4月16日讯 美国政府机构内部网络中部署了大量未经组织许可的计算机设备，这种现象被称为“Shadow IT”(“影子IT”)。因此，需要变更价值数亿美元的合同。

什么是影子IT

美国国土安全部(DHS)官员凯文-考克斯上周在McAfee安全创新峰会上表示，某些部门和机构部署的设备超出预期数倍，整个政府机构平均超出比高达40%以上。

一位知情人士表示，这种现象令人沮丧。持续诊断和监控(Continuous Diagnostics and Monitoring，CDM)是DHS资助的政府采购计划，为美国联邦部门和机构网络采购并安装安全工具。CDM工具在联邦网络上发现了打印机、电脑、电视机、恒温器和其它环境传感器等各类设备，甚至还包括Xbox等游戏设备。

美国政府机构存在大量“影子IT” 设备 部分造成严重资源浪费 - E安全

联邦政府官员称CDM代表新的网络安全方法。有人认为CDM体现出一种“范式转变”，由年度或周期性清单方法转变为实时了解政府网络的方式。

考克斯表示，在投标过程中，作为主要承包商的4个大型系统集成商取得合同之前，每个联邦机构设立了“阅览室”，可供厂商了解机构的内部网络信息，方便他们提出建议。这名知情人士透露，一旦建议被接受，机构就会放款并安装工具。许多机构官员和承包商发现，规划与结果之间存在“三角洲”地带。

管理缺失是造成影子IT的重要因素

考克斯解释称，首席信息官办公室管控缺失，首席信息官(CIO)竟然对所有影子IT不知情，这本身就说明安全问题令人堪忧。而且，项目办公室或未向任何人报告，所有这些不同的部门(机构内部)可能都会运用不能一定确保安全的IT技术。

即便如此，所有这些额外的设备还是出现在了机构网络中，这些机构安装和管理CDM网络安全工具需要更大的工作量，远远超过厂商的预期。

考克斯表示，DHS必须努力寻找适合的资助方式，某些机构的工作量远远超出预期。他指出，必须变更合同，DHS必须调整经费，将资金用在刀刃上。他回避透露出具体金额，但表示，此举影响了价值数亿美元的合同。CDM项目经理已经了解了每个机构和部门的真实底线。签署下一轮合同之前，官员会吸取教训。

同时，他也拒绝透露影子IT现象最严重的机构。知情人士透露，影子IT设备数量最多的机构可能是操作性偏强的机构，因为这些机构更侧重完成任务，而非管理IT变革。

无论如何，这种情况让机构领导人陷入两难境地，因为CDM要进入阶段3才会将未经授权的设备踢出网络，或应对这些风险。也就是说，要等到今年10月2018财年才能开始，甚至可能还要多等上1年多。

现如今，领导层已经了解了所有额外设备，这不仅仅关乎安全习惯问题，这些设备给整个组织机构带来风险。

高级官员正在考虑，真要等到CDM第三阶段吗?还是应立即采取行动缓解或降低这些风险?