Федор Маслов, UDV Group: опасность хранения бизнес-данных в Excel

Продуктовый менеджер компании UDV Group специально для издания “Деловой Петербург” рассказал о том, почему хранение информации в Excel может стать критической ошибкой для бизнеса. 

1. Компании из каких сфер чаще всего использую Excel для хранения важных бизнес данных?

Не смотря на активный тренд по импортозамещению офисных приложений, начавшийся в 2020 годах, Microsoft Excel до сих пор повсеместно используется организациями различного масштаба, ведущими бизнес в самых разнообразных сферах экономики. При этом, использование Excel для хранения критических бизнес-данных до сих пор не является редкостью. Чаще всего такие случаи встречаются в малом и среднем бизнесе, организациях не имеющих зрелых политик информационной безопасности, стратегии по защите данных, а также там, где управление данными не является частью корпоративной политики, встроенной в стратегию развития бизнеса.

2. Почему бизнес до сих пор активно и часто используют Excel даже после внедрения специализированных IT-решений? В чем его особая удобность?

С одной стороны, многие компании уже внедрили российские решения, импортозамещающие Excel, которые получили достаточно серьезный стимул к развитию в последние годы. Безусловно, это нивелирует часть рисков для информационной безопасности, но не является гарантом защищенности данных, хранимых даже в сертифицированных ФСТЭК России офисных приложениях. С другой стороны, на рынке есть масса различных специализированных и защищенных решений для хранения тех или иных бизнес-данных, которые позволяют комплексно минимизировать риски доступа к данным за счет целостного подхода, но их приобретение является дополнительной инвестицией к вложениями в офисные приложения. Не все организации готовы внедрять подобные продукты, особенно в текущей экономической ситуации. На контрасте с этим, Excel дает возможность бесплатно хранить данные, передать их тем или иным сотрудникам и это не требует дополнительных вложений. Более того, зачастую, в организациях, где управление данными не является системным, рядовые сотрудники могут иметь возможность самостоятельно принимать решение об использовании тех или иных инструментов для хранения информации. Они выбирают привычные инструменты, которые не усложняют выполнение их рутинных задач. И их сложно винить в этом, ведь обязанность контроля за безопасностью информации не является их непосредственной обязанностью.

3. В связи с чем такой метод накопления информации представляет опасность? И почему Excel не подходит для хранения важных бизнес данных?

Во-первых, любые иностранные решения могут иметь так называемые закладки, а также уязвимости которые могут позволить злоумышленнику выполнить ряд действий, приводящих к получению доступа к критической информации. Например, 2025 год начался с того, что компания Microsoft закрыла 159 уязвимостей в Microsoft Office, в состав которого входит Excel. Часть исправлений предназначалась для уязвимостей 0 дня, а 12 из 159 были критическими. Были ли данные проблемы привнесены в ПО случайно, или же являлись результатом намеренных действий мы никогда не узнаем, но такие случаи нередки и могут касаться, по сути, любого программного и аппаратного обеспечения. Во-вторых, логика и архитектура Excel, в принципе не позволяет обеспечить эффективную защиту хранящихся данных, потому что доступ к ним никак не ограничивается. Рядовые сотрудники могут хранить документы как на своей рабочей машине, так и на сетевых устройства, в публичных облаках. В отсутствие в организации строгих политик информационной безопасности и внедренных решений класса DLP, они не имеют препятствий к совершению таких действий. Помимо этого, файлы Excel, хранящиеся таким образом, никак не защищены от вирусов-шифровальщиков, которые за последнюю пятилетку активно используются в вымогательских кампаниях злоумышленников.

4. Какие потери может понести компания в этом случае? Сколько миллионов может стоить эта ошибка?

Не имея информации о том какие данные хранятся, потенциальные потери посчитать непросто. Издержки при инцидентах такого рода могут исчисляющимися как десятками тысяч рублей, так и привести к многомиллиардным убыткам. Все зависит от того, какие именно данные хранились незащищенным образом и как именно их потеря или раскрытие повлияют на бизнес. Для понимания последствий, мы рекомендуем организациям встраивать процессы защиты и управления данными в корпоративные стандарты и стратегию развития бизнеса. Это позволит не только комплексно оценить риски и последствия на при их реализации, но и посчитать потенциальные денежные потери, что, зачастую, помогает экспертам по информационной безопасности и директорам по IT обосновать бюджетирование специализированных решений. Понимание потенциальных потерь дает возможность осознать необходимость защиты, минимизации рисков.

5. Где тогда безопасно хранить критически важные данные?

Во-первых стоит обратить внимание на требования законодательства. Если организация неправомерно и некорректно хранит чувствительные данные, это может привести к штрафам, а иногда - к уголовной ответственности. Это первое, что необходимо учитывать. Второе - выбор инструментов для хранения. Мы рекомендуем нашим заказчикам и партнерам выбирать сертифицированные ФСТЭК России решения, направленные на выполнение специфичных для бизнеса задач, отказываться от хранения критических сведений в частных облаках, на персональных машинах пользователей, за исключение случаев, когда данные подходы невозможны технически. В таких сценариях рекомендуем применять соответствующие классы решений: DLP, XDR, осуществлять резервное копирование и репликацию данных, хранить резервные копии на серверах, исключающих возможность шифрования с помощью вредоносного программного обеспечения, обеспечить отказоустойчивость СХД. При использовании специализированных средств и платформ для хранения данных, организации должны максимально использовать возможности встроенных в решения ролевых моделей для ограничения доступа к данным, следуя принципу минимальных привилегий, постоянно проводить аудит ранее выданных привилегий, актуализировать их в соответствии с бизнес-потребностями и сформированными политиками информационной безопасности. Также, мы рекомендуем использовать дополнительные наложенные решения для контроля доступа, например, SSO, IAM, PAM, NTA - для обеспечения дополнительной видимости доступности критических данных и упрощения управления им.

6. Возможен ли полный уход компаний от Excel и необходим ли этот отказ бизнесу?

По нашему мнению, полный уход компаний от Excel вряд ли возможен в обозримом будущем. Невозможно в одночасье изменить психологические предпочтения людей, сформировавшиеся за десятилетия. Тем не менее, организации, заинтересованные в повышении уровня устойчивости бизнеса, сейчас имею достаточный спектр российских инструментов для реализации комплексной и зрелой стратегии по защите критических данных. Каждая компания самостоятельно выбирает стратегию защиты, основываясь своих потребностях и требованиях законодательства, поэтому необходимость в полном отказе от Microsoft Excel будет продиктована именно этими факторами.

Изображение (фото): UDV Group