No-code/low-code и shadow IT: как маркетинг и HR создают невидимые риски для корпоративных данных

Когда удобный инструмент становится источником утечки: разбор механики, правовых последствий и способов контроля

Почему это важно именно сейчас

Представьте: HR-менеджер крупной компании создаёт базу кандидатов в Notion. Там — имена, телефоны, резюме, результаты тестовых заданий, ссылки на видеозаписи интервью. Настраивает автоматическую рассылку через Zapier. Через три месяца коллега случайно меняет права доступа к странице — и база становится публичной. ИТ-отдел узнаёт об этом от службы безопасности, а та — из новостей.

Этот сценарий не гипотетический. Он воспроизводится в разных вариациях каждый день в компаниях по всему миру — и всё чаще в России, где рост no-code-инструментов совпал с радикальным ужесточением ответственности за нарушения с персональными данными.

В России около 84% компаний уже используют low-code и no-code решения, а доля отечественных платформ выросла с 35% в 2023 году до 55% в 2025 [1]. Глобально Gartner прогнозирует, что к 2026 году 70% новых корпоративных приложений будут создаваться с помощью no-code или low-code технологий — против менее 25% ещё несколько лет назад [14]. Этот рост происходит преимущественно за пределами ИТ-отделов — его двигатели маркетинг, HR, операционные команды.

Что такое shadow IT и почему его стало больше

От флешки к no-code-платформе: эволюция теневых инструментов

Shadow IT — использование сотрудниками IT-решений, устройств, программ и сервисов, которые не санкционированы и не контролируются корпоративным ИТ-отделом [2]. Это понятие существует десятилетиями: когда-то речь шла о флешках и личных почтовых ящиках, затем — о Dropbox и WhatsApp. Сегодня shadow IT приобрёл новое измерение: полноценные рабочие инструменты, базы данных, автоматизированные процессы — всё это создаётся без строчки кода и без единого обращения в ИТ-службу.

No-code и low-code платформы стали технологическим ускорителем shadow IT. Если раньше для создания собственного приложения или базы данных требовался разработчик — и, значит, ИТ-отдел автоматически оказывался в курсе — то теперь маркетолог или рекрутер за несколько часов самостоятельно строит полноценную рабочую систему. Никаких заявок в helpdesk, никаких security-review, никакого контракта с вендором через юридический отдел.

Важно понимать: в большинстве случаев сотрудники не действуют злонамеренно. По данным исследований, неосведомлённость о правилах и политике безопасности — одна из главных причин появления shadow IT [2]. Люди решают реальные рабочие задачи самыми удобными доступными средствами.

Цифры и масштаб проблемы

Глобальная статистика рисует картину, которую трудно игнорировать.

1. Среднее предприятие имеет 975 неизвестных облачных сервисов при 108 официально известных — облачное потребление в реальности в десять раз превышает то, что видит ИТ [7, 9].
2. 67% сотрудников компаний из списка Fortune 1000 используют неодобренные SaaS-приложения [9].
3. По оценке Gartner, 41% сотрудников в 2022 году создавали или использовали технологии, находившиеся вне поля зрения ИТ-отделов — и Gartner прогнозирует рост этого показателя до 75% к 2027 году [8, 9].
4. 85% глобальных компаний сталкивались с киберинцидентами за последние два года, и 11% из них напрямую связаны с использованием несанкционированного shadow IT [7].
5. По данным IBM 2025 года, использование shadow AI (несанкционированных ИИ-инструментов — производная от shadow IT) добавляет в среднем $670 000 к стоимости каждого инцидента с утечкой данных [11].

В российском контексте масштаб не меньше: за первые восемь месяцев 2025 года из российских организаций утекло около 13 млрд строк записей с персональными данными — в четыре раза больше, чем за весь 2024 год [20].

No-code/low-code как катализатор shadow IT

Инструменты, которые никто не запрашивал у ИТ

No-code и low-code — принципиально разные вещи, хотя их часто смешивают. Low-code предполагает минимальное кодирование — готовые модули и визуальные сценарии, где код нужен только для доработок. No-code полностью исключает программирование: пользователь собирает приложение из блоков через графический интерфейс [1].

Оба подхода объединяет одно ключевое свойство: они снижают порог входа настолько, что любой сотрудник с базовыми компьютерными навыками может создать рабочую систему. Именно это делает их катализатором shadow IT. В отличие от традиционного ПО, которое нужно устанавливать, лицензировать и интегрировать с корпоративной инфраструктурой, no-code-сервисы доступны через браузер и часто имеют бесплатный тариф. Барьер для запуска — нулевой.

Среди примеров: Notion, Airtable, Google Sheets с автоматизацией, Zapier, Make (ранее Integromat), Bubble, Glide, Webflow. Все они позволяют хранить данные, строить рабочие процессы, интегрировать внешние сервисы — и всё это на серверах за рубежом или в облаках, юрисдикция которых может не соответствовать российскому законодательству.

Показательна оценка эксперта Сергея Полунина с площадки ComNews: компании могут начать терять контроль над безопасностью решений, а управление версиями и аудитом изменений при повсеместном использовании LC/NC-инструментов — пока нерешённая проблема [10].

Типичные сценарии — маркетинг и HR в зоне особого риска

Маркетинг и HR — два подразделения, которые по природе своей работы постоянно имеют дело с персональными данными третьих лиц: клиентов, лидов, кандидатов, партнёров. И именно эти подразделения наиболее активно осваивают no-code-инструменты — часто без какого-либо согласования с ИТ.

Типичные сценарии в маркетинге выглядят так. Команда маркетинга создаёт лид-форму на стороннем сервисе (Typeform, Tally, Jotform) и автоматически передаёт данные в Airtable — своеобразную no-code базу данных с гибкими таблицами. Дальше Zapier связывает Airtable с почтовым сервисом, CRM и мессенджером. Итог: персональные данные потенциальных клиентов автоматически текут через четыре–пять независимых иностранных сервисов. ИТ-отдел об этой цепочке не знает, договоры с вендорами на обработку ПДн не заключены, локализация данных на российских серверах не обеспечена.

В HR картина похожа. Рекрутер создаёт базу кандидатов в Notion: имена, контакты, ссылки на резюме с HeadHunter, результаты тестовых, ссылки на записи видеособеседований. Настраивает автоматические уведомления через Zapier. Все эти данные — типичные персональные данные по 152-ФЗ. Однако рекрутер не думает об этом в правовых категориях: он просто удобно организовывает свою работу [19]. Аналогичный сценарий — использование Notion или Airtable для хранения данных об увольнениях, зарплатах, дисциплинарных взысканиях: это уже специальные категории персональных данных с повышенными требованиями защиты.

Какие данные оказываются под угрозой

Персональные данные клиентов в Notion и Airtable

Лид — это уже персональные данные. Имя и телефонный номер, оставленные в форме на сайте, попадают под действие 152-ФЗ вне зависимости от того, в каком сервисе они потом хранятся. Если маркетолог передаёт их в Airtable, размещённый на серверах AWS в США, компания автоматически осуществляет трансграничную передачу персональных данных. Это требует отдельной процедуры по статье 12 152-ФЗ — и на практике почти никогда не выполняется при использовании no-code-сервисов [22].

Дополнительный риск создаёт настройка доступа. В no-code-платформах легко случайно открыть доступ «по ссылке» или «для всех» — особенно при спешке или при передаче проекта коллеге. Именно такие конфигурационные ошибки стали причиной 43% утечек через облачные сервисы [4].

Данные кандидатов в неуправляемых HR-базах

Данные кандидатов представляют особую проблему: они собираются массово, хранятся долго, и их объём часто превышает минимально необходимый. Записи собеседований, тестовые задания, психологические тесты — всё это чувствительные сведения, требующие явного согласия кандидата и надлежащей защиты. Когда HR-специалист хранит всё это в Notion на иностранном облачном сервисе, а потом уходит из компании, данные могут остаться там навсегда — в так называемых «теневых данных» (shadow data), которые продолжают существовать без владельца и без контроля [6].

Автоматизация через Zapier/Make — новые пути утечки

Zapier и Make (а также российские аналоги — Albato, n8n) — это сервисы интеграции, которые позволяют автоматически передавать данные между приложениями. Они создают скрытые потоки данных, невидимые для ИТ-отдела. Маркетинговая команда может настроить сценарий: «Когда лид заполняет форму → запись в Google Sheets → уведомление в Telegram → добавление в email-рассылку → сохранение в Airtable». Каждый переход — это передача персональных данных третьей стороне. Каждый сервис — потенциальная точка уязвимости.

OWASP выделяет риск LCNC-SEC-03 (Data Leakage and Unexpected Consequences) как один из ключевых для low-code и no-code экосистем: данные уходят туда, куда разработчик не планировал, через неочевидные коннекторы и триггеры [13].

Правовой контекст: 152-ФЗ и новые штрафы 2025 года

Что изменилось с 30 мая 2025 года

30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ от 30 ноября 2024 года, который радикально пересмотрел систему штрафов за нарушения в сфере персональных данных [15, 16].

Принципиальное изменение — введение оборотных штрафов за повторные утечки. Если компания допустила утечку ПДн более одного раза, штраф составит от 1 до 3% совокупной выручки за предыдущий календарный год, но не менее 20 млн руб. и не более 500 млн руб. [21, 25]. Для кредитных организаций база расчёта — собственные средства.

За первичную утечку ПДн от 1 000 до 10 000 человек штраф для юрлица составит от 100 000 до 200 000 руб. — это многократный рост по сравнению с прежними суммами [16]. За нарушение обязанности уведомить Роскомнадзор об утечке в течение 24 часов организации грозит штраф от 1 до 3 млн руб. [16].

Параллельно с декабря 2024 года начала действовать статья 272.1 Уголовного кодекса РФ о незаконной передаче компьютерной информации, содержащей персональные данные [21]. За нарушение правил обработки ПДн специальных категорий возможно лишение свободы до пяти лет [17].

Кто несёт ответственность — оператор или подразделение?

Ответ чёткий: ответственность несёт оператор персональных данных — то есть организация в целом [22]. Тот факт, что маркетинговый отдел самостоятельно настроил интеграцию с иностранным no-code-сервисом, не снимает ответственности с юридического лица. Более того, незнание сотрудником правил обработки данных не является смягчающим обстоятельством по КоАП.

Это создаёт принципиальный риск: нарушение совершается в одном подразделении, но платит вся компания — причём теперь сумма может быть сопоставима с несколькими месяцами выручки. Любой сервис с e-mail рассылками, любая CRM-подобная база в Notion — это уже обработка ПДн, требующая уведомления Роскомнадзора [26, 15].

Почему ИТ-отдел не видит угрозу

Невидимые сервисы: 975 против 108

Главная проблема shadow IT — не злой умысел, а невидимость. ИТ-отдел не может защищать то, о существовании чего не знает. Среднестатистическое предприятие имеет 975 неизвестных облачных сервисов при 108 официально отслеживаемых [7, 9]. Большинство из них появляется не через корпоративные закупки, а через личные карты сотрудников, бесплатные тарифы и корпоративные карты, использованные без согласования.

Традиционные инструменты ИБ плохо работают с no-code shadow IT: SIEM не видит авторизованного пользователя в иностранном SaaS, DLP не перехватывает данные, которые никогда не проходят через корпоративные шлюзы, а vulnerability scanner не может проверить код, которого нет. Компании могут начать терять контроль над безопасностью решений при массовом использовании LC/NC-инструментов, управление версиями и аудитом изменений остаётся нерешённой проблемой [10].

Только 12% ИТ-отделов справляются с потоком новых технологических запросов, что создаёт постоянный бэклог и стимулирует сотрудников к самообслуживанию [9]. 35% сотрудников признаются, что им приходится обходить политики безопасности компании, чтобы выполнить свою работу [28]. Это структурная проблема: запрет не работает, если он не сопровождается удобной альтернативой.

Shadow AI как новое измерение проблемы

Shadow IT эволюционировал: к нему добавился shadow AI. По данным Microsoft и LinkedIn Work Trend Index 2024, 78–80% работников уже используют личные ИИ-инструменты на работе [11]. Это означает, что корпоративные данные — включая персональные данные клиентов и сотрудников — загружаются в ChatGPT и другие сервисы без оценки рисков, без согласия субъектов данных и без понимания того, как эти данные используются для обучения моделей.

По данным IBM 2025 года, 20% организаций уже столкнулись с инцидентами безопасности из-за shadow AI, и 65% этих инцидентов затрагивали персональные данные [11]. Широкое использование корпоративными сотрудниками ИИ-сервисов создаёт риск утечек конфиденциальной информации [3].

Типичные сценарии: рекрутер загружает пачку резюме в ChatGPT для «суммаризации» перед встречей. Маркетолог загружает клиентскую базу в ИИ-инструмент для сегментации. Оба действия — передача персональных данных третьей стороне без надлежащего правового основания.

Практическая часть: что делать

Чек-лист для оценки рисков no-code/shadow IT

Для быстрой первичной оценки ситуации в компании можно использовать следующие вопросы.

1. Есть ли актуальный реестр всех SaaS-сервисов, которые используют сотрудники (включая оплачиваемые личными картами)?
2. Знает ли ИТ-отдел, в каких no-code-сервисах хранятся данные о клиентах, лидах, кандидатах, сотрудниках?
3. Проводится ли аудит прав доступа в сервисах типа Notion, Airtable, Google Workspace на предмет случайно открытых страниц?
4. Заключены ли договоры на обработку ПДн с теми вендорами, через которых фактически проходят данные?
5. Соответствует ли хранение данных требованию локализации ПДн (серверы на территории РФ)?
6. Уведомлен ли Роскомнадзор обо всех фактических операторах обработки ПДн?
7. Знают ли маркетологи и HR-специалисты, что представляет собой персональные данные по 152-ФЗ и какова их ответственность?
8. Есть ли процедура экстренного уведомления РКН в течение 24 часов при выявлении утечки?
9. Регулярно ли проводится сканирование облачных окружений на предмет shadow data?
10. Есть ли у компании инструмент непрерывного мониторинга появления новых источников ПДн в инфраструктуре?

Governance без запрета: как выстроить контролируемое использование

Запрет no-code-инструментов — неэффективная стратегия. Если корпоративные инструменты неудобны, сотрудники всё равно будут искать обходные пути. Стратегия «structured enablement» — структурированного разрешения — работает лучше [27].

Элементы такого подхода выглядят следующим образом.

1. Реестр одобренных инструментов. ИТ и ИБ формируют «белый список» no-code/low-code сервисов, прошедших проверку: юрисдикция, условия хранения данных, возможность настройки локализации.
2. Классификация данных. Не все данные одинаково чувствительны. Маркетинговая аналитика и персональные данные клиентов — разные категории с разными требованиями. Сотрудники должны понимать эту разницу.
3. Политика data minimization. Запрет на хранение избыточных данных в no-code-сервисах: только то, что необходимо для задачи, только на срок, необходимый для задачи.
4. Обязательные security review перед запуском новых интеграций. Процесс должен быть быстрым — медленный review — одна из причин, почему сотрудники обходят ИТ.
5. Обучение маркетинга и HR. Правовая грамотность в области ПДн — не роскошь, а базовый операционный навык для любого сотрудника, работающего с данными о людях.
6. Мониторинг Shadow SaaS. Использование инструментов обнаружения несанкционированного ПО и облачных сервисов (CASB, SaaS discovery tools).

Ошибки и как их избежать

Первая и самая распространённая ошибка — воспринимать shadow IT как проблему нарушителей. Исследования показывают: 91% команд чувствуют давление в пользу приоритизации бизнес-результатов над безопасностью [9]. Сотрудники используют неодобренные инструменты не потому, что хотят навредить компании, а потому что хотят работать эффективно. Ответ ИТ должен быть не репрессивным, а системным.

Вторая ошибка — игнорирование «временных» решений. Notion-база, созданная «на два месяца» для одного проекта, часто существует годами. Данные в ней накапливаются, а ответственного нет. Shadow data — невостребованные, забытые данные в облачных сервисах — представляют особый риск именно потому, что никто за ними не следит [6].

Третья ошибка — переоценка защищённости известных брендовых сервисов. Популярность инструмента не означает соответствия российскому законодательству. Notion, Airtable, Zapier хранят данные на серверах в США или Европе. Использование их для хранения персональных данных российских граждан без надлежащего правового обоснования — нарушение требования локализации по 152-ФЗ [22, 26].

Четвёртая ошибка — отсутствие актуальной «карты данных». Большинство компаний не знают, где в их инфраструктуре фактически хранятся персональные данные. Аудит, проводимый раз в год или реже, даёт картину прошлого, а не настоящего: за это время в БД появились новые поля, запустились новые интеграции, подключились новые подрядчики.

Пятая ошибка — недооценка правовых изменений 2025 года. До 30 мая 2025 года максимальный штраф за утечку для юридического лица составлял около 100 000 руб. — сумму, которую многие компании воспринимали как приемлемый риск. Теперь речь идёт о 500 млн руб. или проценте от оборота. Цена халатности выросла на несколько порядков [17, 25].

Тренды: куда движется shadow IT в эпоху AI

Проблема будет усугубляться, а не решаться сама собой. Несколько факторов указывают на это.

Во-первых, no-code продолжает дешеветь и упрощаться. По прогнозу Gartner, к 2026 году соотношение «citizen developers» (непрофессиональных разработчиков) к профессиональным составит 4:1 в крупных предприятиях [14]. Чем ниже порог входа, тем больше людей создают рабочие системы без ИТ.

Во-вторых, ИИ-инструменты встраиваются в no-code-платформы. Notion AI, Airtable AI, Zapier AI — это уже реальность. Это означает, что данные, загружаемые в no-code-сервисы, теперь ещё и обрабатываются ИИ-моделями, юрисдикция и политики которых зачастую непрозрачны.

В-третьих, размывается граница между корпоративными и личными инструментами. Тренд Bring Your Own AI (BYOAI) означает, что сотрудники приходят на работу со своими ИИ-инструментами так же естественно, как раньше приходили с личными смартфонами в эпоху BYOD [27].

В-четвёртых, российская регуляторная среда будет ужесточаться. Постановлением Правительства РФ № 1286 от 27 августа 2025 года внесены изменения в регламент госконтроля за обработкой персональных данных, внедряющие риск-ориентированный подход [25]. Это означает более частые проверки высокорисковых операторов и более жёсткий контроль.

Как «Пятый фактор» помогает держать ситуацию под контролем

Ключевая проблема, которую создаёт no-code/shadow IT — это разрыв между тем, что ИТ-отдел думает о расположении персональных данных, и тем, где они находятся на самом деле. Новое поле в CRM, заведённое маркетологом. Новая интеграция с внешним сервисом, настроенная через Zapier. Новая база кандидатов, созданная HR в Airtable. Каждое из этих событий — потенциальное нарушение, которое компания обнаружит в лучшем случае при следующем аудите, в худшем — при инциденте или проверке Роскомнадзора.

«Пятый фактор» — это on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Принципиальная особенность платформы — работа с метаданными, структурой и агрегатами без передачи и хранения «сырых» персональных данных. Это значит, что само решение не становится источником риска и дополнительной точкой утечки.

Для задачи контроля shadow IT и no-code рисков это критически важно. Платформа даёт живую «карту ПДн» — где и какие данные есть, кто владелец, что изменилось. Она замечает новые риски раньше, чем они превращаются в инциденты: новые поля в базах данных, новые интеграции, новые источники данных. Вместо разрозненных ручных проверок раз в полгода компания получает непрерывный процесс с понятными нарушениями, владельцами, статусами и согласованиями.

В контексте новых штрафов 2025 года это имеет прямой финансовый смысл: выявить новый рисковый источник данных до инцидента несопоставимо дешевле, чем заплатить оборотный штраф и восстанавливать репутацию после утечки.

Заключение

No-code и low-code инструменты — это не угроза сами по себе. Это мощные инструменты продуктивности, которые позволяют бизнесу двигаться быстро. Угрозу создаёт разрыв между скоростью их распространения и скоростью, с которой компании выстраивают соответствующие процессы контроля.

Маркетинг и HR оказались в эпицентре этой проблемы не потому, что там работают люди с плохими намерениями, а потому что именно там задачи требуют быстрых решений, именно там традиционные ИТ-инструменты часто не успевают за потребностями, и именно там по природе работы сосредоточена концентрация персональных данных.

Ответом на эту проблему не может быть запрет. Ответом должна стать система: понятные политики, одобренные инструменты, обучение сотрудников, технические средства обнаружения shadow IT и непрерывный мониторинг появления новых источников персональных данных в инфраструктуре.

С учётом новых оборотных штрафов, вступивших в силу в мае 2025 года, и продолжающегося роста утечек данных — это уже не вопрос ИБ-гигиены, а вопрос операционной выживаемости бизнеса.

Источники

[1] Riverstart: low-code, no-code и vibe-code — https://riverstart.ru/blog/low-code-no-code-ivibe-code-ekspertnyij-vzglyad-razrabotchikov-natrend-2026

[2] SpectrumData: что такое Shadow IT — https://spectrumdata.ru/blog/proverka-soiskatelya/chto-takoe-shadow-it-i-kak-effektivno-upravlyat-nekontroliruemymi-tekhnologiyami-v-kompanii/

[3] Positive Technologies: Актуальные киберугрозы Q4 2024 – Q1 2025 — https://ptsecurity.com/research/analytics/aktualnye-kiberugrozy-iv-kvartal-2024-goda-i-kvartal-2025-goda/

[4] TAdviser: Информационная безопасность в компании — https://www.tadviser.ru/index.php/Статья:Информационная_безопасность_в_компании

[5] TAdviser: Утечки данных — https://www.tadviser.ru/index.php/Статья:Утечки_данных

[6] Habr/VK Tech: Shadow Data в облаке — https://habr.com/ru/companies/vktech/articles/972032/

[7] Josys: Shadow IT Definition 2024 — https://www.josys.com/article/article-shadow-it-shadow-it-definition-2024-statistics-and-solutions

[8] Auvik: 50 Shadow IT Statistics — https://www.auvik.com/franklyit/blog/shadow-it-stats/

[9] JumpCloud: What Is Shadow IT? — https://jumpcloud.com/blog/shadow-it

[10] ComNews: No-code или low-code — вот в чем вопрос — https://www.comnews.ru/content/241615/2025-10-07/2025-w41/1008/no-code-ili-low-code-vot-chem-vopros

[11] Electroiq: Shadow IT Statistics 2026 — https://electroiq.com/stats/shadow-it-statistics/

[12] CIO.com: Low code, no fear — https://www.cio.com/article/4149388/low-code-no-fear.html

[13] DevOps.com: Risks of Multiple Low-Code Platforms — https://devops.com/how-to-avoid-risk-when-using-multiple-low-code-platforms/

[14] Integrate.io: No-code usage trends — https://www.integrate.io/blog/no-code-transformations-usage-trends/

[15] RTM Group: Новые штрафы за утечки ПДн — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/

[16] КонсультантПлюс: Штрафы за ПДн с 30 мая 2025 — https://www.consultant.ru/legalnews/28492/

[17] Главбух: Штрафы за персданные — https://www.glavbukh.ru/art/391377-shtrafy-za-obrabotku-rasprostranenie-i-utechku-personalnyh-dannyh-11xx-news

[18] Habr: Утечка сквозь уязвимость мобильного приложения — https://habr.com/ru/articles/973244/

[19] VC.ru: Notion для бизнеса — шаблоны для HR — https://vc.ru/hr/134410-gaid-po-notion-dlya-biznesa-14-shablonov-dlya-rekrutinga-i-hr

[20] Контур/УЦ: Защита персональных данных от утечек — https://ca.kontur.ru/articles/82257-zashchitit_personalnye_dannye_ot_utechek_i_vzlomov

[21] Kontur.ru: ПДн сотрудников и штрафы 2025 — https://kontur.ru/kedo/spravca/53645-shtrafy_za_narushenie_zakona_o_pd

[22] data-sec.ru: 152-ФЗ о персональных данных — https://data-sec.ru/personal-data/152-fz/

[23] КонсультантПлюс: новые штрафы КоАП 2025 — https://www.consultant.ru/document/cons_doc_LAW_490308/

[24] Wiz: Shadow IT risks — https://www.wiz.io/academy/cloud-security/shadow-it

[25] data-sec.ru: Штрафы за нарушение 152-ФЗ — https://data-sec.ru/personal-data/fines/

[26] Timeweb Cloud: Облако 152-ФЗ — https://timeweb.cloud/solutions/152fz

[27] Zylo: Shadow AI — https://zylo.com/blog/shadow-ai/

[28] G2 Track: Shadow IT statistics — https://track.g2.com/resources/shadow-it-statistics