laskentataulukon tietosuojariskit -blogi

Kuinka vähentää laskentataulukon tietosuojariskejä

Isossa-Britanniassa tapahtuneet korkean profiilin tietovuodot ovat korostaneet laskentataulukoiden käytön turvallisuus- ja tietosuojariskejä. Tapahtumat olivat niin vakavia, että tietosuojavaltuutettu Information Commissioner's Office (ICO) joutui puuttumaan asiaan. Silti ne tarjoavat myös oppimismahdollisuuksia yrityksille. ICO:n suosittelemat parhaat käytännöt, jotka on kodifioitu standardeihin, kuten ISO 27001, voivat auttaa merkittävästi vähentämään näitä riskejä.

Mitä tapahtui?

Viime joulukuussa Cambridgessa toimiva NHS-säätiö vahvistettu että kaksi tietomurtoa oli tapahtunut, kun se vastasi tiedonvapauden (FoI) pyyntöihin paljastamalla potilastiedot Excel-taulukoissa.

Samoin suuri laskentataulukko paljasti virkamiesten ja henkilöstön henkilötiedot Pohjois-Irlannin poliisilaitos (PSNI). Verkossa käytettävä laskentataulukko sisälsi arkaluontoisia tietoja, kuten upseerien nimiä, arvoa ja sijaintia, mikä vaaransi vakavasti heidän turvallisuutensa.

Kuinka pivot-taulukot olivat syyllisiä

Pivot-taulukoita kuvaa Microsoft yhtenä Excelin tehokkaimmista ominaisuuksista, jonka avulla käyttäjät voivat nähdä "vertailuja, malleja ja trendejä" tiedoissa. Ne voivat kuitenkin olla myös turvallisuusriski, sanoo kyberturvallisuusasiantuntija ja EarthWebin vanhempi analyytikko Maria Opre.

Ensinnäkin niiden avulla käyttäjät voivat koota suuria tietojoukkoja. Vaikka se saattaa tuntua vaarattomalta, Opre kertoo ISMS.onlinelle, että suurten tietomäärien yhteenveto ja yhdistäminen helpottaa arkaluonteisten tietojen jakamista ja tarkastelua. Toinen huolenaihe on se, että pivot-taulukot on usein linkitetty muihin tietokantoihin ja tietolähteisiin.

"Tämä lisää riskejä, jos oikeita turvatoimia ei tehdä, koska yksityiset tiedot voivat paljastua", hän lisää

Pivot-taulukot voivat myös lisätä arkaluonteisten tietojen näkyvyyttä ja mahdollisesti johtaa tietomurtoihin. Hän selittää: "Pivot-taulukot saattavat vahingossa näyttää enemmän dataa kuin on tarkoitettu, varsinkin monimutkaisten tietojoukkojen kanssa. Tämä voi johtaa luottamuksellisten tietojen paljastamiseen vahingossa."

Matt Aldridge, OpenText Cybersecurityn tärkein ratkaisukonsultti, on samaa mieltä siitä, että pivot-taulukot ovat ongelmallisia ja väittää, että ne ovat rakenteeltaan monimutkaisia ​​eivätkä aina tee tietoja käyttäjille selkeästi. Näin ollen he voivat nähdä vain pienen osajoukon tiedoista, kun niitä on itse asiassa enemmän tallennettuna laskentataulukkoon.

"Microsoft Office -tiedostot on itse asiassa tallennettu zip-pakkatussa muodossa, ne sisältävät monia tiedostoja ja sisältävät usein kumoamistietoja, jotka osoittavat kaikkien dokumenttiin sen elinkaaren aikana tehtyjen muutosten historian – tämä voi myös johtaa vakavaan tietojen menettämiseen", hän kertoo ISMS.online-sivustolle.

Jake Moore, ESETin globaali kyberturvallisuusneuvoja, kertoo ISMS.online-sivustolle, että FoI-pyynnöt "ovat usein vaativia ja siksi virheitä tapahtuu".

ICO:n neuvoja

Edellä mainittujen tapausten jälkeen ICO julkaistu ohje siitä, kuinka Yhdistyneen kuningaskunnan viranomaiset voivat välttää vastaavia tapauksia tulevaisuudessa. Se varoittaa, että laskentataulukot "esivät käytännön haasteita ja riskejä henkilötietojen tahattomasta paljastamisesta, jotka eivät välttämättä käy ilmi laskentataulukon pintapuolisesta tarkastelusta".

Nämä haasteet mielessään ICO asetti kahdeksan keskeistä suositusta viranomaisille, joita on noudatettava laskentataulukoiden käytössä. Ensimmäinen koskee moratorion täytäntöönpanoa käyttäjille, jotka haluavat ladata alkuperäisen lähdekoodin laskentataulukoita online-alustoille vastaaessaan FoI-pyyntöihin.

ICO suosittelee myös avoimien, uudelleenkäytettävien tekstimuotojen, kuten CSV-tiedostojen (Comma-Separated Value) käyttöä. PA:iden tulisi pidättäytyä käyttämästä laskentataulukoita, joissa on suuri määrä rivejä – varsinkin jos niitä on satoja tai tuhansia – ja käyttää tiedonhallintajärjestelmiä arkaluonteisten tietojen suojaamiseen, se lisää.

Tietoohjelmistoja käyttäville ja arkaluonteisia tietoja luovuttaville työntekijöille viranomaisten on järjestettävä riittävä koulutus – ehkä tietoonsa asiaankuuluvaa ohjetta ICO:n myöntämä.

Viranomaisten on kuitenkin jatkettava FOIA-velvoitteiden noudattamista, ja ICO varoittaa, että sen neuvot eivät ole "ylimääräinen syy olla julkaisematta tietoja PA:na". ICO suosittelee myös varmistamaan, että laskentataulukot eivät paljasta tietoja odottamatta, jos on tarpeen säilyttää alkuperäinen versio makrojen ja yhtälöiden säilyttämiseksi.

Lopuksi ICO kehottaa julkisia elimiä jakamaan arkaluontoisia tietoja "sopivimmassa ja turvallisimmassa muodossa", mikä voi tarkoittaa tietojen siirtämistä tiedostomuodosta toiseen. Myös Yhdistyneen kuningaskunnan hallitus tarjoaa neuvot laskentataulukoiden luomisesta ja paljastamisesta.

Toimialan parhaiden käytäntöjen noudattaminen

Kyberturvallisuusasiantuntijat suosittelevat useita parhaita käytäntöjä ICO:n ohjeiden noudattamisen lisäksi.

OpenTextin Aldridge neuvoo käyttämään tietoturvaalustaa – käytäntöjen, henkilöstön koulutuksen ja kybersietostrategian ohella – tietovuotojen vähentämiseksi. Hän sanoo, että nämä vaiheet antavat PA:ille mahdollisuuden "toimia turvallisesti" nopeasti kehittyvässä kyberturvallisuusuhkaympäristössä.

Netwrixin turvallisuusstrategi ja käyttökokemuksesta vastaava Ilia Sotnikov sanoo, että organisaatiot voivat vähentää inhimillisiä virheitä paljastaessaan arkaluonteisia tietoja tiukan tarkistusprosessin avulla.

"Pyydettyä sisältöä valmistelevan henkilön ei pitäisi pystyä lähettämään sitä pyytäjälle ilman lupaa", hän kertoo ISMS.onlinelle. "Aivan kuin lentokoneen lentäjä ei voi päättää lähteä lentoon, tarkastusten ja ristiintarkastusten työnkulun tulisi olla käytössä sen varmistamiseksi, että nämä tiedot ovat "lentää turvallisia".

ESETin Moore lisää, että PA:t voivat välttää tietojen paljastamisen vahingossa salaamalla arkaluontoiset tiedot ja varmistamalla, että vain valtuutetut työntekijät voivat tarkastella niitä.

"Nämä toimenpiteet auttavat yhdessä suojaamaan arkaluonteisia tietoja", hän väittää.

Noudattamalla alan standardeja, kuten ISO 27001, Mooren mukaan organisaatiot voivat vähentää inhimillisten virheiden aiheuttamien tietomurtojen mahdollisuutta. Hän selittää, että ISO 27001 sisältää joukon tietosuojamenettelyjä ja -käytäntöjä osana kattavaa tietoturvakehystä, mutta varoittaa, että se "ei ole idioottivarma kaikentyyppisiltä virheiltä tai loukkauksilta".

EarthWebin Opre tukee myös alan kehyksiä, kuten ISO 27001, koska niiden avulla organisaatiot voivat hallita lujasti arkaluonteisia tietoja ja välttää huonojen tietosuojakäytäntöjen aiheuttamia tietomurtoja. Hän suosittelee myös tietoprosessien säännöllistä tarkistamista piilotettujen virheiden tunnistamiseksi ja sen varmistamiseksi, että kaikki organisaatiossa noudattavat turvallisuussääntöjä.

Laskentataulukot ovat nopea ja helppo tapa jakaa tärkeitä tietoja, mutta kuten viimeaikaiset tietomurrot Yhdistyneessä kuningaskunnassa ovat osoittaneet, niillä on joitakin kriittisiä tietosuojahaittoja. On selvää, että noudattamalla ICO:n ohjeita, alan parhaita käytäntöjä ja standardeja, kuten ISO 27001, organisaatiot voivat käyttää laskentataulukoita ja muita tiedonjakomenetelmiä turvallisesti.

kirjailija

Nicholas Fearn

Nicholas Fearn on freelance-toimittaja Walesin laaksoista. Hän on kirjoittanut suurille tiedotusvälineille, kuten Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost ja Insider, sekä B2B-julkaisuille, kuten Computer Weekly, Computing ja IT Pro. Kun Nic ei kirjoita uusimmista laitteista ja teknologiatrendeistä, hän luultavasti kuuntelee Mariah Careyn koko diskografiaa.

Näytä kaikki Nicholas Fearnin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja