Arkusze kalkulacyjne znajdują się w centrum codziennych decyzji biznesowych, przechowując dane finansowe, rekordy klientów, informacje HR i plany strategiczne. Nowe badania Proton pokazują, że ta centralna rola czyni arkusze kalkulacyjne ukrytym obciążeniem dla bezpieczeństwa i prywatności.

Wyniki wskazują na szereg ryzyk, które zapracowani pracownicy i menedżerowie łatwo mogą przeoczyć:

  • Dostęp do arkusza kalkulacyjnego nie wygasa, gdy zmieniają się stanowiska, a firmy przyznają, że nie przeglądają dostępu do starych dokumentów, pozostawiając wrażliwe dane odsłonięte w nieskończoność.
  • Menedżerowie twierdzą, że mają ograniczoną jasność co do tego, co dostawcy Big Tech, tacy jak Google i Microsoft, mogą zobaczyć lub ponownie wykorzystać do szkolenia AI i innych celów. Bez szyfrowania end-to-end dane mogą być indeksowane, skanowane i wyciekać.
  • Pracownicy używają kont osobistych do zarządzania plikami służbowymi, zacierając cyfrowe granice i uniemożliwiając utrzymanie zapory sieciowej i kontroli nad danymi biznesowymi.

Przeprowadziliśmy ankietę wśród liderów MŚP w USA, Wielkiej Brytanii, Niemczech i Francji na temat tego, jak używają — i chronią — swoje arkusze kalkulacyjne. Wszyscy z nich byli małymi firmami (zatrudniającymi poniżej 100 pracowników), co czyni ich wyjątkowo narażonymi na ataki hakerskie i ransomware.

Wyniki wskazują na krytyczną potrzebę zaszyfrowanych arkuszy kalkulacyjnych i lepszych wewnętrznych praktyk bezpieczeństwa. Nasze rekomendacje przedstawiamy na dole tego artykułu.

Od narzędzi tymczasowych do stałych archiwów

Wykres przedstawiający respondentów z MŚP we Francji, Niemczech, USA i Wielkiej Brytanii, którzy nadal mają dostęp do starych arkuszy kalkulacyjnych z poprzednich prac lub projektów

Jednym z najbardziej uderzających ustaleń w badaniu jest to, jak często dostęp do arkusza kalkulacyjnego utrzymuje się po zakończeniu ról i projektów. Byli pracownicy nadal mają wgląd w pliki długo po tym, jak powinni, narażając firmy na uchybienia w zakresie zgodności, naruszenia umów i utratę zaufania klientów.

Obraz z tekstem mówiącym, że 61% respondentów z USA twierdzi, że otworzyło arkusze kalkulacyjne z poprzedniej pracy, projektu lub zespołu.

Natura plików, które pozostają otwarte, różni się w zależności od kraju. Wielka Brytania zgłasza najwyższy poziom widocznych danych HR, podczas gdy Francja wykazuje najwyższą częstotliwość ujawniania danych klientów.

Ten utrzymujący się dostęp jest znany jako dostęp widmo: pliki zawierające wrażliwe dane biznesowe pozostają otwarte, linki nadal działają, a otwarte uprawnienia pozostają w tle. Ujawnione dane nie są trywialne. Respondenci zgłaszają ciągły dostęp do bieżących informacji o wynagrodzeniach i listach płac, budżetach wewnętrznych, rekordach klientów i dokumentach planowania strategicznego.

Zapytani, do jakich typów danych nadal mogą mieć dostęp, respondenci zgłosili, co następuje:

USA:

  • Dokumenty finansowe lub płacowe (44%)
  • Rekordy sprzedaży lub zakupów (41%)

Ten rodzaj dostępu ujawnia dane osobowe pracowników i transakcje wrażliwe handlowo, zwiększając ryzyko naruszeń prywatności i nadużyć finansowych.

Wielka Brytania:

  • Dokumenty finansowe lub płacowe (31%)
  • Informacje o kliencie lub kontrahencie (31%)

Ciągły dostęp do list płac i rekordów klientów rodzi bezpośrednie obawy dotyczące zgodności z RODO (GDPR), szczególnie w zakresie zgodnego z prawem dostępu i ograniczenia celu.

Niemcy:

  • Dokumenty finansowe lub płacowe (30%)
  • Wewnętrzne plany biznesowe lub pliki strategiczne (26%)

Oprócz ujawnienia danych osobowych, dostęp do planów wewnętrznych może wpłynąć na pozycję konkurencyjną i naruszyć zobowiązania do poufności.

Francja:

  • Dokumenty finansowe lub płacowe (31%)
  • Informacje o kliencie lub kontrahencie (31%)

Połączenie danych płacowych i danych klientów stwarza zarówno ryzyko regulacyjne, jak i ryzyko utraty reputacji, jeśli informacje są udostępniane poza upoważnionymi stanowiskami.

Wykres przedstawiający, jak MŚP we Francji, Niemczech, USA i Wielkiej Brytanii wykorzystują arkusze kalkulacyjne do danych klientów/kontrahentów, sprawozdawczości finansowej i zarządzania projektami

Dlaczego dostęp widmo się utrzymuje

Dostęp widmo jest produktem ubocznym sposobu współpracy zespołów. Na wszystkich rynkach 26-28% respondentów stwierdziło, że udostępnia arkusze kalkulacyjne za pomocą opcji „każdy, kto ma link, może wyświetlać”. Kolejne 7-15% używa „każdy, kto ma link, może edytować”.

Wykres pokazujący, że wiele MŚP ustawia uprawnienia linków jako „każdy, kto ma link, może wyświetlać” lub rzadziej „każdy, kto ma link, może edytować”.

Gdy link istnieje, staje się oderwany od tożsamości. Jeśli nie jest powiązany ze statusem zatrudnienia, zmianami stanowiska lub usunięciem konta, może być przekazywany dalej, kopiowany, dodawany do zakładek i otwierany w nieskończoność. Arkusz kalkulacyjny jest tak bezpieczny, jak ostatnia osoba, która otrzymała link.

Przeglądy dostępu rzadko to rekompensują. Tylko 30% francuskich respondentów twierdzi, że ich zespół regularnie przegląda dostęp do arkuszy kalkulacyjnych, a ta liczba nie jest wyjątkiem w innych krajach. Po przyznaniu dostępu do dokumentu, przeglądy współpracowników są niespójne, mimo że udostępnianie odbywa się stale w ramach codziennej pracy.

Z czasem te jednorazowe decyzje o udostępnianiu kumulują się. Najszybszy i najbardziej znany sposób współpracy staje się domyślny, podczas gdy przeglądy dostępu pozostają rzadkie, a własność często niejasna. W rezultacie arkusze kalkulacyjne mają tendencję do zachowywania uprawnień długo po zmianie projektów, stanowisk lub zespołów.

Zmniejszenie długoterminowego ryzyka wymaga kontroli, które działają przez cały cykl życia arkusza kalkulacyjnego, a nie tylko w momencie jego udostępniania. Dostęp widmo utrzymuje się nawet w organizacjach mających dobre intencje, ponieważ ochrona wymaga regularnych ręcznych przeglądów i doskonałego przekazywania obowiązków.

Luka w procesie offboardingu

Zapytani, co dzieje się z dostępem do arkusza kalkulacyjnego po odejściu kogoś z pracy lub zakończeniu projektu, tylko 33–44% respondentów stwierdziło, że wierzy, iż dostęp został ręcznie wyczyszczony przez ich pracodawców. Od 12 do 28% uważało, że nic się nie stało. Kolejne 14–26% przyznało, że po prostu nie wie.

Ta niepewność ma znaczenie. Tam, gdzie odpowiedzialność jest niejasna, dostęp ma tendencję do utrzymywania się domyślnie. Pliki nie znikają same; ktoś musi pamiętać, że istnieją i podjąć działania. Nie jest to koniecznie błąd intencji, ale raczej błąd systemów, które polegają na ludzkiej pamięci.

Ważne jest również rozróżnienie między dwoma powiązanymi, ale oddzielnymi awariami: offboardingiem, który jest momentem w czasie, a bieżącym przeglądem dostępu, który jest ciągłą odpowiedzialnością.

Nasze dane pokazują, że oba te elementy zawodzą.

  • 38% MŚP w USA uważa, że dostęp jest usuwany automatycznie
  • 44% MŚP w Niemczech i Wielkiej Brytanii uważa, że dostęp jest usuwany ręcznie

Zacieranie granic między kontami służbowymi i osobistymi

Wykres pokazujący odsetek respondentów MŚP w USA i Wielkiej Brytanii, którzy zgłaszają otwieranie służbowych arkuszy kalkulacyjnych na kontach osobistych i na odwrót.

Innym istotnym powodem dostępu widmo jest zacieranie granic konta — używanie tego samego konta do czynności osobistych i służbowych — co tworzy wszechobecny martwy punkt bezpieczeństwa. W USA i Wielkiej Brytanii ponad 45% pracowników MŚP przyznaje się do otwierania służbowych arkuszy kalkulacyjnych na kontach osobistych lub osobistych arkuszy kalkulacyjnych na kontach służbowych.

Gdy granice zacierają się w ten sposób, arkusze kalkulacyjne nie są już ograniczone ramami bezpieczeństwa, które firma posiada. Dostęp staje się oderwany od stanowisk, projektów i statusu zatrudnienia, co utrudnia jego śledzenie, przeglądanie lub unieważnienie.

Big Tech, AI i dostęp dostawcy

Nawet idealny offboarding i przegląd dostępu nie mogą rozwiązać problemu dostępu na poziomie dostawcy ani wtórnego wykorzystania danych. Wiele MŚP jest coraz bardziej niepewnych co do tego, co dzieje się z ich danymi za kulisami, zwłaszcza gdy dane te obejmują wrażliwe informacje finansowe, o klientach i HR.

MŚP stwierdziły, że wierzą, iż arkusze kalkulacyjne na platformach Big Tech są wykorzystywane do szkolenia AI, targetowania reklam i skanowania treści.

Szkolenie AI (40–50%)
Prawie połowa respondentów uważa, że dane z arkusza kalkulacyjnego mogą być wykorzystywane do szkolenia systemów AI.

Targetowanie reklam (35–45%)

Znaczna część respondentów uważa, że zawartość ich arkuszy kalkulacyjnych może wpływać na reklamy lub profilowanie.

Skanowanie treści (30–40%)
Wielu użytkowników spodziewa się, że pliki arkusza kalkulacyjnego będą automatycznie skanowane pod kątem wrażliwych lub zabronionych treści.

Obawy te odzwierciedlają sposób projektowania platform przechowywania w chmurze Big Tech. Podczas gdy narzędzia takie jak Google Drive i OneDrive szyfrują dane w trakcie przesyłania i spoczynku, zachowują dostęp do zawartości plików, aby umożliwić indeksowanie, wyszukiwanie, funkcje współpracy i narzędzia oparte na AI. Arkusze kalkulacyjne zaszyfrowane end-to-end są najlepszym sposobem na zapobieganie tego rodzaju dostępowi.

Mimo to firmy nadal korzystają z tych platform w krytycznych przepływach pracy, umieszczając dane finansowe, klientów i operacyjne w systemach kontrolowanych przez strony trzecie o słabej reputacji w zakresie prywatności.

Gdy dostawcy Big Tech zachowują ten poziom dostępu, pliki mogą być skanowane, indeksowane i przetwarzane automatycznie, bez jakiejkolwiek interakcji ze strony człowieka. W tym modelu ujawnienie nie ogranicza się tylko do tego, kto ma link, ale obejmuje także bezpieczeństwo platformy hostującej dane.

Prywatność i trwałe bezpieczeństwo z Proton Sheets

Dla wielu MŚP arkusze kalkulacyjne funkcjonują jako integralne systemy operacyjne. Przechowują dane finansowe, informacje o klientach i rekordy HR, które niosą ze sobą ryzyko regulacyjne, reputacyjne i handlowe.

Aby zapewnić bezpieczeństwo danych, niezbędne pozostają silne zasady dostępu, zautomatyzowany offboarding i jasne granice konta. Co najmniej powinieneś:

  • Ograniczyć dostęp według stanowiska
  • Regularnie przeglądać udostępnione pliki
  • Natychmiast usunąć dostęp, gdy ktoś odchodzi
  • Unikać używania publicznych linków do wrażliwych danych

Ale samo zarządzanie nie wyeliminuje widoczności na poziomie dostawcy ani wtórnego wykorzystania danych, dopóki platformy posiadają klucze szyfrowania.

Proton Sheets jest zbudowany tak, aby zaradzić temu ryzyku strukturalnemu:

  • Szyfrowanie Zero-knowledge: Dostawca nie może czytać, przetwarzać ani ponownie wykorzystywać informacji, nawet jeśli są one przechowywane na jego serwerach.
  • Klucze szyfrowania kontrolowane przez użytkownika: Tylko upoważnieni współpracownicy mogą mieć dostęp do zawartości arkusza kalkulacyjnego.
  • Bezpieczna współpraca: Zespoły mogą współpracować w czasie rzeczywistym, zachowując jednocześnie jasną kontrolę nad tym, kto może przeglądać lub edytować arkusz kalkulacyjny.
  • Znajome narzędzia, silniejsza ochrona: Wsparcie dla popularnych formatów arkuszy kalkulacyjnych i funkcji, w tym formuł, wykresów i importu z istniejących plików.

W praktyce Proton Sheets sprawia, że wspólne arkusze kalkulacyjne są tak bezpieczne, jak to tylko możliwe na poziomie platformy, jednocześnie wspierając pracę zespołową w czasie rzeczywistym i znane przepływy pracy. W połączeniu z odpowiedzialnymi praktykami udostępniania zmniejsza to długoterminowe narażenie danych, które często trwają znacznie dłużej, niż oczekują zespoły.

Odkryj Proton Sheets