Arkusz kalkulacyjny a dostęp do danych firmowych

O dostępie do obiektów baz SQL Servera (w tym tabel) decydują uprawnienia nadane w samym SQL Serverze. Często dla grupy użytkowników danej aplikacji nadaje się (na poziomie SQL Servera) szersze uprawnienia (np. odczytu całych tabel bez zawężania do kolumn lub wręcz uprawnienia RW do całej bazy) – bo jest tak wygodniej konstruować oprogramowanie. Następnie sama aplikacja, poprzez logowanie do niej, decyduje co dany użytkownik może, a czego nie (w zależności od jego roli w tym biznesie) widzieć i wykonać w środowisku tej aplikacji. Jeśli stosowane są mechanizmy autoryzacji Windowsowej dostępu do SQL Servera, to logując się do stacji roboczej, użytkownik oprócz samej aplikacji może (jeżeli nie jest to jakoś obwarowane) uruchomić inny program kliencki (np. arkusz kalkulacyjny) i podpiąć źródło danych z SQL Servera, omijając w ten sposób pośrednictwo dedykowanego programu użytkowego. Zobaczy wtedy (i będzie mógł robić) to wszystko, czego aplikacja strzeże poprzez wewnętrzne uprawnienia z tytułu logowania się do niej. Zakres widzialności jest wtedy taki, na jaki pozwalają uprawnienia tego użytkownika systemu Windows w bazie SQL, a nie w dedykowanym programie (innymi słowy: może zobaczyć i zrobić więcej niż upoważnia go do tego jego rola, np. obejrzeć kwoty zarobków, chociaż oficjalnie i poprzez uprawnia w aplikacji ma dostęp tylko do danych osobowych). Sporo jest zastosowań, gdzie istnieją tego typu reguły dostępu, obarczone takim właśnie stylem projektowania aplikacji bazodanowych. Inna kwestia, to jak się przed tym chronić i zapobiegać (właśnie zapobiegać zamiast po fakcie namierzać kto, co i kiedy narozrabiał).

Dostęp do danych jest pochodną funkcji biznesowych pełnionych przez danego użytkownika i zazwyczaj nawet jeżeli nie jest stosowany Excel czy Calc do ich edycji, to w takiej czy innej formie aplikacje biznesowe pozwalają na eksport czy wyświetlanie danych, a tym samym umożliwiają ich wyciek (choćby jako zrzut ekranu). Natomiast inną kwestią jest możliwość stwierdzenia kto, skąd i kiedy miał do tych danych dostęp. W tym celu stosuje się rozwiązania typu single sign-on, zarządzanie tożsamością z separacją uprawnień (separation of duties), a wreszcie zarządzanie bezpieczeństwem informacji i zdarzeniami w sieci (SIEM i Log Management). Tylko, że niestety najczęściej znajomość kwestii bezpieczeństwa u tzw. informatyków sprowadza się do kwestii firewalla i antywirusa, a nie do kontroli dostępu, weryfikacji uprawnień oraz analizy zdarzeń.