Почему сотрудники устанавливают ПО без ведома ИТ-службы и чем это опасно для бизнеса

2 марта 2026

Во многих компаниях установки программного обеспечения без согласования с ИТ-службой до сих пор воспринимаются как частная проблема дисциплины или недостатка регламентов. На практике это системное явление, которое формирует одну из самых уязвимых зон в информационной безопасности и управлении ИТ-активами.

По оценкам экспертов рынка, в значительной части организаций сотрудники самостоятельно устанавливают рабочий софт, не проходящий централизованное согласование. Речь идет не только о специализированных инструментах, но и об офисных приложениях, утилитах для обмена файлами, удаленного доступа, аналитики и совместной работы.

«Причины такого поведения обычно не связаны со злым умыслом. Чаще всего они лежат в устройстве процессов. Бизнес развивается быстрее, чем ИТ-регламенты, и сотрудникам нужно решать задачи здесь и сейчас, тогда как согласование нового ПО может занимать дни или недели. Кроме того, многие подразделения работают с подрядчиками, которые используют привычные им инструменты и устанавливают их в инфраструктуре заказчика», – утверждает Данила Трусов, директор системы учета и контроля ИТ-инфраструктуры «Инферит ИТМен» (кластер «СФ Тех» ГК Softline).

Еще один фактор – передача техники между отделами, когда ранее установленное ПО остается без пересмотра. В результате в компании формируется слой неучтенного и неавторизованного программного обеспечения, известный как теневые ИТ (Shadow IT).

Опасность такой ситуации выходит далеко за рамки формального нарушения внутренних правил. Основные риски лежат в трех плоскостях: информационная безопасность, соблюдение требований законодательства и управляемость инфраструктуры.

С точки зрения информационной безопасности несанкционированные установки создают прямые каналы для проникновения вредоносного кода. Бесплатные и условно бесплатные приложения, загружаемые из открытых источников, нередко содержат трояны, шпионские модули или уязвимости, которые не закрываются корпоративными средствами защиты. Такие программы часто обходят политики обновлений, не получают патчи и остаются вне поля зрения службы безопасности.

Дополнительную угрозу представляют сохраненные доступы. Приложения могут хранить учетные данные, токены доступа к корпоративным сервисам и облачным хранилищам. Если устройство перестает обслуживаться или выходит из-под контроля ИТ-службы, возрастает риск утечки данных и несанкционированного доступа.

Вторая группа рисков связана с соблюдением законодательства и внутренних правил компании. Использование нелицензионного ПО или превышение числа установок может привести к претензиям правообладателей. Незнание того, какое именно программное обеспечение используется в инфраструктуре, не освобождает бизнес от ответственности. В случае проверок компаниям приходится срочно закупать лицензии, оплачивать штрафы и устранять нарушения в экстренном порядке.

Кроме того, для многих отраслей критично важно соблюдение требований по защите информации и персональных данных. Неучтенное ПО затрудняет выполнение требований федерального законодательства и отраслевых стандартов, поскольку компания не может точно подтвердить, какие системы обрабатывают данные и какие меры защиты к ним применяются.

Третья проблема – потеря управляемости ИТ-инфраструктуры. Когда ИТ-служба не имеет полной картины установленных программ и устройств, становится невозможно эффективно управлять обновлениями, доступами и затратами. В таких условиях инциденты обнаруживаются постфактум, соответственно, и реагирование идет на уже случившееся происшествие, а не на его предупреждение.

«Важно отметить, что попытки решить проблему исключительно запретами редко дают устойчивый эффект. Даже самые жесткие регламенты не работают без инструментов, которые позволяют видеть фактическое состояние инфраструктуры: какое ПО установлено, где оно используется и кто за него отвечает», – отмечает Данила Трусов.

Снижение рисков, связанных с теневыми ИТ (Shadow IT), начинается не с усиления периметра, а с базового учета. Пока компания не может ответить на простой вопрос о том, что реально установлено и используется в ее ИТ-ландшафте, меры по безопасности и соответствию требованиям остаются фрагментарными.

Именно поэтому инвентаризация ИТ-активов и программного обеспечения становится фундаментом для контроля, позволяя выявлять несанкционированные установки, снижать уязвимости, приводить использование ПО в соответствие с лицензиями и возвращать управляемость инфраструктурой до того, как риски реализуются в виде утечек, штрафов или простоев.