Hoe u de privacyrisico's van spreadsheets kunt beperken
Inhoudsopgave:
Een golf van spraakmakende datalekken in Groot-Brittannië heeft de veiligheids- en privacyrisico's van het gebruik van spreadsheets duidelijk gemaakt. De incidenten waren zo ernstig dat privacytoezichthouder het Information Commissioner's Office (ICO) gedwongen werd in te grijpen. Toch bieden ze ook leermogelijkheden voor bedrijven. Best practices aanbevolen door de ICO en vastgelegd in normen als ISO 27001 kunnen een grote bijdrage leveren aan het beperken van deze risico’s.
Wat is er gebeurd?
Afgelopen december een in Cambridge gevestigde NHS-trust bevestigd dat er twee datalekken hadden plaatsgevonden toen het reageerde op verzoeken om vrijheid van informatie (FoI) door patiëntgegevens openbaar te maken in Excel-spreadsheets.
Op dezelfde manier onthulde een groot spreadsheet de persoonlijke gegevens van officieren en personeel dat in de dienst diende Politie van Noord-Ierland (PSNI). De online toegankelijke spreadsheet bevatte gevoelige informatie zoals de namen, rang en locatie van agenten, waardoor hun veiligheid ernstig in gevaar kwam.
Hoe draaitabellen de schuldige waren
Draaitabellen worden beschreven door Microsoft als een van de krachtigste functies van Excel, ontworpen om gebruikers in staat te stellen “vergelijkingen, patronen en trends” in gegevens te zien. Ze kunnen echter ook een veiligheidsrisico vormen, aldus Maria Opre, cybersecurity-expert en senior analist bij EarthWeb.
Ten eerste stellen ze gebruikers in staat grote datasets samen te voegen. Hoewel dat misschien onschuldig lijkt, vertelt Opre aan ISMS.online dat het samenvatten en combineren van grote hoeveelheden informatie het gemakkelijker maakt om gevoelige details te delen en te bekijken. Een andere reden tot zorg is het feit dat draaitabellen vaak gekoppeld zijn aan andere databases en informatiebronnen.
"Dit brengt risico's met zich mee als de juiste beveiligingsmaatregelen niet worden genomen, omdat privégegevens openbaar kunnen worden gemaakt", voegt ze eraan toe
Draaitabellen kunnen ook de zichtbaarheid van gevoelige informatie vergroten en mogelijk leiden tot datalekken. Ze legt uit: “Draaitabellen kunnen per ongeluk meer gegevens weergeven dan de bedoeling was, vooral bij complexe datasets. Dit kan leiden tot onbedoelde blootstelling van vertrouwelijke informatie.”
Matt Aldridge, hoofdoplossingenadviseur bij OpenText Cybersecurity, is het ermee eens dat draaitabellen problematisch zijn, met het argument dat ze complex van opzet zijn en de gegevens niet altijd duidelijk maken voor gebruikers. Het gevolg is dat ze mogelijk slechts een klein deel van de gegevens kunnen zien, terwijl er feitelijk meer gegevens in de spreadsheet zijn opgeslagen.
“Microsoft Office-bestanden worden feitelijk opgeslagen in zip-gecomprimeerd formaat, bevatten veel bestanden en bevatten vaak informatie over het ongedaan maken van de geschiedenis van alle wijzigingen aan het document tijdens de levenscyclus – dit kan ook leiden tot ernstig gegevensverlies”, vertelt hij aan ISMS.online.
Jake Moore, mondiaal cybersecurityadviseur bij ESET, vertelt ISMS.online dat FoI-verzoeken “vaak omslachtig zijn wat betreft hun vereisten en dat er daarom fouten optreden”.
Het advies van de ICO
Na de hierboven genoemde incidenten heeft de ICO gepubliceerde leidraad over hoe overheidsinstanties (PA's) in Groot-Brittannië soortgelijke incidenten in de toekomst kunnen voorkomen. Het waarschuwt dat spreadsheets “praktische uitdagingen en risico’s met zich meebrengen van de onbedoelde openbaarmaking van persoonlijke informatie die misschien niet duidelijk blijkt uit een vluchtige blik op de spreadsheet.”
Met deze uitdagingen in het achterhoofd heeft de ICO acht belangrijke aanbevelingen opgesteld die overheden moeten volgen bij het gebruik van spreadsheets. De eerste betreft de implementatie van een moratorium voor gebruikers die originele bronspreadsheets willen uploaden naar onlineplatforms wanneer ze reageren op FoI-verzoeken.
De ICO beveelt ook het gebruik van open, herbruikbare tekstformaten aan, zoals Comma-Separated Value (CSV)-bestanden. PA's moeten afzien van het gebruik van spreadsheets met grote aantallen rijen – vooral als het om honderden of duizenden rijen gaat – en databeheersystemen gebruiken om gevoelige informatie te beveiligen, voegt het rapport eraan toe.
Voor werknemers die datasoftware gebruiken en gevoelige informatie vrijgeven, moeten de overheidsinstanties zorgen voor voldoende training – eventueel geïnformeerd door relevante begeleiding uitgegeven door ICO.
De publieke autoriteiten moeten echter blijven voldoen aan de verantwoordelijkheden van de FOIA, waarbij de ICO waarschuwt dat zijn advies geen “extra reden is om geen informatie als PA te publiceren”. De ICO beveelt ook aan ervoor te zorgen dat spreadsheets niet onverwacht gegevens vrijgeven als het nodig is om de originele versie te behouden voor het behoud van macro's en vergelijkingen.
Ten slotte dringt de ICO er bij overheidsinstanties op aan om gevoelige gegevens te delen in het “meest geschikte en veilige formaat”, wat inhoudt dat informatie van het ene bestandsformaat naar het andere moet worden overgedragen. De Britse regering voorziet ook advies over het maken en openbaar maken van spreadsheets.
Volgens de beste praktijken uit de sector
Cybersecurity-experts bevelen een reeks best practices aan, naast het volgen van de richtlijnen van de ICO.
Aldridge van OpenText adviseert het gebruik van een databeveiligingsplatform – naast beleid, personeelstraining en een strategie voor cyberweerbaarheid – om datalekken te beperken. Hij zegt dat deze stappen PA's in staat zullen stellen “veilig te opereren” in een snel evoluerend cybersecurity-dreigingslandschap.
Ilia Sotnikov, beveiligingsstrateeg en VP gebruikerservaring bij Netwrix, zegt dat organisaties menselijke fouten bij het vrijgeven van gevoelige informatie kunnen verminderen door een streng beoordelingsproces af te dwingen.
“De persoon die de gevraagde inhoud voorbereidt, mag deze niet zonder toestemming naar de aanvrager sturen”, zegt hij tegen ISMS.online. “Net zoals een vliegtuigpiloot niet kan besluiten om op te stijgen, zou er een workflow van controles en kruiscontroles moeten zijn om ervoor te zorgen dat deze gegevens ‘veilig zijn om te vliegen’.”
Moore van ESET voegt hieraan toe dat PA's kunnen voorkomen dat informatie per ongeluk openbaar wordt gemaakt door gevoelige gegevens te versleutelen en ervoor te zorgen dat alleen geautoriseerde medewerkers deze kunnen bekijken.
“Deze maatregelen helpen gezamenlijk bij het beschermen van gevoelige informatie”, betoogt hij.
Door het volgen van industriestandaarden zoals ISO 27001, Moore zegt dat organisaties de kans op datalekken veroorzaakt door menselijke fouten kunnen verkleinen. Hij legt uit dat ISO 27001 een reeks gegevensbeschermingsprocedures en -beleid uiteenzet als onderdeel van een alomvattend raamwerk voor informatiebeveiliging, maar waarschuwt dat ISO XNUMX “niet onfeilbaar is tegen alle soorten fouten of inbreuken”.
EarthWeb's Opre ondersteunt ook branchekaders zoals ISO 27001, omdat deze organisaties in staat stellen gevoelige informatie robuust te beheren en datalekken te voorkomen die worden veroorzaakt door slechte praktijken op het gebied van gegevensprivacy. Ze raadt ook aan om de gegevensprocessen regelmatig te herzien om eventuele verborgen gebreken te identificeren en ervoor te zorgen dat iedereen binnen de organisatie de beveiligingsregels volgt.
Spreadsheets zijn een snelle en gemakkelijke manier om belangrijke informatie te delen, maar zoals recente datalekken in Groot-Brittannië hebben aangetoond, hebben ze enkele cruciale nadelen op het gebied van gegevensprivacy. Wat duidelijk is, is dat organisaties door het volgen van de ICO-richtlijnen, best practices uit de sector en standaarden zoals ISO 27001, op een veilige manier spreadsheets en andere methoden voor het delen van gegevens kunnen gebruiken.
