توسعه نرم‌افزار

خروجی اکسل، کابوس حریم شخصی و امنیت اطلاعات

درباره مشکلاتی که داشتن امکان «خروجی اکسل» در نرم‌افزار برای امنیت و حریم شخصی ایجاد می‌کنه و راه‌هایی برای متقاعد کردن رئیس‌ها که بی‌خیال این امکان بشن

حامد

2 min read

نکته کلیدی در موضوع امنیت اینه که «استحکام یک زنجیر به اندازه ضعیف‌ترین حلقه اون زنجیره» وقتی یک نرم‌افزار ایجاد می‌کنیم هم همین نکته در موردش صادقه و امنیت کل سیستم به اندازه ضعیف‌ترین بخش سیستمه. یکی از راهکارهایی که باعث دور زدن تمام تنظیمات امنیتی دسترسی به اطلاعات می‌شه امکان «خروجی اکسل» در نرم‌افزارهاست.

تصور کنید که امنیت نرم‌افزار و سرورها و شبکه رو برقرار کردید. سیستم عامل و پکیج‌های مورد استفاده رو بروز کردین. تنظیمات فایروال و رمزنگاری ارتباط رو هم در نظر گرفتید و خلاصه تا جایی که ممکن بوده سوراخ‌های امنیتی رو پوشش دادید. بعد یک قابلیت خروجی اکسل به نرم‌افزار اضافه می‌شه. کاربر خیلی شیک وارد می‌شه و یک خروجی اکسل از کل یا بخشی از اطلاعات مهم رو روی کامپیوتر خودش ذخیره می‌کنه. کامپیوتری که خودش ممکنه آلوده باشه. حتی بدتر، اطلاعات رو روی یک درایو قابل حمل مثلاً هارد اکسترنال یا فلش درایو منتقل می‌کنه و با خودش می‌بره. اینجاست که کل اون تمهیداتی که برای برقراری امنیت اطلاعات در نظر گرفته شده دور زده می‌شه و این امکان وجود داره که به خاطر تلاش عمدی یا اشتباه غیرعمد، اطلاعات فاش بشه.

گرچه قابلیت خروجی اکسل منحصر به نرم‌افزارهای ایرانی نیست، اما یکی از ویژگی‌های محبوب در بین کاربران ایرانی است.

نمونه‌ای از این اشتباهات، اشتباه شرکت به‌پرداخت ملت در ارسال فایل اکسل گزارش تراکنش‌های مشتریان بزرگ به ایمیل بعضی مشتریان در اسفند ۹۷ بود. من یکی از دریافت‌کنندگان آن فایل بودم.

اگر در نرم‌افزاری از شما خواسته می‌شه تا قابلیت خروجی اکسل رو اضافه کنید، ضمن توضیح ایرادات امنیتی که می‌تونه ایجاد کنه تلاش کنید دلیل درخواست این ویژگی رو پیدا کنید. اغلب اوقات می‌شه بدون ارائه خروجی اکسل، اون گزارش مورد نظر کاربر سیستم رو ایجاد کرد و از دردسرهای بزرگ احتمالی بعدی جلوگیری کرد. در مورد اطلاعات شخصی افراد هم برای جلوگیری از نشت اطلاعات منجر به نقض حریم شخصی، حتماً از ارائه خروجی اکسل اجتناب کنید.

خلاصه نکات مربوط به خروجی اکسل در نرم‌افزارها:

  • تا جای ممکن امکان خروجی اکسل رو به نرم‌افزار اضافه نکنید
  • اگر خروجی اکسل به نرم‌افزاری اضافه کردید مطمئن بشید که مجوزدهی براش اعمال شده و برای همه کاربران در دسترس نیست
  • از ارائه اطلاعات شخصی و مهم در قالب خروجی اکسل خودداری کنید
  • مطمئن بشید مدیر محصول، مدیر پروژه، کارفرما یا هر نقش دیگه‌ای که درخواست برای خروجی اکسل داشتند، از ایرادات امنیتی و مشکلات احتمالی که برای حریم شخصی می‌تونه ایجاد کنه آگاه هستند و با چشم باز می‌خواهند این قابلیت به نرم‌افزار اضافه بشه.