ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ (ข่าวเก่า) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการละเมิดระเบียบของรัฐบาลกลาง

แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ

กรณี Clinton ไม่ใช่แค่เอาอุปกรณ์ส่วนตัวมาใช้ แต่สร้างระบบใหม่ใช้คู่ขนาน

กระแสเรื่องของการนำเอาอุปกรณ์ส่วนตัวมาใช้ในที่ทำงาน (BYOD: Bring Your Own Device) เป็นเรื่องที่องค์กรหลายแห่งต้องเจอ และอาจจะคุ้นชินไปแล้วในปัจจุบัน รวมไปถึงการพัฒนาด้านซอฟต์แวร์บริหารอุปกรณ์เคลื่อนที่​ (MDM: Mobile Device Management) ที่ดีขึ้นมาก ก็ทำให้องค์กรต่างๆ สามารถจัดการกับข้อมูลบนเครื่องส่วนตัวพนักงานเหล่านี้ได้

อย่างไรก็ตาม กรณีของ Clinton มีความแตกต่างออกไปจากปกติ เพราะมีการตั้งอีเมลเซิร์ฟเวอร์ของตัวเองขึ้นมาต่างหาก โดยจ้างเจ้าหน้าที่ของกระทรวงการต่างประเทศสหรัฐฯ เป็นการนอกเวลา เพื่อให้ติดตั้งระบบดังกล่าว โดยเธอระบุเมื่อการแถลงข่าวตอนสิ้นปีที่แล้วว่า ทำไปเพราะ “ความสะดวก” ในการทำงาน และบอกว่าระบบของเธอมีความปลอดภัย และได้รับการดูแลจากหน่วยงานรักษาความปลอดภัยและความลับของสหรัฐ (USSS: United States Secret Services)

กรณีดังกล่าวนี้ทำให้เกิดกระแสวิจารณ์เป็นวงกว้างจากสาธารณะและผู้เชี่ยวชาญ ถึงการใช้อีเมลส่วนตัวที่ไม่ได้ความปลอดภัยตามเกณฑ์ที่รัฐบาลกำหนด แต่ที่สำคัญที่สุดคือการออกรายงานถึงสภาคองเกรสโดยผู้ตรวจการของกระทรวงการต่างประเทศของสหรัฐฯ ที่ระบุว่า Clinton ละเมิดกฎของรัฐบาลกลาง ซึ่งรวมไปถึงการสื่อสารอื่นๆ ที่ไม่จำกัดแต่เพียงอีเมลเท่านั้น แต่ยังมีทั้งการสนทนาทางโทรศัพท์หรือส่งเอกสารผ่านโทรสารแบบไม่ปลอดภัยด้วย

ที่เรื่อง Clinton เป็นเรื่องใหญ่มากในอเมริกา ส่วนหนึ่งมีประเด็นเรื่องของการเลือกตั้งประธานาธิบดีเข้ามาเกี่ยว (ที่หลายคนมองว่าเรื่องนี้เป็น “เผือกร้อน” สำหรับเธอ ที่มาได้ไม่ถูกจังหวะ) แต่เรื่องสำคัญกว่านั้นคือข้อมูลนโยบายทางการทูตที่สำคัญ ขณะเธอเป็นรัฐมนตรีนั้น ตกอยู่ในความเสี่ยงด้านความปลอดภัย แม้เธอจะออกมาระบุว่า ยินดีที่จะเปิดเผยข้อมูลข้อมูลดังกล่าวต่อสาธารณะเพราะเธอเชื่อว่าไม่ได้ใช้ติดต่อเรื่องสำคัญ (ซึ่งในบางกรณีก็ไม่จริง เพราะมีคำสั่งขอให้ศาลดึงเอาข้อมูลอ่อนไหวบางอย่างออกไปจากการเปิดเผย)

Shadow IT ปัญหาที่เกิดขึ้นได้กับทุกที่ทุกองค์กร

กรณีของ Clinton นั้นแม้จะเป็นกรณีซึ่งโด่งดัง (ส่วนหนึ่งเพราะคนทำเป็นนักการเมืองที่มีคนรู้จักในสหรัฐอเมริกา) แต่สิ่งที่ต้องตระหนักคือ เรื่องเหล่านี้เกิดขึ้นได้กับทุกองค์กรในทุกที่ ไม่จำเป็นว่าต้องเป็นหน่วยงานภาครัฐเสมอไป แม้เราจะเห็นตัวอย่างจากภาคเอกชนน้อยกว่าที่อื่นๆ (จากประสบการณ์ส่วนตัว การติดต่อหน่วยงานราชการบางแห่งยังคงใช้อีเมลภายนอกองค์กร ติดต่อเรื่องสำคัญ)

สภาพการสร้างโครงสร้างไอทีที่ไม่ได้รับอนุญาตหรือระบบที่ใช้งานกันอย่างลับๆ ในองค์กรดังกล่าว มีภาษาที่เรียกกันอย่างเป็นทางการว่า “Shadow IT” หรือ “ระบบไอทีเงา” ซึ่งมักจะเป็นการใช้ระบบไอทีภายนอก โดยที่บริษัทหรือฝ่ายไอทีขององค์กรไม่รู้ ตัวอย่างที่ง่ายที่สุดคือการติดตั้ง Wi-Fi Access Point ของตัวเอง ซึ่งอาจจะใช้มาตรฐานการรักษาความปลอดภัยไม่ตรงกันองค์กร (เช่น องค์กรบังคับใช้ WPA 2 + RADIUS แต่ access point ตัวนั้นอาจจะใช้แค่ WEP) หรือการใช้แอพส่งข้อความทันใจติดต่อเรื่องงาน แทนที่จะเป็นระบบงานซึ่งองค์กรกำหนดมาให้ใช้งานเอง

ปัญหา Shadow IT ลักษณะนี้เกิดขึ้นได้จากสองปัจจัย ปัจจัยแบบแรกคือการที่ผู้บริหารหรือเจ้าหน้าที่ต้องการระบบที่ใช้งานได้ง่ายและไม่ยุ่งยาก อาการแบบนี้มักจะเกิดกับผู้บริหารในองค์กร ซึ่งเคยชินกับวิธีที่ตัวเองต้องทำงาน และฝ่ายปฏิบัติมักยากที่จะปฏิเสธ (ว่าง่ายๆ คือไม่อยากขัดใจเจ้านาย เพราะอาจด้วยการกลัวถูกปลด ไม่ได้ขึ้นเงินเดือน หรือแม้กระทั่งไม่ได้งบประมาณในปีถัดไป) ส่วนอีกปัจจัยคือระบบไอทีองค์กรนั้นไม่เอื้อให้กับการคิดค้นหรือการพัฒนา ตัวอย่างเช่น องค์กรอาจจะอนุมัติให้พนักงานใช้เทคโนโลยีชุดเก่า แต่ระบบใหม่ที่ดีกว่ายังไม่ได้รับการอนุมัติ ทำให้พนักงานตัดสินใจเปิด “ทางลัด” ใช้บริการเหล่านี้อย่างลับๆ โดยไม่ได้รับอนุญาตจากฝ่ายไอทีองค์กร

จากตัวเลขผลการสำรวจของ RSA เมื่อปี 2007 ก็พบว่าลักษณะของการใช้ช่องทางที่ไม่ได้รับอนุมัติจากองค์กรในการสื่อสารนั้นมีอยู่สูงมาก ตัวอย่างเช่นในองค์กรขนาดใหญ่ มีคนที่ส่งข้อมูลจากหน่วยงานเข้าอีเมลส่วนตัวเพื่อเอาไปทำงานต่อที่บ้านอยู่ที่ 61% (นับรวมทั้งทำประจำและทำในบางครั้ง) ตัวเลขผลสำรวจนี้บอกอย่างชัดเจนว่า ในหลายครั้งพนักงานเองก็เลือกจะมองข้ามความปลอดภัยและระบบงานขององค์กรที่มีการป้องกันความลับหรือข้อมูลรั่วไหล เพื่อเน้นไปที่ความสะดวกเป็นหลัก

ข้อดีและข้อเสียของ Shadow IT

คำถามที่ตามมาก็คือ แล้วตกลง Shadow IT มีข้อดีและข้อเสียอย่างไรบ้าง?

หากพิจารณาข้อเสีย สิ่งแรกที่เราเห็นได้อย่างชัดเจนคือข้อมูลที่เป็นความลับบางอย่าง มีสิทธิรั่วไหลไปยังบุคคลภายนอกได้ ตัวอย่างเช่นหากบุคลากรทางการแพทย์ตัดสินใจส่งเวชระเบียนอิเล็กทรอนิกส์ (EMR: Electronic Medical Record) เข้าอีเมลของตัวเอง ข้อมูลของคนไข้ก็มีสิทธิถูกอ่าน ไม่ก็ถูกเก็บไว้กับคนอื่น ละเมิดทั้งข้อมูลส่วนตัวและความลับของคนไข้ สิ่งต่อมาที่เห็นได้ชัดคือ ต่อให้ระบบที่พนักงานคนนั้นใช้จะมีความปลอดภัยมาก แต่ก็ไม่มีอะไรรับรองได้ว่า ข้อมูลเหล่านั้นจะถูกจัดการตามมาตรฐานองค์กร (มั่นใจได้อย่างไรว่าการเข้ารหัสที่ใช้ได้มาตรฐาน? หลังพนักงานพ้นสภาพ ข้อมูลชุดนั้นจะถูกจัดการอย่างไร ฯลฯ) และสุดท้ายคือการเปิดช่องโหว่ให้กับระบบไอทีขององค์กร โดยเฉพาะอย่างยิ่งในกรณีที่เป็นอุปกรณ์หรือสายฮาร์ดแวร์อย่างเช่นหากติดตั้ง Access Point เองแล้วเกิดทำระบบการเข้ารหัสต่ำ ย่อมเป็นช่องทางทำให้เกิดการโจมตีเครือข่ายขององค์กรได้ง่ายมาก

อย่างไรก็ตาม Shadow IT ก็มีส่วนที่ทำให้เกิดแนวทางในการทำงานแบบใหม่ๆ ในองค์กร ซึ่งทำให้การติดต่อประสานงานดีขึ้น และอาจสร้างแนวทางใหม่ๆ ให้กับองค์กรได้ ตัวอย่างเช่น การใช้งานระบบติดต่อสื่อสารงานใหม่ๆ อย่างเช่นบริการแนว Slack ก็เป็นหนึ่งในช่องทางที่ทำให้องค์กรทำงานได้สะดวกขึ้น และอาจเริ่มต้นจากแผนกเล็กๆ ที่ไม่ชอบการติดต่อประสานในแบบเดิมๆ นั่นเอง (ในบ้านเราก็เป็นการใช้ LINE คุยงานกัน)

แนวทางในการแก้ไขปัญหา

การแก้ไขปัญหาเรื่องของ Shadow IT ไม่ใช่เรื่องง่ายและไม่ใช่เรื่องที่ยาก ที่กล่าวเช่นนี้เพราะ Shadow IT มักจะสังเกตได้ไม่ชัดเจนนัก ยกเว้นจะต้องติดตามระบบต่างๆ อย่างใกล้ชิด (ซึ่งก็ทำได้ยากมาก ในกรณีของอีเมลก็คงไม่มีใครไปนั่ง monitor อีเมลที่ส่งออกจากบริษัทเป็นรายฉบับ) ซึ่งทำให้มันเป็นเรื่องยาก แต่เมื่อรู้ปัญหาแล้ว ฝ่ายบริหารไอทีที่เกี่ยวข้องก็ควรเข้าไปรีบแก้ไขปัญหา

แนวทางหนึ่งที่ Russ Banham ผู้สื่อข่าวสายธุรกิจ เสนอแนวทางเอาไว้คือการที่ผู้บริหารฝ่ายไอทีจะต้องเข้าไปพูดคุย ทำความเข้าใจกับฝ่ายที่ใช้เทคโนโลยีซึ่งไม่ได้รับอนุญาตจากองค์กร พร้อมกับหาทางออกร่วมกันว่าจะทำอย่างไรให้เทคโนโลยีในองค์กร ตอบสนองความต้องการได้ (ว่าง่ายๆ คือดึงเข้ามาอยู่ในการดูแลให้ได้) ส่วน Andrew Froehlich ประธานฝ่ายสถาปัตยกรรมเครือข่ายของ West Gate Networks เสนอว่าระบบไอทีและนโยบายขององค์กรจะต้องยืดหยุ่นและพร้อมปรับตัวเข้ากับเทคโนโลยีใหม่ๆ แต่ยังต้องยืนยันในกฎระเบียบและข้อห้ามต่างๆ อย่างเคร่งครัดและชัดเจนเอาไว้ รวมถึงฝ่ายไอทีต้องทำงานกับแผนกอื่นๆ ให้มากขึ้น เพื่อตัดปัญหาการสร้าง Shadow IT ในองค์กร ส่วนในกรณีที่จำเป็นจริงๆ (เช่น ระบบภายในล่ม) อาจจะอนุมัติให้มีได้ แต่ต้องให้สั้นที่สุดและมีแนวทางในการจัดการที่ชัดเจน

อย่างไรก็ตาม ในปัจจุบันหลายบริษัทอย่างเช่น Cisco หรือ NTT Communications ก็มีผลิตภัณฑ์ที่ช่วยจัดการกับการรั่วไหลข้อมูล รวมถึงวิเคราะห์ความเสี่ยงของ Shadow IT ภายในองค์กรจากการใช้งานระบบไอทีในองค์กรด้วย

บทสรุป: จะแก้ Shadow IT ได้ ต้องมีแนวทางที่ชัดเจน

ปัญหาของ Shadow IT ภายในองค์กร ถือเป็นเรื่องที่มีความสำคัญในเชิงของการบริหารองค์กร โดยเฉพาะอย่างยิ่งกับข้อมูลที่อ่อนไหวหรือเป็นความลับกับองค์กร ซึ่งไม่ใช่จะเกิดเฉพาะกับกรณีสำคัญๆ (high-profile case) อย่างที่ได้ยกตัวอย่างไปในตอนต้นเท่านั้น แต่เกิดขึ้นได้กับทุกหน่วยงานไม่ว่าจะใหญ่หรือเล็ก

สิ่งสำคัญที่จะช่วยแก้ไขปัญหา Shadow IT ในองค์กรได้ นอกจากจะต้องปรับนโยบายและเปลี่ยนแนวทางให้ยืดหยุ่นกว่าเดิมแล้ว ยังจะต้องมีการสร้างความเข้าใจให้กับทั้งองค์กร เพื่อลดความเสี่ยงที่จะเกิดสถานการณ์แบบนี้ทั้งในปัจจุบันและอนาคต ไม่เช่นนั้นเราอาจจะได้เห็นกรณีลักษณะเดียวกับของ Clinton ไปเรื่อยๆ อีกในอนาคต