sigblad privaatheid risiko's blog

Hoe om sigblad-privaatheidsrisiko's te verminder

'n Vlaag hoëprofiel-datalekkasies in die Verenigde Koninkryk het die sekuriteits- en privaatheidsrisiko's van die gebruik van sigblaaie beklemtoon. Die voorvalle was so ernstig dat die privaatheidsreguleerder, die Inligtingskommissaris se kantoor (ICO) gedwing is om in te tree. Tog bied dit ook leergeleenthede vir firmas. Beste praktyke wat deur die ICO aanbeveel word en in standaarde soos ISO 27001 gekodifiseer is, kan baie help om hierdie risiko's te versag.

Wat het gebeur?

Verlede Desember, 'n Cambridge-gebaseerde NHS-trust bevestig dat twee data-oortredings plaasgevind het toe dit op Freedom of Information (FoI)-versoeke gereageer het deur pasiëntdata in Excel-sigblaaie bekend te maak.

Net so het 'n groot sigblad die persoonlike besonderhede van beamptes en personeel wat in die diens dien, blootgelê Polisiediens van Noord-Ierland (PSNI). Die aanlyn-toeganklike sigblad het sensitiewe inligting soos beamptes se name, rang en ligging ingesluit, wat hul veiligheid ernstig in gevaar stel.

Hoe draaitabelle te blameer was

Spiltabelle word beskryf deur Microsoft as een van Excel se kragtigste kenmerke, ontwerp om gebruikers in staat te stel om "vergelykings, patrone en tendense" in data te sien. Hulle kan egter ook 'n veiligheidsrisiko wees, volgens Maria Opre, 'n kuberveiligheidskenner en senior ontleder by EarthWeb.

Eerstens laat hulle gebruikers toe om groot datastelle te versamel. Alhoewel dit skadeloos kan lyk, sê Opre aan ISMS.online dat die opsomming en kombinasie van groot hoeveelhede inligting dit makliker maak om sensitiewe besonderhede te deel en te sien. Die feit dat spilpunttabelle dikwels aan ander databasisse en inligtingsbronne gekoppel word, is nog 'n rede tot kommer.

"Dit verhoog risiko's as die regte sekuriteitstappe nie geneem word nie omdat private besonderhede blootgelê kan word," voeg sy by

Spiltabelle kan ook die sigbaarheid van sensitiewe inligting verhoog en moontlik data-oortredings tot gevolg hê. Sy verduidelik: “Draaitabelle kan per ongeluk meer data wys as wat bedoel is, veral met komplekse datastelle. Dit kan lei tot toevallige blootstelling van vertroulike inligting.”

Matt Aldridge, hoofoplossingskonsultant by OpenText Cybersecurity, stem saam dat spilpunttabelle problematies is, met die argument dat dit kompleks van ontwerp is en nie altyd data duidelik aan gebruikers maak nie. Gevolglik kan hulle dalk net 'n klein subset van data sien wanneer daar eintlik meer in die sigblad gestoor is.

"Microsoft Office-lêers word eintlik in zip-saamgeperste formaat gestoor, bevat baie lêers en sluit dikwels ongedaan-inligting in wat die geskiedenis van alle veranderinge aan die dokument tydens sy lewensiklus wys - dit kan ook lei tot ernstige dataverlies," sê hy aan ISMS.online.

Jake Moore, globale kuberveiligheidsadviseur by ESET, sê aan ISMS.online dat FoI-versoeke "dikwels moeisaam in hul vereistes is en daarom kom foute voor".

Die ICO se advies

Na aanleiding van die voorvalle wat hierbo uitgelig is, het die ICO gepubliseerde leiding oor hoe openbare owerhede (PA's) in die VK soortgelyke voorvalle in die toekoms kan vermy. Dit waarsku dat sigblaaie "praktiese uitdagings en risiko's van die onopsetlike openbaarmaking van persoonlike inligting inhou wat dalk nie duidelik kan wees uit 'n vlugtige blik op die sigblad nie."

Met hierdie uitdagings in gedagte, het die ICO agt sleutelaanbevelings gestel vir openbare owerhede om te volg wanneer sigblaaie gebruik word. Die eerste behels die implementering van 'n moratorium vir gebruikers wat oorspronklike bronsigblaaie na aanlynplatforms wil oplaai wanneer hulle op FoI-versoeke reageer.

Die ICO beveel ook aan om oop, herbruikbare teksformate soos Comma-Separated Value (CSV)-lêers te gebruik. PA's moet daarvan weerhou om sigblaaie met groot getalle rye te gebruik - veral as hulle in die honderde of duisende is - en databestuurstelsels gebruik om sensitiewe inligting te beveilig, voeg dit by.

Vir werknemers wat datasagteware gebruik en sensitiewe inligting bekend maak, moet openbare owerhede voldoende opleiding verskaf – miskien ingelig deur relevante leiding uitgereik deur ICO.

Openbare owerhede moet egter aanhou om aan FOIA-verantwoordelikhede te voldoen, met ICO waarsku dat sy advies nie ''n ekstra rede is om nie inligting as 'n PA te publiseer nie. Die ICO beveel ook aan om te verseker dat sigblaaie nie data onverwags blootstel as daar 'n behoefte is om die oorspronklike weergawe te behou om makro's en vergelykings te bewaar nie.

Laastens dring die ICO openbare liggame aan om sensitiewe data te deel deur die "mees gepaste en veilige formaat" te gebruik, wat die oordrag van inligting van een lêerformaat na 'n ander kan behels. Die Britse regering voorsien ook advies oor die skep en openbaarmaking van sigblaaie.

Volg bedryf se beste praktyke

Kuberveiligheidskenners beveel 'n reeks beste praktyke aan, benewens die volg van die ICO se leiding.

OpenText se Aldridge beveel aan om 'n datasekuriteitsplatform te gebruik – saam met beleide, personeelopleiding en 'n kuberveerkragtigheidstrategie – om datalekkasies te versag. Hy sê hierdie stappe sal PA's in staat stel om "veilig te werk" in 'n vinnig-ontwikkelende kuberveiligheidsbedreigingslandskap.

Ilia Sotnikov, sekuriteitstrateeg en VP van gebruikerservaring by Netwrix, sê organisasies kan menslike foute verminder wanneer sensitiewe inligting bekend gemaak word, deur 'n streng hersieningsproses af te dwing.

"Die persoon wat die gevraagde inhoud voorberei, behoort dit nie sonder goedkeuring aan die versoeker te kan stuur nie," sê hy aan ISMS.online. "Net soos 'n vliegtuigvlieënier nie kan besluit om op te styg nie, moet 'n werkvloei van kontrole en kruiskontroles in plek wees om te verseker dat hierdie data 'veilig is om te vlieg'."

ESET se Moore voeg by dat PA's kan vermy om inligting per ongeluk bekend te maak deur sensitiewe data te enkripteer en te verseker dat slegs gemagtigde werknemers dit kan sien.

"Hierdie maatreëls help gesamentlik om sensitiewe inligting te beskerm," voer hy aan.

Deur bedryfstandaarde te volg soos ISO 27001, Moore sê organisasies kan die kans op data-oortredings wat deur menslike foute veroorsaak word, verlaag. Hy verduidelik dat ISO 27001 'n reeks databeskermingsprosedures en -beleide uiteensit as deel van 'n omvattende inligtingsekuriteitsraamwerk, maar waarsku dat dit “nie onfeilbaar is teen alle tipe foute of oortredings nie”.

EarthWeb se Opre ondersteun ook bedryfsraamwerke soos ISO 27001, aangesien dit organisasies in staat stel om sensitiewe inligting robuust te bestuur en data-oortredings te vermy wat veroorsaak word deur swak dataprivaatheidspraktyke. Sy beveel ook aan dat dataprosesse gereeld hersien word om enige verborge gebreke te identifiseer en te verseker dat almal binne die organisasie sekuriteitsreëls volg.

Sigblaaie is 'n vinnige en maklike manier om belangrike inligting te deel, maar soos onlangse data-oortredings in die VK getoon het, het dit 'n paar kritieke data-privaatheidsnadele. Wat duidelik is, is dat organisasies sigblaaie en ander metodes om data te deel op 'n veilige en veilige manier deur die ICO-leiding, die beste praktyke en standaarde in die industrie soos ISO 27001 te volg.

skrywer

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Sien alle plasings deur Nicholas Fearn

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind