regneark privatliv risici blog

Sådan mindsker du regnearks privatlivsrisici

En bølge af højprofilerede datalæk i Storbritannien har fremhævet sikkerheds- og privatlivsrisici ved brug af regneark. Hændelserne var så alvorlige, at privatlivsregulatoren Information Commissioner's Office (ICO) blev tvunget til at træde til. Alligevel giver de også læringsmuligheder for virksomheder. Bedste praksis anbefalet af ICO og kodificeret i standarder som ISO 27001 kan gå langt for at afbøde disse risici.

Hvad skete der?

Sidste december, en Cambridge-baseret NHS trust bekræftet at der var sket to databrud, da det reagerede på anmodninger om frihed til information (FoI) ved at afsløre patientdata i Excel-regneark.

På samme måde afslørede et stort regneark de personlige oplysninger om betjente og personale, der tjener i Politiet i Nordirland (PSNI). Det online-tilgængelige regneark indeholdt følsomme oplysninger såsom betjentes navne, rang og placering, hvilket kompromitterede deres sikkerhed alvorligt.

Hvordan pivottabeller var skylden

Pivottabeller er beskrevet af microsoft som en af ​​Excels mest kraftfulde funktioner, designet til at gøre det muligt for brugere at se "sammenligninger, mønstre og tendenser" i data. De kan dog også være en sikkerhedsrisiko, ifølge Maria Opre, en cybersikkerhedsekspert og senioranalytiker hos EarthWeb.

For det første giver de brugerne mulighed for at samle store datasæt. Selvom det kan virke harmløst, fortæller Opre til ISMS.online, at opsummering og kombination af store mængder af information gør det nemmere at dele og se følsomme detaljer. Det faktum, at pivottabeller ofte er knyttet til andre databaser og informationskilder, er en anden grund til bekymring.

"Dette rejser risici, hvis de rigtige sikkerhedsforanstaltninger ikke tages, fordi private detaljer kan blive afsløret," tilføjer hun

Pivottabeller kan også øge synligheden af ​​følsomme oplysninger og potentielt resultere i databrud. Hun forklarer: "Pivottabeller kan ved et uheld vise flere data end beregnet, især med komplekse datasæt. Dette kan føre til utilsigtet eksponering af fortrolige oplysninger."

Matt Aldridge, hovedløsningskonsulent hos OpenText Cybersecurity, er enig i, at pivottabeller er problematiske, idet han hævder, at de er komplekse af design og ikke altid gør data tydelige for brugerne. Derfor kan de muligvis kun se en lille delmængde af data, når der faktisk er mere gemt i regnearket.

"Microsoft Office-filer er faktisk gemt i zip-komprimeret format, indeholder mange filer og inkluderer ofte fortryd-information, der viser historikken for alle ændringer af dokumentet i løbet af dets livscyklus - dette kan også føre til alvorligt datatab," siger han til ISMS.online.

Jake Moore, global cybersikkerhedsrådgiver hos ESET, siger til ISMS.online, at FoI-anmodninger "ofte er besværlige i deres krav, og derfor opstår der fejl".

ICO's råd

Efter de hændelser, der er fremhævet ovenfor, har ICO udgivet vejledning om, hvordan offentlige myndigheder (PA'er) i Storbritannien kan undgå lignende hændelser i fremtiden. Den advarer om, at regneark "præsenterer praktiske udfordringer og risici ved utilsigtet offentliggørelse af personlige oplysninger, som måske ikke er tydelige fra et overfladisk blik på regnearket."

Med disse udfordringer i tankerne opstillede ICO otte centrale anbefalinger, som offentlige myndigheder skal følge, når de bruger regneark. Den første indebærer implementering af et moratorium for brugere, der ønsker at uploade originale kilderegneark til onlineplatforme, når de svarer på FoI-anmodninger.

ICO anbefaler også at bruge åbne, genanvendelige tekstformater som Comma-Separated Value (CSV) filer. PA'er bør afstå fra at bruge regneark med et stort antal rækker - især hvis de er i hundreder eller tusinder - og bruge datastyringssystemer til at sikre følsom information, tilføjer den.

For medarbejdere, der bruger datasoftware og videregiver følsomme oplysninger, skal offentlige myndigheder sørge for tilstrækkelig uddannelse – måske informeret af relevant vejledning udstedt af ICO.

Offentlige myndigheder skal dog fortsætte med at overholde FOIA-ansvaret, og ICO advarer om, at deres råd ikke er "en ekstra grund til ikke at offentliggøre information som PA". ICO anbefaler også at sikre, at regneark ikke eksponerer data uventet, hvis der er behov for at bevare den originale version for at bevare makroer og ligninger.

Endelig opfordrer ICO offentlige organer til at dele følsomme data ved hjælp af det "mest passende og sikre format", som kan involvere overførsel af information fra et filformat til et andet. Den britiske regering sørger også for rådgivning om oprettelse og offentliggørelse af regneark.

Følger industriens bedste praksis

Cybersikkerhedseksperter anbefaler en række bedste praksisser ud over at følge ICO's vejledning.

OpenTexts Aldridge rådgiver at bruge en datasikkerhedsplatform – sammen med politikker, personaleuddannelse og en cyberresiliensstrategi – for at afbøde datalækager. Han siger, at disse trin vil give PA'er mulighed for at "fungere sikkert" i et hurtigt udviklende cybersikkerhedstrussellandskab.

Ilia Sotnikov, sikkerhedsstrateg og VP for brugeroplevelse hos Netwrix, siger, at organisationer kan reducere menneskelige fejl, når de afslører følsomme oplysninger, ved at håndhæve en stringent gennemgangsproces.

"Den person, der forbereder det ønskede indhold, bør ikke være i stand til at sende det til rekvirenten uden godkendelse," siger han til ISMS.online. "Ligesom en flypilot ikke kan beslutte sig for at lette, bør en arbejdsgang af kontroller og krydstjek være på plads for at sikre, at disse data er 'sikre at flyve'."

ESETs Moore tilføjer, at PA'er kan undgå at afsløre oplysninger ved et uheld ved at kryptere følsomme data og sikre, at kun autoriserede medarbejdere kan se dem.

"Disse foranstaltninger hjælper tilsammen med at beskytte følsomme oplysninger," argumenterer han.

Ved at følge branchestandarder som f.eks ISO 27001, Moore siger, at organisationer kan sænke chancen for databrud forårsaget af menneskelige fejl. Han forklarer, at ISO 27001 opstiller en række databeskyttelsesprocedurer og -politikker som en del af en omfattende informationssikkerhedsramme, men advarer om, at den "ikke er idiotsikker mod alle typer fejl eller brud".

EarthWebs Opre understøtter også industrirammer såsom ISO 27001, da de gør det muligt for organisationer at håndtere følsomme oplysninger robust og undgå databrud forårsaget af dårlig praksis for databeskyttelse. Hun anbefaler også, at man regelmæssigt gennemgår dataprocesser for at identificere eventuelle skjulte fejl og sikre, at alle i organisationen følger sikkerhedsreglerne.

Regneark er en hurtig og nem måde at dele vigtig information på, men som de seneste databrud i Storbritannien har vist, har de nogle kritiske ulemper ved databeskyttelse. Det, der er klart, er, at ved at følge ICO-vejledningen, industriens bedste praksis og standarder som ISO 27001, kan organisationer bruge regneark og andre datadelingsmetoder på en sikker og sikker måde.

Forfatter

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.

Se alle indlæg af Nicholas Fearn

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere