой властью приходит большая ответственность

Расширение прав и возможностей бизнес-пользователей — это здорово. Бизнес-направления не должны ждать ИТ или бороться за ресурсы для разработки. Однако мы не можем просто предоставить бизнес-пользователям возможности уровня разработчика без каких-либо указаний или ограничений и ожидать, что все будет в порядке.

Команды безопасности должны обучать бизнес-пользователей и информировать их о своих новых обязанностях разработчиков приложений, даже если эти приложения были созданы без использования кода. Команды безопасности также должны установить ограждения и мониторинг, чтобы гарантировать, что когда бизнес-пользователи совершают ошибку, как это делаем мы все, она не перерастет в полномасштабную утечку данных или инциденты аудита соответствия.