Shadow IT
Kapcsolódó szolgáltatás Kiberbiztonság
MEGHATÁROZÁS
Shadow IT minden olyan szoftver, SaaS-előfizetés, AI-eszköz, böngészőkiterjesztés, browser-script vagy automatizáció amit a cég dolgozói az IT és a security tudta nélkül vezettek be a saját munkájuk megkönnyítésére. Nem rosszindulatú, csak gyors: a marketinges Notion-be teszi a launch dokumentumot, a sales Apollo-t használ a CRM helyett, a fejlesztő ChatGPT-be másolja a forráskódot debugolásra, a customer success Calendly-vel ütemez. A SaaS-sprawl konkrét kockázatai: 1) szabályozott adat (PII, ügyfél-finanszírozás, forráskód) third party szerverre kerül adatfeldolgozói szerződés és DPIA nélkül. 2) Ha a dolgozó kilép, az SSO mögötti accountja revoke-olódik, a saját Gmaillel regisztrált shadow-toolja viszont marad. 3) A SOC 2 és NIS2 audit egy ismeretlen SaaS-listával nem zárható le. Megoldás: SaaS-discovery (Torii, Productiv, vagy a Workspace és Entra napló) plus egyszerű, gyors approval folyamat (mert ha lassú, megkerülik), plus jóváhagyott alternatívák katalógusa.
- Threat model→
Strukturált gyakorlat, ami végigveszi a rendszer szereplőit, támadási felületét, kockázatait és kontrolljait. Minden DField-projektben ez az első nap, még a kód előtt.
- Pentest (Penetrációs teszt)→
Kézi és eszközös támadás-szimuláció, amivel kiderül, hogy egy támadó mit tudna elérni. Nálunk a találatok PR-ekként jönnek a repódba, nem 80 oldalas PDF-ként.
- DevSecOps→
Biztonság mint folyamatosan futó CI-lépés (SAST, DAST, SCA, IaC-scan), nem éves projekt. Minden push ellen fut; minden sprint fix biztonsági bugot is.
- MFA (Multi-faktoros auth)→
Kétfaktoros vagy több faktor (TOTP, WebAuthn, biometria) az egy jelszón felül. SaaS-nak ma kötelező · enterprise-beszerzés lenullázza a bevételt nélküle.
- SOC 2→
Amerikai auditálási keretrendszer a bizalmassági, integritási, elérhetőségi és adatvédelmi kontrollokra. SaaS-nál a Type II audit (6–12 hó megfigyelés) a szokásos enterprise-alapvetés.
- ISO 27001→
Nemzetközi szabvány az információbiztonsági menedzsmentrendszerre (ISMS). Európában gyakran elvárt SOC 2 helyett vagy mellett. 3 éves certifikációs ciklus.
- 012026. ápr. 26.Magyar fintech szabályozási naptár 2026 · MNB, NAV, EU Q1-Q4→
- 022026. ápr. 26.Agentic AI biztonsági mintázat · 4 réteg, amit minden ügynök rendszerre rárakunk→
- 032026. ápr. 22.NAV Online Szamla v3 migracio · mit kell tenni Q3 2026 elott→
- 042026. ápr. 22.EU AI Act felkészülés 2026 · mit csinálj most a teljes hatálybalépés előtt→
- 052026. ápr. 22.NIS2 Magyarországon · ki, mit, mikor · gyakorlati útmutató→
- 062026. ápr. 20.NIS2 magyar SaaS-nak: minimum checklist 2026-ra→
- 072026. márc. 05.GDPR + AI: felhasználói adattal tanítani 2026-ban · mit szabad, mit nem→
- 082026. febr. 18.EU AI Act magyar SaaS-oknak: mit kell tenni 2026-ban→