Foile de calcul se află în centrul deciziilor de afaceri de zi cu zi, deținând date financiare, înregistrări ale clienților, informații HR și planuri strategice. Noua cercetare Proton arată că acest rol central face din foile de calcul o responsabilitate ascunsă de securitate și confidențialitate.

Rezultatele indică o varietate de riscuri care sunt ușor de trecut cu vederea de către angajații și managerii ocupați:

  • Accesul la foile de calcul nu expiră când rolurile se schimbă și companiile mărturisesc că nu revizuiesc accesul la documentele vechi, lăsând datele sensibile expuse pe termen nelimitat.
  • Managerii spun că au claritate limitată asupra a ceea ce furnizorii Big Tech precum Google și Microsoft pot vedea sau reutiliza pentru antrenarea AI și alte scopuri. Fără criptare de la un capăt la altul, datele ar putea fi indexate, scanate și divulgate.
  • Lucrătorii folosesc conturi personale pentru a gestiona fișierele de serviciu, estompând liniile digitale și făcând aproape imposibilă menținerea unui firewall de rețea și controlul datelor de afaceri.

Am chestionat lideri SMB din SUA, Marea Britanie, Germania și Franța despre cum folosesc – și protejează – foile lor de calcul. Toate erau întreprinderi mici (cu mai puțin de 100 de angajați), ceea ce le face unic expuse riscului de hacking și atacuri ransomware.

Rezultatele indică o nevoie critică de foi de calcul criptate și practici mai bune de securitate internă. Prezentăm recomandările noastre în partea de jos a acestui articol.

De la instrumente temporare la arhive permanente

Diagramă care descrie respondenții SMB din Franța, Germania, SUA și Marea Britanie care încă au acces la foi de calcul vechi de la locuri de muncă sau proiecte anterioare

Una dintre cele mai izbitoare constatări ale cercetării este cât de des accesul la foile de calcul persistă după încheierea rolurilor și proiectelor. Foștii angajați continuă să aibă vizibilitate asupra fișierelor mult timp după ce ar trebui, expunând companiile la eșecuri de conformitate, încălcări contractuale și pierderea încrederii clienților.

Imagine cu text care spune că 61 % dintre respondenții din SUA afirmă că au deschis foi de calcul de la un loc de muncă, proiect sau echipă anterioară.

Natura fișierelor care rămân deschise variază în funcție de țară. Marea Britanie raportează cele mai ridicate niveluri de date HR vizibile, în timp ce Franța arată cea mai mare incidență a expunerii datelor clienților.

Acest acces persistent este cunoscut sub numele de acces fantomă: fișierele care conțin date sensibile de afaceri rămân deschise, linkurile continuă să funcționeze, iar permisiunile deschise rămân în fundal. Datele expuse nu sunt triviale. Respondenții raportează acces continuu la informații salariale curente, bugete interne, înregistrări ale clienților și documente de planificare strategică.

Când au fost întrebați ce tipuri de date mai puteau accesa, respondenții au raportat următoarele:

SUA:

  • Documente financiare sau de salarizare (44 %)
  • Înregistrări de vânzări sau achiziții (41 %)

Acest tip de acces expune datele personale ale angajaților și tranzacțiile sensibile comercial, crescând riscul de încălcări ale confidențialității și utilizare financiară abuzivă.

Marea Britanie:

  • Documente financiare sau de salarizare (31 %)
  • Informații despre clienți (31 %)

Accesul continuu la înregistrările de salarizare și ale clienților ridică preocupări directe privind conformitatea GDPR, în special în ceea ce privește accesul legal și limitarea scopului.

Germania:

  • Documente financiare sau de salarizare (30 %)
  • Planuri de afaceri interne sau fișiere de strategie (26 %)

Pe lângă expunerea datelor personale, accesul la planurile interne poate afecta poziția competitivă și poate încălca obligațiile de confidențialitate.

Franța:

  • Documente financiare sau de salarizare (31 %)
  • Informații despre clienți (31 %)

Combinația dintre datele de salarizare și cele ale clienților creează atât expunere la reglementări, cât și risc reputațional dacă informațiile sunt partajate dincolo de rolurile autorizate.

Diagramă care descrie cum SMB-urile din Franța, Germania, SUA și Marea Britanie folosesc foile de calcul pentru datele clienților, raportare financiară și gestionarea proiectelor

De ce persistă accesul fantomă

Accesul fantomă este un produs secundar al modului în care echipele colaborează. Pe toate piețele, 26-28 % dintre respondenți au spus că partajează foi de calcul folosind „oricine are linkul poate vizualiza”. Alți 7-15 % folosesc „oricine are linkul poate edita”.

Diagramă care arată că multe SMB-uri setează permisiunile linkurilor ca oricine are linkul poate vizualiza sau, mai rar, oricine are linkul poate edita.

Odată ce un link există, acesta devine detașat de identitate. Dacă nu este legat de statutul de angajare, schimbările de rol sau ștergerea contului, acesta poate fi redirecționat, copiat, marcat și redeschis pe termen nelimitat. O foaie de calcul este la fel de sigură ca ultima persoană care a primit linkul.

Revizuirile accesului compensează rareori acest lucru. Doar 30 % dintre respondenții francezi spun că echipa lor revizuiește regulat accesul la foile de calcul, iar această cifră nu este o excepție în alte țări. Odată ce accesul la un document este acordat, revizuirile colaboratorilor sunt inconsistente, chiar dacă partajarea are loc constant ca parte a muncii de zi cu zi.

În timp, aceste decizii unice de partajare se acumulează. Cel mai rapid și familiar mod de colaborare devine implicit, în timp ce revizuirile accesului rămân nefrecvente, iar proprietatea este adesea neclară. Ca urmare, foile de calcul tind să păstreze permisiunile mult timp după ce proiectele, rolurile sau echipele s-au schimbat.

Reducerea riscului pe termen lung necesită controale care funcționează pe tot parcursul ciclului de viață al unei foi de calcul, nu doar în momentul în care este partajată. Accesul fantomă persistă chiar și în organizațiile cu intenții bune, deoarece protecția necesită revizuiri manuale regulate și transferuri perfecte.

Lacuna în procesul de plecare a angajaților

Când au fost întrebați ce se întâmplă cu accesul la foile de calcul după ce cineva părăsește un loc de muncă sau termină un proiect, doar 33–44 % dintre respondenți au spus că au crezut că accesul a fost curățat manual de către angajatorii lor. Între 12–28 % au crezut că nu s-a întâmplat nimic. Alți 14–26 % au recunoscut că pur și simplu nu știau.

Această incertitudine contează. Acolo unde responsabilitatea este neclară, accesul tinde să persiste implicit. Fișierele nu dispar singure; cineva trebuie să-și amintească de existența lor și să acționeze. Acesta nu este neapărat un eșec al intenției, ci mai degrabă un eșec al sistemelor care se bazează pe memoria umană.

De asemenea, este important să se facă distincția între două disfuncționalități conexe, dar separate: offboarding-ul, care este un moment în timp, și revizuirea continuă a accesului, care este o responsabilitate continuă.

Datele noastre arată că ambele eșuează.

  • 38 % dintre SMB-urile din SUA cred că accesul este eliminat automat
  • 44 % dintre SMB-urile din Germania și Marea Britanie cred că accesul este eliminat manual

Estomparea conturilor de serviciu și personale

Diagramă care arată procentul respondenților SMB din SUA și Marea Britanie care raportează deschiderea foilor de calcul de serviciu în conturi personale și invers.

Un alt motiv semnificativ pentru accesul fantomă este estomparea conturilor – utilizarea aceluiași cont pentru activități personale și de serviciu – care creează un punct mort de securitate omniprezent. În SUA și Marea Britanie, peste 45 % dintre lucrătorii SMB recunosc că deschid foi de calcul de serviciu în conturi personale sau foi de calcul personale în conturi de serviciu.

Când granițele se estompează în acest fel, foile de calcul nu mai sunt constrânse de cadrele de securitate pe care o afacere le are instituite. Accesul devine detașat de roluri, proiecte și statutul de angajare, făcându-l dificil de urmărit, revizuit sau revocat.

Big tech, AI și accesul furnizorului

Chiar și un offboarding perfect și revizuirea accesului nu pot aborda accesul la nivel de furnizor sau utilizarea secundară a datelor. Multe SMB-uri sunt tot mai nesigure cu privire la ce se întâmplă cu datele lor în culise, mai ales când acele date includ informații financiare, despre clienți și HR sensibile.

SMB-urile au spus că cred că foile de calcul de pe platformele Big Tech sunt folosite pentru antrenarea AI, direcționarea anunțurilor și scanarea conținutului.

Antrenarea AI (40–50 %)
Aproape jumătate dintre respondenți cred că datele din foile de calcul pot fi folosite pentru a antrena sisteme AI.

Direcționarea anunțurilor (35–45 %)

O parte semnificativă a respondenților cred că conținutul foilor lor de calcul poate influența publicitatea sau crearea de profiluri.

Scanarea conținutului (30–40 %)
Mulți utilizatori se așteaptă ca fișierele de foi de calcul să fie scanate automat pentru conținut sensibil sau interzis.

Preocupările reflectă modul în care sunt concepute platformele de stocare în cloud Big Tech. Deși instrumente precum Google Drive și OneDrive criptează datele în tranzit și în repaus, ele păstrează accesul la conținutul fișierelor pentru a permite indexarea, căutarea, caracteristicile de colaborare și instrumentele bazate pe AI. Foile de calcul criptate de la un capăt la altul sunt cea mai bună modalitate de a preveni acest tip de acces.

Cu toate acestea, companiile continuă să folosească aceste platforme pentru fluxuri de lucru critice, plasând datele financiare, ale clienților și operaționale în sisteme controlate de terți cu un istoric slab în materie de confidențialitate.

Când furnizorii Big Tech păstrează acest nivel de acces, fișierele pot fi scanate, indexate și procesate automat, fără nicio interacțiune umană. În acest model, expunerea nu se limitează doar la cine are linkul, ci și la securitatea platformei care găzduiește datele.

Confidențialitate și securitate durabilă cu Proton Sheets

Pentru multe SMB-uri, foile de calcul funcționează ca sisteme operaționale integrale. Acestea dețin date financiare, informații despre clienți și înregistrări HR care comportă riscuri de reglementare, reputaționale și comerciale.

Pentru a menține datele securizate, politicile puternice de acces, offboarding-ul automatizat și limitele clare ale conturilor rămân esențiale. Cel puțin, ar trebui să:

  • Limitați accesul în funcție de rol
  • Revizuiți regulat fișierele partajate
  • Eliminați accesul imediat când cineva pleacă
  • Evitați utilizarea linkurilor publice pentru date sensibile

Dar guvernanța singură nu poate elimina vizibilitatea la nivel de furnizor sau utilizarea secundară a datelor atâta timp cât platformele dețin cheile de criptare.

Proton Sheets este creat pentru a aborda acest risc structural:

  • Criptare cu zero cunoștințe: Furnizorul nu poate citi, procesa sau reutiliza informațiile, chiar dacă sunt stocate pe serverele sale.
  • Chei de criptare controlate de utilizator: Doar colaboratorii autorizați pot accesa conținutul foii de calcul.
  • Colaborare securizată: Echipele pot colabora în timp real păstrând în același timp un control clar asupra cine poate vizualiza sau edita o foaie de calcul.
  • Instrumente familiare, protecție mai puternică: Asistență pentru formatele comune de foi de calcul și caracteristici, inclusiv formule, diagrame și importuri din fișiere existente.

În termeni practici, Proton Sheets face foile de calcul colaborative cât se poate de sigure la nivel de platformă, susținând în același timp munca în echipă în timp real și fluxurile de lucru familiare. Combinat cu practici de partajare responsabile, acest lucru reduce expunerea pe termen lung pentru datele care durează adesea mult mai mult decât se așteaptă echipele.

Explorați Proton Sheets