Lai risinātu šos izaicinājumus, ar aizliegumiem vien nepietiek, tieši pretēji – tie var radīt viltus drošības sajūtu. Daudz lielāks efekts ir drošas eksperimentēšanas vides izveidošanai, proaktīvai uzraudzībai attiecībā uz to, kādus rīkus darbinieki izmanto un izglītošanai par digitālo higiēnu un drošību.

Darba tirgus, paradumu un organizāciju attīstības tendenču pētījuma “Work Trend Index” 2024. gada dati liecina, ka gandrīz 80% darbinieku visā pasaulē izmanto ēnu IT. Arī Latvija nav izņēmums. Savukārt, kiberdrošības uzņēmuma “Cyberhaven” aizvadītā gada pētījums liecina, ka 83,8% datu, ko darbinieki ievada MI rīkos, nonāk paaugstināta riska vidēs. Riski pieaug arī Latvijā – Cert.lv dati liecina, ka 2025. gada nogalē Latvijas kibertelpā reģistrēts vēsturiski augstākais incidentu skaits. MI rīki arvien straujāk ienāk ikdienas darbā, tie ir viegli pieejami un kļūst par dabisku pirmo izvēli, kur vērsties, lai rastu atbildes, automatizētu uzdevumus vai paaugstinātu produktivitāti. Taču tieši šī pieejamība un brīvā, bieži nekontrolētā izmantošana rada jaunus riskus. Problēma nav tikai kiberuzbrukumos – būtiska loma ir darbinieku paradumiem, piemēram, ievadot sensitīvu informāciju neapstiprinātos MI rīkos. Tāpēc drošības izaicinājums arvien vairāk kļūst par cilvēku uzvedības un iekšējo procesu jautājumu.

Kā ēnu IT izpaužas dažādās nozarēs un situācijās? Viens no piemēriem ir augstākās izglītības iestādes un skolas – ja akadēmiskais personāls un pētnieki izmanto ēnu IT, piemēram, neautorizētas mākoņkrātuves vai pētniecības MI, lai apietu lēnas iepirkumu procedūras, pieaug intelektuālā īpašuma un pētniecības datu noplūdes risks. Ja medicīnas iestādēs ārsti vai administrācija izmanto publiskus MI tulkotājus vai transkripcijas rīkus, lai ātrāk sagatavotu pacientu izrakstus vai analizētu simptomus, tas var novest pie Vispārīgās datu aizsardzības regulas pārkāpumiem un pacientu privātuma apdraudējuma. Medicīniskie dati ir īpaši sensitīvi, un to nonākšana neapstiprinātos mākoņpakalpojumos var radīt milzīgus sodus un reputācijas zaudējumus. Mārketinga vai pārdošanas komandas bieži sāk izmantot jaunus digitālos rīkus (piemēram, klientu pārvaldības vai dizaina programmas), nesaskaņojot to ar IT nodaļu. Īpašus riskus rada tas, ka darbinieki lieto šo rīku bezmaksas versijas, kas parasti ir limitētas funkcionalitātes. Tās nevar izsekot arī vēlāk, kad uzņēmumā tiek pārskatīti veiktie maksājumi par rīkiem. Tas nozīmē, ka nevar pilnībā paļauties tikai uz grāmatvedībā esošo vai bankas kontā atrodamo informāciju.

 Šādu rīku izmantošana var novest pie t.s. “zombiju” abonementiem (par kuriem maksā, bet nelieto) un neaizsargātiem piekļuves punktiem uzņēmuma tīklā. Tādējādi problēma kļūst vēl lielāka, ja piekļuves paroles šiem rīkiem komandā kolēģi dalās savā starpā, izmantojot vienu kontu, paaugstinot risku, ka, vienam darbiniekam aizejot, nenomainot paroli, piekļuve uzņēmuma datiem saglabājas uzņēmuma nepiederošai personai. Tomēr tas nenozīmē, ka MI rīki būtu jāierobežo, jo tie var būtiski uzlabot produktivitāti. Svarīgākais ir pārskatāmība un kontrole, lai būtu skaidrs, kur nonāk dati un kurš tiem var piekļūt.

 Kā samazināt riskus? Lai gan pirmais impulss bieži ir neapstiprinātu rīku izmantošanas aizliegums, praksē tas var nedot vēlamo rezultātu. Pilnīga bloķēšana neaptur darbinieku vēlmi izmantot ērtākus vai efektīvākus risinājumus, tā vienkārši pārceļ šo rīku lietošanu uz personīgajām ierīcēm vai ārējiem tīkliem, kur uzņēmumam vairs nav nekādas kontroles. Tas rada tā sauktās “aklās zonas”, kurās riski pieaug. Vienlaikus jāapzinās, ka ēnu IT bieži vien ir signāls par to, ka esošie uzņēmuma rīki nav pietiekami ērti vai efektīvi. Ja darbinieki meklē alternatīvas, tas var liecināt ne tikai par uzlabojumu iespējām procesos un tehnoloģijās, bet arī par to, ka viņi nav pietiekami apmācīti vai informēti par jau pieejamo rīku klāstu.

Tāpēc organizācijas arvien biežāk fokusējas nevis uz aizliegumiem, bet uz izmantoto rīku pārskatāmību un kontroli. Praksē tas nozīmē monitorēt rīkus, kas tiek izmantoti ārpus uzņēmumā ieviestā risinājumu klāsta, lai saprastu, kādi dati tajos nonāk un kā tie tiek lietoti. Šo procesu parasti nodrošina uzņēmuma IT departaments vai piesaistīti ārpakalpojumu IT speciālisti (MSP). Svarīgs priekšnosacījums ir pārskatāmība – uzņēmumam vispirms ir jāsaprot, kādi rīki vispār tiek izmantoti, kādi dati tajos tiek ievadīti un cik tie ir droši. Tikai tad iespējams pieņemt pamatotus lēmumus par to, kurus rīkus atļaut, aizstāt vai ierobežot. Šeit būtiska loma ir arī monitorēšanai jeb datu apkopošanai par rīku lietošanu.

 Situācija pakāpeniski mainās un to būtiski ietekmē arī normatīvais regulējums – piemēram, Tīklu un informācijas sistēmu drošības direktīva (NIS2), Vispārīgā datu aizsardzības regula kas uzliek par pienākumu organizācijām skaidri apzināt, kas notiek to IT vidē. Tas mudina uzņēmumus meklēt risinājumus, taču praksē tie bieži saskaras ar realitāti – daļa procesu un rīku izmantošanas jau ir grūti izsekojama. Tāpēc arvien lielāka nozīme ir proaktīvai monitorēšanai, lai gan vienota un ideāla pieeja šobrīd vēl nepastāv. Ja uzņēmumam ir skaidrs priekšstats par savu digitālo vidi, IT komanda var kļūt par partneri biznesam, palīdzot izvēlēties drošākos un efektīvākos risinājumus, nevis tikai kontrolēt un ierobežot. Ne mazāk svarīga ir darbinieku izglītošana. Informētība par riskiem ir daudz efektīvāka, ja tā balstās konkrētos piemēros – kādi dati ir sensitīvi, kādi rīki var būt riskanti un kā rīkoties droši ikdienas darbā. Tas palīdz veidot digitālo higiēnu – paradumu kopumu, kas ļauj izmantot tehnoloģijas gudri un atbildīgi.

Kopumā ēnu IT ir signāls par to, kā realitātē strādā organizācija un kādas ir darbinieku vajadzības. Uzņēmumi, kas spēj šo parādību saprast un gudri pārvaldīt, iegūst konkurences priekšrocību – tie vienlaikus stiprina datu drošību un veicina inovācijas. Tieši līdzsvars starp uzticēšanos, pārskatāmību un skaidriem drošības principiem būs izšķirošs, lai digitālajā vidē attīstītos gan droši, gan efektīvi.