Сегодня речь пойдет про безопасность Эксель.
В первой части мы разбирались какие ошибки и убытки возможны из-за использования Эксель в коммодити бизнесе.
В предыдущей части мы увидели какие преграды Эксель ставит для масштабируемости компаний.
#excelshouldbeeliminated
Для товарных трейдеров со словом безопасность ассоциируется безопасность чего угодно, но только не собственных данных. Они страхуют грузы, но не страхуют данные о грузах. Потеря что одного, что другого влечет громадные убытки.
Давайте разберемся как это может произойти:
Пересылка файла Эксель через почту
Представьте, что вы сделали изменения в вашем Эксель файле (где храниться ваша управленческая отчетность) и хотите отправить его вашим коллегам.
Вас отвлекли, или вы торопились. И то и то, чревато ошибкой в строке адресата и весь управленческий учет уходит контрагентам. Это нельзя развидеть, нельзя вернуть обратно, это не банковский перевод, которые можно попросить обратно, это хуже.
Я просто выбираю адрес отправки название своей компании – Grain…и помимо имейлов компании я так же вижу какой то другой, на который я вполне могу нажать.
А развидеть нельзя :)
Как убрать доступы у сотрудников в Эксель
Представляем дальше ситуацию, сотрудник уходит из компании. Первый вопрос – подписан ли с ним NDA? А если и подписан, как это повлияет на то, что он может воспользоваться данными компании как угодно.
Второй вопрос – мы можем даже не говорить об очень sensitive данных, как ПнЛ или контракты с контрагентами.
Давайте вспомним об обычных рабочих Эксель, которые каждый сотрудник ведет для себя. Он уходит из компании и весь его опыт, все его достояние, все его данные и наработки – уходят вместе с ним.
Манипуляции данными в Эксель, которые нельзя отследить
В статье про ошибки мы рассматривали про ненамеренные ошибки и. к чему они могут привести. А теперь давайте поговорим о намеренным ошибках, которые отследить еще сложнее.
История, которая произошла с нами и нашими клиентами хорошо проиллюстрирует ситуацию:
Когда мы интегрировали Грейнтрек в компанию, мы сравнивали как считает калькулятор сделки у нас в системе с результатами их стандартного Excel шаблона для подсчетов.
Суть в том, что разные отделы компании вносили в этот шаблон данные: стоимость доставки, фрахт, страховка, цена закупки, курс валют и так далее. И потом, когда нужно было подсчитать приблизительную маржинальность сделки этот файл использовался для согласования – подтверждаем ли мы бизнес или нет. Мы получили те же данные, внесли их в Грейнтрек и обнаружили что у нас финальный результат не сходится на сумму около 1,000$. Мы перепроверили, попросили еще одну сделку, но результат был тот же.
Мы начали проверять как считает файл клиента и обнаружили что в длинной формуле, которая плюсует все затраты друг с другом, как на рисунке выше (на рисунке – это вымышленные данные для примера). Среди всех формул расчета была прописана +1000, которая и были причиной расхождения. Сотрудник, ответственный за это сказал просто: “Ой, сейчас поправим”. Вопрос специально это было сделано или случайно – уже не к нам. Мы были рады помочь и обнаружить такую ошибку, но сколько сделок до этого они подтвердили с такой формулой?
Промышленный шпионаж в Эксель
Если вы думаете это удел только крупных корпораций с тысячами сотрудников – это не так. Товарный рынок не такой большой и частый кейс- когда один сотрудник переходит из одной компании-нашего клиента в другую и радостно отправляет нам имейл: “А, я в новой компании и тут вы!”. То есть текучесть кадров в индустрии довольно высока. Все эти люди в основном приятные, улыбчивые и ответственные профессионалы. Но где гарантия что все? на рынке дефицит кадров и часто компании берут в штат человека без опыта в индустрии и сами обучают его всему, и почти сразу предоставляют доступ к чувствительным данным компании.
Достаточно поработать в компании несколько недель-месяцев, чтобы получить доступ к серверу с данными, слить которые не является проблемой и никак не отслеживается. Промышленный шпионаж – это преднамеренное устройство на работу сотрудника-шпиона из другой компании, которые выведав нужную информацию уходит из компании.
Взлом в Эксель
Последний пункт, но не менее важный и частый. Не так давно отгремел вирус Petya, а все уже расслабились. Хотя самый лучший взлом это такой, когда вы даже не знаете что вас взломали.
Сотрудники записывают пароли на бумажках, открывают фишинговые письма, у вас в офисе открытый вай-фай? Если хотя бы один из пунктов правда – поздравляю, с большой долей вероятности вас уже взломали.
Использование онлайн-инструментов, доступ к которым может попасть к злоумышленникам, через доступ к почте сотрудников, которые, в большинстве случаев, придумывают слишком легкие пароли, или становятся жертвами соц. инжиниринга.
Решение безопасности Эксель
Когда вы используете систему для управленческого учета, или специализированный ERP для товарного бизнеса, ваши данные надежной зашифрованы и защищены.
В таких системах, сессии пользователей имеют таймаут, есть проверка на сложность паролей, есть валидация данных, разграничение доступа, трекинг айпи адресов и попыток скачивания важных данных. Использование специализированный ERP или CTRM системы позволяет вам защитить данные от вышеперечисленных неприятностей.
Ну а если вы так сильно любите Эксель, то мы в Grain Track сделали так, что для редактирования больших массивов данных, сотрудники могут использовать Excel, встроенных в систему, которые после редактирования проверяет все данные и выявляет ошибки, которые могут быть сделаны в обычном Excel.
