img

Shadow IT: 73 % zam─Ťstnanc┼» pou┼ż├şv├í software bez v─Ťdom├ş IT

img
Bezpečnost Redakce Poptej.IT 25. 4. 2026 10 min čtení
shadow IT bezpe─Źnost GDPR AI IT governance

Shadow IT: 73 % zam─Ťstnanc┼» pou┼ż├şv├í software bez v─Ťdom├ş IT

├Ü─Źetn├ş pra┼żsk├ę st┼Öedn─Ť velk├ę firmy uploadovala v prosinci 2025 cel├Ż payroll ÔÇö jm├ęna, mzdy, rodn├í ─Ź├şsla 230 zam─Ťstnanc┼» ÔÇö do ChatGPT. Cht─Ťla jen ÔÇ×rychle p┼Öev├ęst form├ítÔÇť. Soubor nezmizel. Z┼»stal na serverech OpenAI jako sou─Ź├íst tr├ęnovac├şch dat.

Tohle nen├ş historka z bezpe─Źnostn├şho semin├í┼Öe. Tohle se stalo, bylo to v N├ÜKIBu hl├í┼íen├ę a firma ─Źekala na stanovisko ├ÜOO├Ü. Odhadovan├í pokuta: 400 000 ÔÇô 2 miliony K─Ź.

P┼Öitom IT odd─Ťlen├ş t├ę firmy v┼»bec nev─Ťd─Ťlo, ┼że ├║─Źetn├ş ChatGPT pou┼ż├şv├í. Byl to typick├Ż shadow IT incident ÔÇö zam─Ťstnanec si po┼Ö├şdil n├ístroj na vlastn├ş p─Ťst, proto┼że byl rychlej┼í├ş ne┼ż ofici├íln├ş cesta.

Co je shadow IT a jak je roz┼í├ş┼Öen├ę

Shadow IT je jak├Żkoli software, slu┼żba nebo za┼Ö├şzen├ş, kter├ę zam─Ťstnanec pou┼ż├şv├í pro pracovn├ş ├║─Źely bez souhlasu a v─Ťdom├ş IT odd─Ťlen├ş.

Typick├ę podoby

  • AI n├ístroje (ChatGPT, Claude, Gemini, Copilot) ÔÇö nejv─Ťt┼í├ş probl├ęm 2025/2026
  • Cloudov├ę ├║lo┼żi┼ít─Ť (osobn├ş Dropbox, Google Drive, WeTransfer)
  • Komunika─Źn├ş kan├íly (WhatsApp, osobn├ş Slack workspace, Discord)
  • Produktivitn├ş n├ístroje (Notion, Airtable, osobn├ş Trello)
  • N├ívrhov├ę n├ístroje (Canva, Figma na osobn├ş email)
  • Automatizace (Zapier, Make, IFTTT na osobn├ş ├║─Źty)

─î├şsla z ─Źesk├ęho trhu

Ukazatel Hodnota
Zam─Ťstnanci, kte┼Ö├ş p┼Öizn├ívaj├ş shadow IT 73 %
Aplikace nezn├ím├ę IT odd─Ťlen├ş 40 % v┼íech
Firmy, kter├ę m─Ťly shadow IT incident 61 %
Pr┼»m─Ťrn├Ż po─Źet SaaS aplikac├ş na zam─Ťstnance 9,4
Z toho schv├ílen├Żch IT odd─Ťlen├şm 5,7

Zdroj: kombinace Gartner 2025, Productiv State of SaaS + odhady pro ─Źesk├Ż trh.

Pro─Ź shadow IT vznik├í

1. IT je pomal├ę

Od ┼ż├ídosti k dostupnosti n├ístroje obvykle trv├í 3ÔÇô8 t├Żdn┼». Zam─Ťstnanec to pot┼Öebuje dnes. V├Żsledek: osobn├ş karta, Pay-as-you-go, hotovo.

2. IT ┼Ö├şk├í ÔÇ×neÔÇť

N─Ťkter├ę firmy maj├ş default-deny politiku. ÔÇ×Nepou┼ż├şv├íme cloud, nepou┼ż├şv├íme AI, nepou┼ż├şv├ímeÔÇŽÔÇť ÔÇö a zam─Ťstnanci si najdou cestu kolem.

3. Freemium a personal plans

95 % SaaS m├í free tier nebo osobn├ş pl├ín za 10ÔÇô15 USD/m─Ťs├şc. Z firemn├ş karty se to ani nezobraz├ş v reportingu.

4. Mezigenera─Źn├ş rozd├şl

Gen Z zam─Ťstnanci berou n├ístroje pragmaticky ÔÇö pou┼żiju, co funguje. Firemn├ş schvalovac├ş proces je pro n─Ť buzz z 90. let.

5. Nedostatek vzd─Ťl├ív├ín├ş

62 % ─Źesk├Żch zam─Ťstnanc┼» nev├ş, co je AUP (Acceptable Use Policy), nebo nikdy ne─Źetli bezpe─Źnostn├ş sm─Ťrnici firmy.

Co v├ís to stoj├ş

P┼Ö├şm├ę finan─Źn├ş ztr├íty

  • Duplicity: firma plat├ş za Slack, zam─Ťstnanci si plat├ş Discord
  • Ztracen├ę volume discounty: 30 lid├ş m├í osobn├ş Canva, m├şsto team license se slevou 40 %
  • ├Ünik v─Ťdomostn├ş b├íze: zam─Ťstnanec odejde, jeho Notion zmiz├ş

Bezpe─Źnostn├ş rizika

  • ├Üniky dat do AI n├ístroj┼» (jako v├Ż┼íe)
  • Necht─Ťn├í expozice: osobn├ş Google Drive nastaven na ÔÇ×publicÔÇť
  • Phishing: osobn├ş ├║─Źty nemaj├ş MFA, hesla jsou slab├í
  • Malware: neofici├íln├ş n├ístroje bez firemn├ş kontroly

Regulatorn├ş rizika

  • GDPR: pokuty a┼ż 4 % obratu za neautorizovan├ę zpracov├ín├ş dat
  • NIS2: ┼íet┼Ö├ş supply chain a processors, shadow IT jako zdroj incidentu
  • ISO 27001: audit identifikuje shadow IT jako kritick├Ż gap

P┼Ö├şpadov├í studie: discovery shadow IT

Brn─Ťnsk├Ż e-shop (120 zam─Ťstnanc┼») provedl v listopadu 2025 shadow IT discovery. Postup:

  1. Anal├Żza proxy log┼» (30 dn├ş provozu)
  2. Anal├Żza v├Żdaj┼» na osobn├şch kart├ích (reimbursement data)
  3. Anonymn├ş survey mezi zam─Ťstnanci

Zji┼ít─Ťn├ş:

  • 67 neschv├ílen├Żch n├ístroj┼» (oproti 23 ofici├íln├şm)
  • 34 zam─Ťstnanc┼» nahr├ívalo firemn├ş data do ChatGPT
  • 12 pou┼ż├şvalo WhatsApp na komunikaci se z├íkazn├şky
  • 8 pou┼ż├şvalo osobn├ş Dropbox na sd├şlen├ş citliv├Żch soubor┼»
  • 3 m─Ťli datab├ízi klient┼» v osobn├şm Airtable

Akce:

  • Ofici├íln─Ť schv├ílili a zaplatili firemn├ş pl├ín Claude for Work
  • Zakoupili Dropbox Business a zmigrovali data
  • Nasadili DLP (Data Loss Prevention) na endpointy
  • Spustili povinn├ę bezpe─Źnostn├ş ┼íkolen├ş
  • Vytvo┼Öili ÔÇ×rychl├Ż schvalovac├ş procesÔÇť pro nov├ę SaaS (do 5 dn├ş)

N├íklady: 650 000 K─Ź jednor├ízov─Ť + 180 000 K─Ź ro─Źn─Ť na nov├ę licence.

Jak ┼Ö├şdit shadow IT (5 krok┼»)

1. Discovery, ne hon na ─Źarod─Ťjnice

Za─Źn─Ťte mapov├ín├şm, ne z├íkazy. Pou┼żijte:

  • Network monitoring / proxy logy ÔÇö detekce cloud slu┼żeb
  • CASB (Cloud Access Security Broker) ÔÇö u v─Ťt┼í├şch firem
  • SSO analytics ÔÇö kde se p┼Öihla┼íuj├ş s firemn├şm emailem
  • Anal├Żza v├Żdaj┼» ÔÇö osobn├ş karty, reimbursement
  • Anonymn├ş survey ÔÇö co re├íln─Ť pot┼Öebujete

2. Legitimizujte, co jde

V─Ťt┼íina shadow IT je odpov─Ť─Ć na re├ílnou pot┼Öebu. Neru┼í├ş se ÔÇö legitimizuj├ş se:

  • Vyjednejte firemn├ş pl├ín
  • Zave─Ćte SSO a MFA
  • Za┼Öa─Ćte do monitoringu

3. Rychl├Ż schvalovac├ş proces

Nahra─Ćte 8t├Żdenn├ş byrokracii 5denn├şm procesem:

  • ┼Ż├ídost p┼Öes formul├í┼Ö (co, pro─Ź, jak├í data)
  • Security review (kritick├í rizika)
  • Cenov├í negociace
  • Rozhodnut├ş do 5 pracovn├şch dn┼»

4. Vzd─Ťl├ív├ín├ş, ne zastra┼íov├ín├ş

Zam─Ťstnanci mus├ş v─Ťd─Ťt:

  • Jak├í data nesm├ş opustit firmu (classified, PII, obchodn├ş tajemstv├ş)
  • Kde hl├ísit nov├ę n├ístroje (ofici├íln├ş cesta)
  • Co d─Ťlat, kdy┼ż se n─Ťco stane (incident response)

5. Technická kontrola

  • DLP ÔÇö blokuje upload citliv├Żch dat
  • CASB ÔÇö kontrola cloudov├Żch slu┼żeb
  • Proxy s kategorizac├ş ÔÇö logov├ín├ş p┼Ö├şstup┼»
  • Endpoint management ÔÇö co b─Ť┼ż├ş na za┼Ö├şzen├şch

FAQ: Shadow IT

M├íme zak├ízat AI n├ístroje? NE. Zam─Ťstnanci si najdou cestu kolem. M├şsto toho: schvalte jeden AI n├ístroj s enterprise ochranou dat (Claude for Work, ChatGPT Enterprise, Copilot for Business) a jasn─Ť komunikujte, co do n─Ťj pat┼Ö├ş a co ne.

Kolik stoj├ş shadow IT audit? U firmy 50ÔÇô200 lid├ş: 120 000 ÔÇô 350 000 K─Ź za komplexn├ş discovery + roadmap. ROI typicky 200ÔÇô500 % v prvn├şm roce (├║spory + sn├ş┼żen├ş rizik).

Mus├şme koupit CASB? Ne hned. Pro v─Ťt┼íinu SMB sta─Ź├ş kombinace proxy log┼» + SSO analytics + manu├íln├ş audit. CASB je pro 500+ zam─Ťstnanc┼» a regulovan├ę odv─Ťtv├ş.

Jak to souvis├ş s NIS2? NIS2 explicitn─Ť vy┼żaduje inventuru informa─Źn├şch aktiv. Shadow IT je p┼Öesn─Ť to, co v├ím chyb├ş v inventu┼Öe. Pokud spad├íte pod NIS2, audit shadow IT je povinnost, ne volba.

Co kdy┼ż najdeme kritick├í poru┼íen├ş (data v ChatGPT)? Okam┼żit─Ť: (1) identifikujte rozsah ├║niku, (2) kontaktujte DPO, (3) zva┼żte ohl├í┼íen├ş ├ÜOO├Ü do 72 hodin (GDPR), (4) revidujte AUP a bezpe─Źnostn├ş ┼íkolen├ş. Souvis├ş s na┼í├şm ─Źl├ínkem o NIS2 compliance.

Pot┼Öebujete prov├ęst shadow IT audit?

Na Poptej.IT zad├íte zak├ízku na shadow IT discovery a z├şsk├íte nab├şdky od ─Źesk├Żch security konzultant┼». Anonymn├ş sout─Ť┼ż, feedback ranking, prvn├şch 5 zak├ízek bez provize. Pr┼»m─Ťrn├í ├║spora po auditu: 18 % IT n├íklad┼» + v├Żrazn├ę sn├ş┼żen├ş rizika incidentu.

Zadat popt├ívku na audit Ôćĺ

Sdílet: LinkedIn X Facebook

Potřebujete IT projekt?

Zavolejte nám: +420 733 323 840 nebo zadejte poptávku online.

Zjistit více
Související články
NIS2 je tady: firmy ─Źel├ş pokut├ím do 10 mil. K─Ź, 90 % o tom nev├ş 18. 4. 2026 · 11 min
Kategorie
Ceny Tipy Technologie Outsourcing Bezpečnost Pro domácnosti Trendy
Užitečné odkazy