خروجی اکسل، کابوس حریم شخصی و امنیت اطلاعات
درباره مشکلاتی که داشتن امکان «خروجی اکسل» در نرمافزار برای امنیت و حریم شخصی ایجاد میکنه و راههایی برای متقاعد کردن رئیسها که بیخیال این امکان بشن
نکته کلیدی در موضوع امنیت اینه که «استحکام یک زنجیر به اندازه ضعیفترین حلقه اون زنجیره» وقتی یک نرمافزار ایجاد میکنیم هم همین نکته در موردش صادقه و امنیت کل سیستم به اندازه ضعیفترین بخش سیستمه. یکی از راهکارهایی که باعث دور زدن تمام تنظیمات امنیتی دسترسی به اطلاعات میشه امکان «خروجی اکسل» در نرمافزارهاست.
تصور کنید که امنیت نرمافزار و سرورها و شبکه رو برقرار کردید. سیستم عامل و پکیجهای مورد استفاده رو بروز کردین. تنظیمات فایروال و رمزنگاری ارتباط رو هم در نظر گرفتید و خلاصه تا جایی که ممکن بوده سوراخهای امنیتی رو پوشش دادید. بعد یک قابلیت خروجی اکسل به نرمافزار اضافه میشه. کاربر خیلی شیک وارد میشه و یک خروجی اکسل از کل یا بخشی از اطلاعات مهم رو روی کامپیوتر خودش ذخیره میکنه. کامپیوتری که خودش ممکنه آلوده باشه. حتی بدتر، اطلاعات رو روی یک درایو قابل حمل مثلاً هارد اکسترنال یا فلش درایو منتقل میکنه و با خودش میبره. اینجاست که کل اون تمهیداتی که برای برقراری امنیت اطلاعات در نظر گرفته شده دور زده میشه و این امکان وجود داره که به خاطر تلاش عمدی یا اشتباه غیرعمد، اطلاعات فاش بشه.
نمونهای از این اشتباهات، اشتباه شرکت بهپرداخت ملت در ارسال فایل اکسل گزارش تراکنشهای مشتریان بزرگ به ایمیل بعضی مشتریان در اسفند ۹۷ بود. من یکی از دریافتکنندگان آن فایل بودم.
اگر در نرمافزاری از شما خواسته میشه تا قابلیت خروجی اکسل رو اضافه کنید، ضمن توضیح ایرادات امنیتی که میتونه ایجاد کنه تلاش کنید دلیل درخواست این ویژگی رو پیدا کنید. اغلب اوقات میشه بدون ارائه خروجی اکسل، اون گزارش مورد نظر کاربر سیستم رو ایجاد کرد و از دردسرهای بزرگ احتمالی بعدی جلوگیری کرد. در مورد اطلاعات شخصی افراد هم برای جلوگیری از نشت اطلاعات منجر به نقض حریم شخصی، حتماً از ارائه خروجی اکسل اجتناب کنید.
خلاصه نکات مربوط به خروجی اکسل در نرمافزارها:
- تا جای ممکن امکان خروجی اکسل رو به نرمافزار اضافه نکنید
- اگر خروجی اکسل به نرمافزاری اضافه کردید مطمئن بشید که مجوزدهی براش اعمال شده و برای همه کاربران در دسترس نیست
- از ارائه اطلاعات شخصی و مهم در قالب خروجی اکسل خودداری کنید
- مطمئن بشید مدیر محصول، مدیر پروژه، کارفرما یا هر نقش دیگهای که درخواست برای خروجی اکسل داشتند، از ایرادات امنیتی و مشکلات احتمالی که برای حریم شخصی میتونه ایجاد کنه آگاه هستند و با چشم باز میخواهند این قابلیت به نرمافزار اضافه بشه.