בלוג סיכוני פרטיות של גיליון אלקטרוני

כיצד להפחית את סיכוני הפרטיות של גיליון אלקטרוני

שפע של דליפות נתונים בעלות פרופיל גבוה בבריטניה הדגיש את סיכוני האבטחה והפרטיות של שימוש בגיליונות אלקטרוניים. התקריות היו כה חמורות עד שרגולטור הפרטיות, משרד נציב המידע (ICO) נאלץ להתערב. אך הם גם מספקים הזדמנויות למידה לחברות. שיטות עבודה מומלצות המומלצות על ידי ה-ICO ומתוקנות בתקנים כמו ISO 27001 יכולות לסייע רבות בהפחתת הסיכונים הללו.

מה קרה?

בדצמבר האחרון, אמון NHS מבוסס קיימברידג' מאושר ששתי פרצות נתונים התרחשו כשהיא הגיבה לבקשות חופש המידע (FoI) על ידי חשיפת נתוני מטופלים בגיליונות אלקטרוניים של Excel.

באופן דומה, גיליון אלקטרוני גדול חשף את הפרטים האישיים של קצינים וצוות המשרתים במדינה שירות המשטרה של צפון אירלנד (PSNI). הגיליון האלקטרוני הנגיש באינטרנט כלל מידע רגיש כמו שמות קצינים, דרגה ומיקומם, ופגע בצורה רצינית בבטיחותם.

איך טבלאות Pivot היו אשמות

טבלאות ציר מתוארות על ידי מיקרוסופט כאחת התכונות החזקות ביותר של Excel, שנועדה לאפשר למשתמשים לראות "השוואות, דפוסים ומגמות" בנתונים. עם זאת, הם יכולים גם להוות סיכון אבטחה, לדברי מריה אופרה, מומחית לאבטחת סייבר ואנליסטית בכירה ב-EarthWeb.

ראשית, הם מאפשרים למשתמשים לצבור מערכי נתונים גדולים. למרות שזה עשוי להיראות לא מזיק, Opre אומר ל-ISMS.online כי סיכום ושילוב של כמות גדולה של מידע מקלים על השיתוף והצפייה בפרטים רגישים. העובדה שטבלאות ציר מקושרות לרוב למאגרי מידע ומקורות מידע אחרים היא סיבה נוספת לדאגה.

"זה מעלה סיכונים אם לא יינקטו צעדי האבטחה הנכונים מכיוון שפרטים פרטיים עלולים להיחשף", היא מוסיפה

טבלאות Pivot יכולות גם להגביר את הנראות של מידע רגיש ועלול לגרום לפרצות נתונים. היא מסבירה: "טבלאות Pivot עשויות להראות בטעות יותר נתונים מהמתוכנן, במיוחד עם מערכי נתונים מורכבים. זה יכול להוביל לחשיפה מקרית של מידע סודי".

מאט אולדריג', יועץ פתרונות ראשי ב-OpenText Cybersecurity, מסכים שטבלאות ציר הן בעייתיות, בטענה שהן מורכבות בעיצובן ולא תמיד מבהירות את הנתונים למשתמשים. כתוצאה מכך, ייתכן שהם יוכלו לראות תת-קבוצה קטנה של נתונים רק כאשר יש יותר מאוחסן בגיליון האלקטרוני.

"קבצי Microsoft Office מאוחסנים למעשה בפורמט דחוס, מכילים קבצים רבים ולעיתים כוללים מידע ביטול המציג את ההיסטוריה של כל השינויים במסמך במהלך מחזור החיים שלו - זה יכול גם להוביל לאובדן נתונים רציני", הוא אומר ל-ISMS.online.

ג'ייק מור, יועץ אבטחת סייבר עולמי ב-ESET, אומר ל-ISMS.online כי בקשות FoI "לעיתים קרובות עמלניות בדרישות שלהן ולכן מתרחשות טעויות".

העצה של ה-ICO

בעקבות התקריות שהודגשו לעיל, ה-ICO הנחיות שפורסמו כיצד רשויות ציבוריות (PAs) בבריטניה יכולות להימנע מתקריות דומות בעתיד. היא מזהירה כי גיליונות אלקטרוניים "מציגים אתגרים וסיכונים מעשיים של חשיפה בשוגג של מידע אישי, שאולי אינם ברורים ממבט שטחי בגיליון האלקטרוני".

בהתחשב באתגרים הללו, ה-ICO קבע שמונה המלצות מרכזיות לרשויות ציבוריות שיפעלו בהן בעת ​​שימוש בגיליונות אלקטרוניים. הראשון כולל יישום מורטוריום למשתמשים המעוניינים להעלות גיליונות אלקטרוניים מקוריים לפלטפורמות מקוונות כאשר הם מגיבים לבקשות FoI.

ה-ICO גם ממליץ להשתמש בפורמטים פתוחים לשימוש חוזר כמו קבצי ערך מופרד בפסיק (CSV). הרשות הפלסטינית צריכה להימנע משימוש בגיליונות אלקטרוניים עם מספר גדול של שורות - במיוחד אם הם במאות או אלפים - ולהשתמש במערכות ניהול נתונים כדי לאבטח מידע רגיש, הוא מוסיף.

לעובדים המשתמשים בתוכנת נתונים וחושפים מידע רגיש, הרשויות הציבוריות חייבות לספק הכשרה מספקת - אולי מיודעת על ידי הדרכה רלוונטית שהונפקו על ידי ICO.

עם זאת, רשויות ציבוריות חייבות להמשיך לציית לאחריות FOIA, כאשר ICO מזהירה שהעצה שלה אינה "סיבה נוספת לא לפרסם מידע כרשות". ה-ICO גם ממליץ להבטיח שגליונות אלקטרוניים לא חושפים נתונים באופן בלתי צפוי אם יש צורך לשמור על הגרסה המקורית לשימור פקודות מאקרו ומשוואות.

לבסוף, ה-ICO קורא לגופים ציבוריים לשתף נתונים רגישים באמצעות "הפורמט המתאים והמאובטח ביותר", שעשוי להיות כרוך בהעברת מידע מפורמט קובץ אחד לאחר. גם ממשלת בריטניה מספקת עצה על יצירה וחשיפה של גיליונות אלקטרוניים.

בהתאם לשיטות העבודה המומלצות בתעשייה

מומחי אבטחת סייבר ממליצים על מגוון שיטות עבודה מומלצות, בנוסף לביצוע ההנחיות של ה-ICO.

Aldridge של OpenText מייעץ להשתמש בפלטפורמת אבטחת נתונים - לצד מדיניות, הכשרת צוות ואסטרטגיית חוסן סייבר - כדי לצמצם דליפות נתונים. לדבריו, הצעדים הללו יאפשרו לרשות הפלסטינית "לפעול בבטחה" בנוף איומי אבטחת סייבר המתפתח במהירות.

איליה סוטניקוב, אסטרטגית אבטחה וסמנכ"לית חווית משתמש ב-Netwrix, אומרת שארגונים יכולים להפחית טעויות אנוש בעת חשיפת מידע רגיש, על ידי אכיפת תהליך סקירה קפדני.

"האדם שמכין את התוכן המבוקש לא אמור להיות מסוגל לשלוח אותו למבקש ללא אישור", הוא אומר ל-ISMS.online. "בדיוק כמו שטייס מטוס לא יכול להחליט להמריא, צריך להיות זרימת עבודה של בדיקות ובדיקות צולבות כדי להבטיח שהנתונים האלה 'בטוחים לטיסה'."

מור מ-ESET מוסיף כי רשות הפלסטינית יכולה להימנע מחשיפת מידע בטעות על ידי הצפנת נתונים רגישים והבטחה שרק עובדים מורשים יכולים לצפות בו.

"אמצעים אלה מסייעים ביחד בשמירה על מידע רגיש", הוא טוען.

על ידי הקפדה על תקנים תעשייתיים כגון ISO 27001, מור אומר שארגונים יכולים להוריד את הסיכוי לפרצות מידע שנגרמו כתוצאה מטעויות אנוש. הוא מסביר ש-ISO 27001 קובע שורה של נהלים ומדיניות הגנת מידע כחלק ממסגרת אבטחת מידע מקיפה, אך מזהיר כי הוא "אינו חסין תקלות מפני כל סוגי השגיאות או הפרות".

Opre של EarthWeb תומך גם במסגרות תעשייתיות כמו ISO 27001, מכיוון שהן מאפשרות לארגונים לנהל מידע רגיש בצורה איתנה ולהימנע מפרצות נתונים הנגרמות על ידי נוהלי פרטיות נתונים לקויים. היא גם ממליצה לבדוק באופן קבוע את תהליכי הנתונים כדי לזהות פגמים נסתרים ולהבטיח שכולם בתוך הארגון פועלים לפי כללי האבטחה.

גיליונות אלקטרוניים הם דרך מהירה וקלה לשתף מידע חשוב, אך כפי שהוכיחו פרצות נתונים אחרונות בבריטניה, יש להם כמה חסרונות קריטיים לפרטיות נתונים. מה שברור הוא שעל ידי ביצוע הנחיות ICO, שיטות עבודה מומלצות ותקנים כמו ISO 27001, ארגונים יכולים להשתמש בגיליונות אלקטרוניים ובשיטות אחרות לשיתוף נתונים בצורה בטוחה ומאובטחת.

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף