Hur man minskar sekretessrisker för kalkylblad
Innehållsförteckning:
En ström av högprofilerade dataläckor i Storbritannien har belyst säkerhets- och integritetsriskerna med att använda kalkylblad. Incidenterna var så allvarliga att integritetstillsynsmyndigheten Information Commissioner's Office (ICO) tvingades gå in. Ändå ger de också utbildningsmöjligheter för företag. Bästa metoder som rekommenderas av ICO och kodifierade i standarder som ISO 27001 kan räcka långt för att mildra dessa risker.
Vad hände?
I december förra året, en Cambridge-baserad NHS trust bekräftade att två dataintrång hade inträffat när det svarade på Freedom of Information (FoI)-förfrågningar genom att avslöja patientdata i Excel-kalkylblad.
På samma sätt avslöjade ett stort kalkylblad de personliga detaljerna för officerare och personal som tjänstgjorde i området Polistjänsten i Nordirland (PSNI). Det online-tillgängliga kalkylarket innehöll känslig information som officerarnas namn, rang och plats, vilket allvarligt äventyrade deras säkerhet.
Hur pivottabeller var att skylla
Pivottabeller beskrivs av Microsoft som en av Excels mest kraftfulla funktioner, designad för att göra det möjligt för användare att se "jämförelser, mönster och trender" i data. Men de kan också utgöra en säkerhetsrisk, enligt Maria Opre, en cybersäkerhetsexpert och senioranalytiker på EarthWeb.
För det första tillåter de användare att samla stora datamängder. Även om det kan verka ofarligt, säger Opre till ISMS.online att genom att sammanfatta och kombinera stora mängder information blir det lättare att dela och se känsliga detaljer. Att pivottabeller ofta är kopplade till andra databaser och informationskällor är en annan anledning till oro.
"Detta ökar riskerna om de rätta säkerhetsåtgärderna inte vidtas eftersom privata detaljer kan avslöjas," tillägger hon
Pivottabeller kan också öka synligheten för känslig information och potentiellt leda till dataintrång. Hon förklarar: "Pivottabeller kan av misstag visa mer data än avsett, särskilt med komplexa datamängder. Detta kan leda till oavsiktlig exponering av konfidentiell information."
Matt Aldridge, främsta lösningskonsult på OpenText Cybersecurity, håller med om att pivottabeller är problematiska och hävdar att de är komplexa till sin design och inte alltid gör data tydliga för användarna. Följaktligen kanske de bara kan se en liten delmängd av data när det faktiskt finns mer lagrat i kalkylarket.
"Microsoft Office-filer lagras faktiskt i zip-komprimerat format, innehåller många filer och innehåller ofta information om ångra som visar historiken för alla ändringar av dokumentet under dess livscykel - detta kan också leda till allvarlig dataförlust", säger han till ISMS.online.
Jake Moore, global cybersäkerhetsrådgivare på ESET, säger till ISMS.online att FoI-förfrågningar "ofta är mödosamma i sina krav och därför uppstår misstag".
ICO:s råd
Efter incidenterna som belysts ovan, ICO publicerad vägledning om hur offentliga myndigheter (PAs) i Storbritannien kan undvika liknande incidenter i framtiden. Den varnar för att kalkylblad "presenterar praktiska utmaningar och risker för oavsiktligt avslöjande av personlig information som kanske inte framgår av en översiktlig titt på kalkylarket."
Med dessa utmaningar i åtanke satte ICO åtta viktiga rekommendationer för offentliga myndigheter att följa när de använder kalkylblad. Den första innebär att implementera ett moratorium för användare som vill ladda upp originalkällark till onlineplattformar när de svarar på FoI-förfrågningar.
ICO rekommenderar också att du använder öppna, återanvändbara textformat som CSV-filer (Comma-Separated Value). PA:er bör avstå från att använda kalkylblad med ett stort antal rader – särskilt om de är i hundratals eller tusentals – och använda datahanteringssystem för att säkra känslig information, tilläggs det.
För anställda som använder dataprogramvara och lämnar ut känslig information måste offentliga myndigheter tillhandahålla tillräcklig utbildning – kanske informerad av relevant vägledning utfärdat av ICO.
Offentliga myndigheter måste dock fortsätta att följa FOIA:s ansvar, med ICO varning för att dess råd inte är "en extra anledning att inte publicera information som en PA". ICO rekommenderar också att se till att kalkylblad inte exponerar data oväntat om det finns ett behov av att behålla den ursprungliga versionen för att bevara makron och ekvationer.
Slutligen uppmanar ICO offentliga organ att dela känslig information med det "mest lämpliga och säkra formatet", vilket kan innebära att information överförs från ett filformat till ett annat. Den brittiska regeringen tillhandahåller också rådgivning om att skapa och avslöja kalkylblad.
Följer branschens bästa praxis
Cybersäkerhetsexperter rekommenderar en rad bästa praxis, förutom att följa ICO:s vägledning.
OpenTexts Aldridge rekommenderar att du använder en datasäkerhetsplattform – tillsammans med policyer, personalutbildning och en cyberresiliensstrategi – för att minska dataläckor. Han säger att dessa steg kommer att tillåta PA:er att "fungera säkert" i ett snabbt växande cybersäkerhetshotslandskap.
Ilia Sotnikov, säkerhetsstrateg och VP för användarupplevelse på Netwrix, säger att organisationer kan minska mänskliga fel när de avslöjar känslig information genom att tillämpa en strikt granskningsprocess.
"Personen som förbereder det begärda innehållet ska inte kunna skicka det till förfrågaren utan godkännande", säger han till ISMS.online. "Precis som en flygplanspilot inte kan besluta sig för att lyfta, bör ett arbetsflöde av kontroller och korskontroller finnas på plats för att säkerställa att dessa data är "säkra att flyga".
ESETs Moore tillägger att PA:er kan undvika att avslöja information av misstag genom att kryptera känslig data och säkerställa att endast auktoriserade anställda kan se den.
"Dessa åtgärder bidrar tillsammans till att skydda känslig information", hävdar han.
Genom att följa branschstandarder som t.ex ISO 27001, Moore säger att organisationer kan minska risken för dataintrång orsakade av mänskliga fel. Han förklarar att ISO 27001 anger en rad dataskyddsprocedurer och policyer som en del av ett omfattande ramverk för informationssäkerhet, men varnar för att det "inte är idiotsäkert mot alla typer av fel eller intrång".
EarthWebs Opre stöder också branschramverk som ISO 27001, eftersom de gör det möjligt för organisationer att hantera känslig information robust och undvika dataintrång orsakade av dålig datasekretesspraxis. Hon rekommenderar också att regelbundet granska dataprocesser för att identifiera eventuella dolda brister och säkerställa att alla inom organisationen följer säkerhetsreglerna.
Kalkylblad är ett snabbt och enkelt sätt att dela viktig information, men som de senaste dataintrång i Storbritannien har visat har de några viktiga nackdelar med datasekretess. Det som är tydligt är att genom att följa ICO-vägledning, branschpraxis och standarder som ISO 27001, kan organisationer använda kalkylblad och andra datadelningsmetoder på ett säkert och säkert sätt.
