V mnohých organizáciách sa problematika Shadow IT rieši reaktívne – až v momente, keď nastane bezpečnostný incident, externý audit odhalí zásadný nesúlad s reguláciou alebo finančné oddelenie začne skúmať nečakaný nárast prevádzkových nákladov (OPEX). Dovtedy je tento fenomén vnímaný len ako séria izolovaných, zdanlivo pragmatických rozhodnutí na úrovni jednotlivých tímov. Marketingové oddelenie si „len“ zaplatí nástroj na automatizáciu, právnici dajú dokumenty do cloudu na rýchlu analýzu, vývojár si nainštaluje rozšírenie do prehliadača pre vyššiu produktivitu a analytik prepojí dva systémy cez API, aby ušetril čas.

V roku 2026 však súčet týchto mikrorozhodnutí vytvára samostatnú, neviditeľnú vrstvu IT infraštruktúry, ktorá funguje úplne mimo centrálneho riadenia. V tejto vrstve sa nekontrolovane hromadia citlivé firemné dáta, privilegované prístupy, neudržiavané integrácie a duplicitné licencie. Organizácia o nich často nemá inventár, nevie ich logovať, nevie ich riadiť a pri odchode kľúčových ľudí nevie spoľahlivo odobrať prístup.

Tento článok detailne analyzuje anatómiu Shadow IT v súčasnom technologickom kontexte, definuje konkrétne vektory rizika a predkladá štruktúrovaný plán nápravy, ktorý rešpektuje potreby biznisu, no nekompromituje bezpečnosť.

Čo je Shadow IT v roku 2026

Pod pojmom Shadow IT rozumieme nasadenie a prevádzku IT služieb, softvérových aplikácií (SaaS), cloudových úložísk, hardvérových zariadení alebo systémových integrácií bez explicitného schválenia, vedomia a dohľadu oddelenia informačných technológií a bezpečnosti. Nejde o okrajový problém prejavujúci sa „neposlušnosťou“ zamestnancov. Najčastejšie ide o systémovú reakciu na pomalé interné procesy, nedostupnú kapacitu IT oddelenia alebo nevyhovujúce oficiálne nástroje.

Z pohľadu riadenia rizík je kľúčové rozlišovať dve kategórie tohto fenoménu:

1. Nástroj, o ktorom nevieme: (Unobserved): Organizácia vôbec netuší, že daný nástroj existuje a je používaný. Toto predstavuje najvyššie riziko, pretože infraštruktúra, ktorá nie je monitorovaná, nemôže byť ani chránená. Tieto nástroje sú neviditeľné pre bezpečnostné operácie (SecOps) a často sa odhalia až pri forenznej analýze po útoku.
2. Nástroj, ktorý neovládame: (Unmanaged): Organizácia o nástroji vie (napríklad ho vidí v účtovných záznamoch alebo ho toleruje), ale nemá nad ním technickú kontrolu. Chýba formálny vlastník, zmluva o úrovni služieb (SLA), bezpečnostné nastavenia (hardening), pravidelné revízie prístupov a plán ukončenia prevádzky.

Obe situácie sú problematické, no druhá je v praxi bežnejšia. Aplikácie sa často časom „zlegalizujú“, no nikdy neprejdú procesom bezpečnostnej validácie.

Ako vyzerá Shadow IT v praxi

Shadow IT sa netýka neschváleného softvéru. Typicky sa prejavuje v piatich dominantných formách, pričom každá má špecifický rizikový profil.

1. Neschválené SaaS nástroje a „SaaS Sprawl“

Tímy obchádzajú centrálny nákup a využívajú firemné platobné karty alebo freemium modely na obstaranie špecializovaného softvéru. Tento jav, nazývaný „SaaS Sprawl“ (rozrastanie SaaS), vedie k fragmentácii dát a neefektivite. Typickými príkladmi sú projektové platformy (Monday, Asana, Trello), marketingové nástroje na automatizáciu kampaní, grafické služby (Canva, Figma) alebo HR systémy na nábor. Hlavným rizikom je absencia rámcovej zmluvy (Enterprise Agreement). Bez nej nie je garantované SLA, zálohovanie, vlastníctvo dát ani spôsob ich exportu pri ukončení služby. Účty bývajú často viazané na konkrétne osoby a po ich odchode vzniká problém s prístupom k firemnému majetku, čo vedie k strate kontinuity.

2. Neautorizované úložiská a komunikačné kanály

Firemné dáta opúšťajú chránený perimeter a končia v prostrediach, ktoré organizácia nevie monitorovať ani spravovať. Ide o osobné cloudové úložiská (Dropbox, Google Drive, iCloud), súkromné e-mailové schránky alebo chatovacie aplikácie (WhatsApp, Telegram, Signal) používané na pracovnú koordináciu. V takomto prostredí je nemožné uplatniť pravidlá ochrany dát (DLP) a pravidlá zdieľania. V prípade právnych sporov alebo vyšetrovania chýbajú logy a auditná stopa (Audit Trail). Rovnako kritická je nemožnosť vzdialeného vymazania dát (Remote Wipe) pri strate zariadenia alebo pri konfliktnom odchode zamestnanca.

3. Rozšírenia do prehliadača (Browser Extensions)

Tento vektor je často podceňovaný, hoci predstavuje priame ohrozenie. Zamestnanci si inštalujú rozšírenia na zvýšenie produktivity (gramatika, blokovanie reklám, správa hesiel), ktoré však vyžadujú neprimerane vysoké oprávnenia. Typické oprávnenia zahŕňajú „čítanie a zmenu obsahu všetkých navštívených stránok“. To umožňuje rozšíreniu exfiltrovať dáta z interných webových aplikácií, CRM systémov či intranetov. Ešte väčším rizikom je krádež relácie (Session Hijacking) a zneužitie prihlásenia bez potreby hesla. Rozšírenie, ktoré je dnes bezpečné, môže byť po aktualizácii alebo predaji vývojárskeho účtu zmenené na malvér, čím sa stáva trójskym koňom priamo v prehliadači.

4. API integrácie a neriadená automatizácia

V každej firme, ktorá využíva viacero cloudových služieb, vznikajú integrácie „na vlastnú päsť“. Prepojenia medzi systémami sa realizujú pomocou API kľúčov a OAuth tokenov, ktoré zamestnanci generujú bez centrálnej evidencie. Tieto tokeny často nemajú nastavenú expiráciu a nedochádza k ich rotácii. Bežnou chybou sú nadmerné oprávnenia (Over-permissioning), kde token disponuje právami na čítanie aj zápis (Full Access), hoci integrácia vyžaduje len čítanie. Ak autor integrácie odíde, spojenie ostáva aktívne a nikto ho nespravuje. Hardcodované „tajomstvá“ v skriptoch alebo v repozitároch sú potom ľahkým cieľom pre útočníkov (Supply Chain Attacks).

5. Tieňové zariadenia a lokálne aplikácie

Najmä pri potrebe rýchleho spracovania dát sa do prostredia dostávajú zariadenia alebo aplikácie mimo štandardu. Môže ísť o lokálne databázy na laptopoch, ktoré obchádzajú schválené postupy, alebo o zariadenia IoT pripojené do siete bez evidencie (NAC). Tieto zariadenia často trpia neznámymi zraniteľnosťami, chýbajú im bezpečnostné aktualizácie a obchádzajú správu koncových bodov (MDM/UEM).

Fenomén Shadow AI je nová kategória rizika

V roku 2026 predstavuje Shadow AI najrýchlejšie rastúci segment Shadow IT. Nejde už len o chatovanie s botmi. Zamestnanci využívajú verejné AI služby na komplexné úlohy: prepisy strategických porád, sumarizáciu právnych dokumentov, analýzu zmlúv, generovanie marketingových textov a tvorbu programového kódu.

Riziká spojené s Shadow AI sú špecifické:

• Únik duševného vlastníctva: Vkladanie interných informácií, osobných údajov, alebo obchodného tajomstva do verejných modelov, ktoré môžu tieto dáta použiť na ďalší tréning.
• Nejasné spracovanie: Často nie je zrejmé, kto je spracovateľom dát, v akej jurisdikcii sa dáta nachádzajú a akí subdodávatelia sú do procesu zapojení.
• Slabá identita: Tímy sa do služieb registrujú individuálne, mimo centrálnej správy identít (SSO), čo znemožňuje efektívny offboarding.

Cieľom manažmentu nesmie byť plošný zákaz AI, ktorý by zablokoval produktivitu. Cieľom je presunúť používanie AI do riadeného režimu – definovať, ktoré dáta sú pre verejné modely zakázané, a poskytnúť zamestnancom schválené podnikové alternatívy s potrebnými garanciami (napr. Copilot for Microsoft 365, ChatGPT Enterprise).

Prečo ľudia obchádzajú IT?

Ak chceme tento fenomén riešiť, musíme si priznať koreňovú príčinu. Shadow IT nevzniká primárne zo zlého úmyslu. Je to symptóm konfliktu medzi potrebou obchodnej rýchlosti a rigiditou bezpečnostných procesov.

1. Time-to-Market: Ak schválenie nového softvéru trvá týždne, ale biznis potrebuje reagovať na trh dnes, tím si nájde alternatívnu cestu.
2. UX Gap (Užívateľská skúsenosť): Oficiálne schválené nástroje sú často zastarané a neintuitívne v porovnaní s modernými SaaS riešeniami, ktoré ponúkajú lepšiu ergonómiu práce a mobilnú dostupnosť.
3. Triviálna dostupnosť: Funkcia „Sign in with Microsoft/Google“ znižuje bariéru vstupu na sekundy. Používateľ nevníma zavedenie nástroja ako „inštaláciu“, ale len ako prihlásenie.
4. Autonómnosť budgetov: Oddelenia disponujú vlastnými budgetami a nechcú byť závislé od kapacít preťaženého IT oddelenia.

Ak IT oddelenie nefunguje ako „enabler“, biznis si nájde obchádzku. A tá sa časom stane trvalým rizikom.

Detailná analýza dopadov a rizík

1. Dáta, zmluvy a compliance

Bez zmluvy o spracovaní údajov (DPA) nie je jasné, kto je spracovateľ, kde sú dáta uložené a či existuje garancia ich vymazania po ukončení zmluvy. Dáta sa fragmentujú do izolovaných sil, čo pri incidente znemožňuje určiť rozsah úniku. Pri audite (napr. podľa NIS2 / ZoKB alebo DORA) organizácia nevie preukázať primeranú kontrolu nad svojimi aktívami, čo môže viesť k sankciám.

2. Identita a offboarding

Absencia prepojenia na centrálnu správu identít (IdP) je kritickým bodom zlyhania. Pri odchode zamestnanca mu IT zablokuje prístup do Active Directory, no jeho prístup do cloudovej služby, kde sa registroval samostatne, ostáva aktívny. Bývalý zamestnanec tak môže mať mesiace prístup k citlivým dátam. Používanie zdieľaných „tímových“ účtov (napr. marketing@firma.sk) navyše znemožňuje pripísateľnosť akcií (non-repudiation), čo je pri vyšetrovaní bezpečnostných incidentov zásadný problém.

3. Integrácie a zombie tokeny

Tokeny bez expirácie a rotácie predstavujú tichú hrozbu. Ak sú tieto prístupové kľúče uložené v skriptoch alebo konfiguráciách, pri ich úniku uniká aj prístup do systému. Integrácia sa tak môže stať vstupným bodom (Initial Access Vector) pre útočníkov do širšieho ekosystému firmy.

4. Skryté náklady

Shadow IT nie je len bezpečnostný, ale aj finančný problém. Organizácie platia za viacero nástrojov s rovnakou funkcionalitou. Stovky malých platieb unikajú kontrole nákupného oddelenia, čím firma prichádza o možnosť množstevných zliav a centralizovanej správy licencií.

Indikátory kompromitácie? Ako spoznať Shadow IT

Ak vo vašej organizácii pozorujete nasledujúce javy, Shadow IT je už pravdepodobne hlboko zakorenené:

• Na výpisoch z firemných kreditných kariet sa objavujú opakované platby pre neznámych technologických vendorov (PayPal, Stripe, priame platby SaaS).
• Tímy si samostatne pozývajú externých konzultantov do svojich cloudových priestorov bez vedomia bezpečnosti.
• Existujú verejné zdieľané odkazy na dokumenty bez expirácie.
• Pri otázke „kto je vlastník tejto aplikácie“ neexistuje jasná odpoveď.
• V prehliadačoch používateľov je viditeľné množstvo neznámych rozšírení.

Stratégia nápravy a Governance model pre rok 2026

Cieľom riešenia Shadow IT nie je zaviesť policajný štát a zakázať všetko, čo nie je v „bielom zozname“. Takýto prístup by len motivoval zamestnancov hľadať sofistikovanejšie obchádzky. Cieľom je zviditeľniť používané nástroje, priradiť im vlastníkov a dostať ich pod rozumnú mieru kontroly.

Fáza 1: Vizibilita a zastavenie únikov (0 – 30 dní)

V prvej fáze je nutné získať dáta a zastaviť kritické krvácanie.

• Finančná analýza platieb: Analyzujte platby kartami a faktúry za posledných 12 mesiacov. Identifikujte všetkých SaaS dodávateľov.
• Mapovanie prevádzky: Využite logy z DNS, proxy alebo CASB (Cloud Access Security Broker) na identifikáciu najnavštevovanejších cloudových služieb. Získate tak mapu reálneho používania, nie len odhad.
• Pravidlo vlastníctva: Zaveďte pravidlo, že každá služba musí mať konkrétneho vlastníka (Business Owner), ktorý zodpovedá za prístupy a dáta.
• Rýchla legalizácia: Vytvorte proces, ktorý umožní tímom „priznať“ nástroj a zlegalizovať ho do 48 hodín, ak spĺňa základné kritériá (MFA, SSO).

Fáza 2: Governance a technické kontroly (30 – 90 dní)

Budovanie procesov, ktoré sú udržateľné a nebrzdia biznis.

• Katalóg nástrojov: Vytvorte zoznam schválených aplikácií. Jasne definujte, kedy je možné udeliť výnimku.
• Vendor Risk Management: Zaveďte jednoduchý proces preverenia dodávateľa: kontrola DPA, lokalita dát, certifikácie a garancia výmazu dát.
• Povinné SSO: Pre celú triedu nástrojov, ktoré spracúvajú interné alebo osobné údaje, zaveďte povinnosť integrácie s centrálnou správou identít.
• Pravidlá pre AI: Definujte politiku používania AI, určite povolené a zakázané typy dát pre verejné modely.

Fáza 3: Stabilizácia a optimalizácia (90+ dní)

Dlhodobá fáza sa zameriava na disciplínu a efektivitu.

• Konsolidácia: Aktívne vyhľadávajte duplicity a migrujte tímy na štandardizované nástroje.
• Pravidelný reporting: Zaveďte kvartálny prehľad pre manažment, ktorý bude obsahovať nové služby, udelené výnimky a vývoj nákladov.
• Revízie prístupov: Vykonávajte pravidelné revízie prístupov (Access Reviews) pre kritické SaaS aplikácie.

Záver

Shadow IT nie je technická drobnosť, je to problém riadenia a zodpovednosti. Jeho ignorovanie vedie k stavu, kedy organizácia pri incidente nevie odpovedať na elementárnu otázku: „Kde všade sa nachádzajú naše dáta a kto k nim má prístup?“

Efektívne riešenie v roku 2026 stojí na dvoch pilieroch: na technickej viditeľnosti (vedieť, čo sa v sieti deje) a na funkčnom governance modeli, ktorý umožňuje biznisu inovovať bezpečne. Ak organizácia nedokáže poskytnúť bezpečné a použiteľné nástroje dostatočne rýchlo, Shadow IT sa bude vracať ako bumerang, bez ohľadu na prísnosť zákazov.

Manažérsky checklist (Kontrola za 1 minútu)

Ak nemáte odpoveď „ÁNO“ na všetkých 5 bodov, vaše riziko Shadow IT je vysoké:

1. [ ] Máme mapu: Existuje aktuálny zoznam cloudových služieb založený na monitoringu siete a financií, nie len na domnienkach?
2. [ ] Máme vlastníkov: Má každá používaná aplikácia konkrétneho vlastníka, ktorý zodpovedá za prístupy?
3. [ ] Máme SSO: Sú kľúčové aplikácie integrované do centrálnej správy identít (SSO) pre automatický offboarding?
4. [ ] Máme AI pravidlá: Vedia zamestnanci presne, ktoré dáta nesmú vkladať do verejných AI modelov?
5. [ ] Máme rýchlu cestu: Existuje proces schválenia nového nástroja do 48 hodín, aby sa predišlo obchádzaniu?