Электронные таблицы находятся в центре повседневных бизнес-решений, содержат финансовые данные, записи о клиентах, информацию отдела кадров и стратегические планы. Новое исследование Proton показывает, что эта центральная роль делает электронные таблицы скрытой угрозой безопасности и конфиденциальности.

Результаты указывают на ряд рисков, которые легко упустить занятым сотрудникам и менеджерам:

  • Доступ к электронным таблицам не истекает при смене должностей, и компании признаются, что не пересматривают доступ к старым документам, оставляя конфиденциальные данные открытыми на неопределенный срок.
  • Менеджеры говорят, что имеют ограниченное понимание того, что такие провайдеры-техногиганты, как Google и Microsoft, могут видеть или повторно использовать для обучения ИИ и других целей. Без сквозного шифрования данные могут быть проиндексированы, просканированы и утечь.
  • Работники используют личные аккаунты для управления рабочими файлами, размывая цифровые границы и делая практически невозможным поддержание сетевого брандмауэра и контроль бизнес-данных.

Мы опросили руководителей малого и среднего бизнеса (SMB) в США, Великобритании, Германии и Франции о том, как они используют — и защищают — свои электронные таблицы. Все они представляли малый бизнес (менее 100 сотрудников), что делает их уникально уязвимыми для взлома и атак программ-вымогателей.

Результаты указывают на критическую потребность в зашифрованных электронных таблицах и лучших практиках внутренней безопасности. Мы представляем наши рекомендации в конце этой статьи.

От временных инструментов к постоянным архивам

Диаграмма, изображающая респондентов из малого и среднего бизнеса Франции, Германии, США и Великобритании, которые все еще имеют доступ к старым электронным таблицам с предыдущих работ или проектов.

Одним из самых поразительных выводов исследования является то, как часто доступ к электронным таблицам сохраняется после завершения ролей и проектов. Бывшие сотрудники продолжают видеть файлы намного дольше, чем должны, подвергая бизнес риску нарушения нормативных требований, контрактных нарушений и потери доверия клиентов.

Изображение с текстом, в котором говорится, что 61% респондентов из США открывали электронные таблицы с предыдущей работы, проекта или команды.

Характер файлов, которые остаются открытыми, варьируется в зависимости от страны. Великобритания сообщает о самых высоких уровнях видимых данных HR, в то время как Франция показывает самую высокую частоту раскрытия данных клиентов.

Этот сохраняющийся доступ известен как призрачный доступ: файлы, содержащие конфиденциальные бизнес-данные, остаются открытыми, ссылки продолжают работать, а открытые разрешения остаются в фоновом режиме. Раскрытые данные не являются тривиальными. Респонденты сообщают о постоянном доступе к текущей информации о зарплате и начислениях, внутренним бюджетам, записям клиентов и документам стратегического планирования.

На вопрос о том, к каким типам данных они все еще могут получить доступ, респонденты сообщили следующее:

США:

  • Финансовые документы или ведомости заработной платы (44%)
  • Записи о продажах или закупках (41%)

Этот тип доступа раскрывает личные данные сотрудников и коммерчески важные транзакции, увеличивая риск нарушений конфиденциальности и финансовых злоупотреблений.

Великобритания:

  • Финансовые документы или ведомости заработной платы (31%)
  • Информация о клиентах или покупателях (31%)

Постоянный доступ к записям о заработной плате и клиентах вызывает прямые опасения по поводу соблюдения GDPR, особенно в отношении законного доступа и ограничения целей.

Германия:

  • Финансовые документы или ведомости заработной платы (30%)
  • Внутренние бизнес-планы или файлы стратегии (26%)

В дополнение к раскрытию личных данных, доступ к внутренним планам может повлиять на конкурентную позицию и нарушить обязательства по конфиденциальности.

Франция:

  • Финансовые документы или ведомости заработной платы (31%)
  • Информация о клиентах или покупателях (31%)

Сочетание данных о заработной плате и клиентах создает как регуляторные риски, так и репутационный риск, если информация передается за пределы авторизованных должностей.

Диаграмма, показывающая, как малый и средний бизнес во Франции, Германии, США и Великобритании использует электронные таблицы для данных клиентов/покупателей, финансовой отчетности и управления проектами.

Почему сохраняется призрачный доступ

Призрачный доступ — это побочный продукт того, как команды сотрудничают. На всех рынках 26–28% респондентов заявили, что делятся электронными таблицами, используя опцию «просматривать могут все, у кого есть ссылка». Еще 7–15% используют «редактировать могут все, у кого есть ссылка».

Диаграмма, показывающая, что многие представители малого и среднего бизнеса устанавливают разрешения по ссылке как «просматривать могут все, у кого есть ссылка» или, реже, «изменять могут все, у кого есть ссылка».

Как только ссылка создана, она становится отделенной от личности. Если она не привязана к статусу занятости, смене должности или удалению аккаунта, её можно пересылать, копировать, добавлять в закладки и открывать бесконечно. Электронная таблица безопасна лишь настолько, насколько безопасен последний человек, получивший ссылку.

Проверки доступа редко компенсируют это. Только 30% респондентов из Франции говорят, что их команда регулярно проверяет доступ к электронным таблицам, и эта цифра не является исключением по сравнению с другими странами. Как только доступ к документу предоставлен, проверки соавторов проводятся непоследовательно, хотя обмен происходит постоянно как часть повседневной работы.

Со временем эти разовые решения поделиться накапливаются. Самый быстрый и привычный способ сотрудничества становится вариантом по умолчанию, в то время как проверки доступа остаются редкими, а владение часто неясно. В результате электронные таблицы, как правило, сохраняют разрешения долго после того, как проекты, роли или команды изменились.

Снижение долгосрочного риска требует контроля, который действует на протяжении всего жизненного цикла электронной таблицы, а не только в момент, когда ею делятся. Призрачный доступ сохраняется даже в организациях с благими намерениями, потому что защита требует регулярных ручных проверок и идеальной передачи дел.

Пробел при увольнении (offboarding)

На вопрос, что происходит с доступом к электронным таблицам после того, как кто-то покидает работу или заканчивает проект, только 33–44% респондентов ответили, что, по их мнению, доступ был вручную очищен их работодателями. От 12 до 28% считали, что ничего не происходило. Еще 14–26% признались, что просто не знают.

Эта неопределенность имеет значение. Там, где ответственность неясна, доступ, как правило, сохраняется по умолчанию. Файлы не исчезают сами по себе; кто-то должен помнить о их существовании и действовать. Это не обязательно ошибка намерения, скорее сбой систем, которые полагаются на человеческую память.

Также важно различать два связанных, но отдельных сбоя: увольнение (offboarding), которое является моментом во времени, и постоянный пересмотр доступа, который является непрерывной обязанностью.

Наши данные показывают, что оба процесса дают сбой.

  • 38% представителей малого и среднего бизнеса США считают, что доступ удаляется автоматически
  • 44% представителей малого и среднего бизнеса Германии и Великобритании думают, что доступ удаляется вручную

Размытие границ рабочих и личных аккаунтов

Диаграмма, показывающая процент респондентов из малого и среднего бизнеса США и Великобритании, которые сообщают об открытии рабочих электронных таблиц в личных аккаунтах и наоборот.

Еще одна важная причина призрачного доступа — это размытие аккаунтов: использование одного и того же аккаунта для личных и рабочих дел, что создает повсеместное слепое пятно в безопасности. В США и Великобритании более 45% работников малого и среднего бизнеса признаются, что открывают рабочие электронные таблицы в личных аккаунтах или личные электронные таблицы в рабочих аккаунтах.

Когда границы размываются таким образом, электронные таблицы больше не ограничены рамками безопасности, установленными в бизнесе. Доступ становится отделенным от должностей, проектов и статуса занятости, что затрудняет его отслеживание, проверку или отзыв.

Технологические гиганты, ИИ и доступ провайдера

Даже идеальный процесс увольнения и проверки доступа не могут решить проблему доступа на уровне провайдера или вторичного использования данных. Многие малые и средние предприятия всё больше не уверены в том, что происходит с их данными за кулисами, особенно когда эти данные включают конфиденциальную финансовую информацию, данные клиентов и HR.

Представители малого и среднего бизнеса заявили, что считают, что электронные таблицы на платформах технологических гигантов используются для обучения ИИ, таргетинга рекламы и сканирования контента.

Обучение ИИ (40–50%)
Почти половина респондентов полагают, что данные электронных таблиц могут использоваться для обучения систем ИИ.

Таргетинг рекламы (35–45%)

Значительная доля респондентов считают, что содержимое их электронных таблиц может влиять на рекламу или профилирование.

Сканирование контента (30–40%)
Многие пользователи ожидают, что файлы электронных таблиц будут автоматически сканироваться на предмет чувствительного или запрещенного контента.

Эти опасения отражают то, как спроектированы платформы облачного хранения технологических гигантов. Хотя инструменты вроде Google Drive и OneDrive шифруют данные при передаче и хранении, они сохраняют доступ к содержимому файлов, чтобы обеспечить индексацию, поиск, функции совместной работы и инструменты на базе ИИ. Электронные таблицы, зашифрованные сквозным методом — лучший способ предотвратить такой доступ.

Несмотря на это, компании продолжают использовать эти платформы для критически важных рабочих процессов, размещая финансовые, клиентские и операционные данные в системах, контролируемых третьими сторонами с плохой репутацией в области конфиденциальности.

Когда технологические гиганты сохраняют такой уровень доступа, файлы могут сканироваться, индексироваться и обрабатываться автоматически, без какого-либо взаимодействия с человеком. В этой модели риск не ограничивается только тем, у кого есть ссылка, но также зависит от безопасности платформы, размещающей данные.

Конфиденциальность и надежная безопасность с Proton Sheets

Для многих малых и средних предприятий электронные таблицы функционируют как неотъемлемые операционные системы. Они содержат финансовые данные, информацию о клиентах и записи HR, которые несут нормативный, репутационный и коммерческий риск.

Чтобы сохранить данные в безопасности, необходимы строгие политики доступа, автоматизированное увольнение сотрудников и четкие границы аккаунтов. Как минимум, вы должны:

  • Ограничивать доступ по роли
  • Регулярно проверять общие файлы
  • Немедленно удалять доступ, когда кто-то уходит
  • Избегать использования публичных ссылок для конфиденциальных данных

Но одно лишь управление не может устранить видимость на уровне провайдера или вторичное использование данных, пока платформы владеют ключами шифрования.

Proton Sheets создан для устранения этого структурного риска:

  • Шифрование с нулевым разглашением: Провайдер не может читать, обрабатывать или повторно использовать информацию, даже если она хранится на его серверах.
  • Ключи шифрования, контролируемые пользователем: Только авторизованные соавторы могут получить доступ к содержимому электронной таблицы.
  • Безопасная совместная работа: Команды могут сотрудничать в режиме реального времени, сохраняя четкий контроль над тем, кто может просматривать или изменять электронную таблицу.
  • Знакомые инструменты, более сильная защита: Поддержка распространенных форматов электронных таблиц и функций, включая формулы, диаграммы и импорт из существующих файлов.

В практическом плане Proton Sheets делает совместные электронные таблицы максимально безопасными на уровне платформы, при этом поддерживая командную работу в реальном времени и привычные рабочие процессы. В сочетании с ответственными практиками обмена данными это снижает долгосрочный риск для данных, которые часто живут намного дольше, чем ожидают команды.

Познакомьтесь с Proton Sheets