Excel er et bunnløst sikkerhetshull

Sikkerheten tilsier at Excel burde forbys, mener Gartner. Siden det er umulig, har analyseselskapet andre forslag.

En av Gartners ledende analytikere, Jay Heiser, mener det hefter alvorlige sikkerhetstrusler ved det han kaller «brukerutviklede applikasjoner». Han sikter i hovedsak til regneark. Ideelt sett mener han at Excel burde forbys. Han erkjenner uten videre at det er umulig, selv om man skulle presisere at bruken av Excel til å behandle bedriftsinterne data burde forbys.

Som utgangspunkt for sitt foredrag om «excellererende risiko» på Gartners europeiske toppmøte om IT-sikkerhet, viser han til flere tilfeller der Excel-regneark kan koples til enorme tap for bedriften.

– I ett tilfelle manipulerte en mekler et regneark for å få dekning for feilaktige investeringer. Banken hans tapte 691 millioner dollar. Vi har et tilfelle der et energiselskap tapte 24 millioner dollar fordi data ble limt inn feil i et regneark. Ved en politiskole ble resultatene til adgangseksamen sortert i feil rekkefølge, og de som fikk beskjed om at de slapp inn, var de som ikke besto prøven. Et annet energiselskap brukte feil regneark til å beregne sine priser, og fikk et søksmål med krav om 200 til 1000 millioner dollar mot seg. En bank i Australia måtte midlertidig gå av børs fordi intern informasjon slapp ut til analytikerne: De fikk et regneark der følsomme opplysninger var sladdet, ikke slettet.

Heiser viser til uavhengige undersøkelser som tyder på at 30 prosent av all virksomhetskritisk data er lagret i regneark.

– Regneark brukes til alle former for finansiell rapportering. Eksisterende kontroller på data fra ERP-systemer blir omgått ved å importere dem inn i regneark. Bedrifter som har innført avanserte systemer for beslutningsstøtte for å redusere tilbøyeligheten til å bruke regneark, har i stedet opplevd at også disse tallene overføres til regneark for ad hoc behandling der.

Poenget er at brukerne, særlig oppover i bedriftsledelsen, opplever regneark som en befriende mulighet til å analysere tall og leke seg med forskjellige typer prognoser og modeller.

– En av grunnene til at Sarbane-Oxley-loven i USA er i praksis irrelevant, er at den ikke tar opp denne problemstillingen, mener Heiser.

Han sammenlikner regneark med Skype: Forbrukerteknologi som brukes til kritiske forretningsapplikasjoner. Forskjellen er at regneark er så mye verre.

– Regneark brukes overalt, til planlegging, budsjettering, rapportering og så videre. Finansfolk bruker dem til å prøve ut nye former for investeringsprodukter. Legemiddelindustrien bruker regneark til å hente inn og behandle data fra laboratorieinstrumenter. All utvikling av medisiner er avhengig av regnearkmodeller og -beregninger.

Gransking av regneark viser at i utgangspunktet har modellene samme hyppighet av feil som nylig kodede C++-programmer. Forskjellen er at C++-programmer deretter går gjennom en omfattende og kontrollert prosess med kvalitetskontroll og avlusing. Egenutviklede regnearkmodeller har ingen kvalitetskontroll. Inge har prosesser for å finne og rette feil i regnearkmodeller som brukes til å avgjøre strategiske beslutninger for forretningen.

– Bedrifter er lite opptatt av dette. Derimot er de opptatt av kontrollspørsmål. De erkjenner en annen type feil som også er svært viktig, nemlig kontroll med hvem som gjør hva. Mange har opplevd at endringer i et regneark ikke kan spores, og at folk gjør om sine regneark i etterkant slik at det ser ut som de var flinkere til å spå utviklingen enn de i praksis var. Svært få har løsninger på plass for å spore hvem som endret regnearkmodellen når. Mange opplever store problemer med å finne fram til den nyeste utgaven av en gitt modell.

Heiser mener det finnes mange grunner som forklarer hvorfor det ikke gjøres noe med dette åpenbare sikkerhetsproblemet.

Blant de to viktigste: For det første er de mektigste innen bedriften også samtidig de som bruker regneark mest. For de andre er det ingen som har fått tildelt oppgaven med å kvalitetssikre og kontrollere tilgangen til regnearkene. De mektige brukerne vil dessuten være tilbøyelige til å betrakte dette som utidig innblanding, ifølge Heiser.

– I hovedsak er det to typer løsninger. Brukerutviklede regnearkmodeller bør i større utstrekning avløses av dedikerte applikasjoner under sentral kontroll. En annen type løsning er å underlegge regnearkmodeller ulike former for sentral kontroll. Det finnes mange ulike produkter for dette.

I begge tilfeller må man trå varsomt for å sikre gehør hos brukerne, mener Heiser.

– Man kan ikke plutselig foreslå å forby regneark. Men man kan klargjøre risikoen man løper ved å bruke regneark, og hvordan denne risikoen øker uten kontroll av verken kvalitet eller tilgang. Det er viktig å se dette som et strategisk spørsmål, og det gjelder for IT-avdelingen å sikre seg allierte før man setter i gang en endringsprosess. Start med tilgangskontroll, som det er lettere å få gehør for, for så å angripe kvalitetssikringen.

Microsofts utviklingsstrategi for Office-pakken generelt og Excel spesielt gir både fordeler og ulemper, mener Heiser.

– XML-formatet vil gi bestemt fordeler. På den andre siden posisjonerer Microsoft Excel 2007 som en klient mot ERP-systemer, blant annet SAP. Det vil gjøre det vanskeligere å trekke det nødvendige skillet mellom ERP-systemet og private regnearkmodeller.

Til toppen