Data security

Let Op! Kans Op Datalek In Power BI

Stel je ontwikkelt een rapportage waarbij je alle opties met betrekking tot het inzien van gegevens (zoals exporteren, instellingen header, etc.) uitgeschakeld hebt. Je denkt dus dat je gegevens niet zichtbaar zijn en zet het rapport openbaar.

Echter! Het blijkt dat er in specifieke gevallen een extra optie zichtbaar is in een visualisatie genaamd “Show data points as a table”. Wanneer je hier op klikt verschijnt er een tabel met daarin allerlei aanvullende informatie/kolommen.

Dit kan uiteraard leiden tot het tonen van informatie die niet getoond mag worden.

Power BI grafiek met een ‘implicit measure’ 

Implicit measures zijn te herkennen aan het ‘Sigma’ (∑) symbool voor de naam van het veld en worden door power BI zelf gecreëerd.  Als je deze in een grafiek gebruikt krijg je hetzelfde resultaat als een explicit measure (zelf gedefinieerde DAX calculatie) gebruikt. Dus lijkt er niets aan de hand te zijn.

Wanneer een gebruiker met de rechter muisknop op deze grafiek klikt, krijgt hij of zij de optie ‘show data points as table’ te zien.

Met als resultaat dat de kolommen die ook in de tabel aanwezig zijn getoond worden terwijl dit misschien niet de bedoeling is.

Hoe voorkom je dit in Power BI?

Bovenstaand verschijnsel treedt op wanneer in een visualisatie een kolom met aggregatie wordt toegepast in plaats van een measure (explicit vs implicit).

  • Het is dus ook eenvoudig op te lossen door overal measures te gebruiken, maar dit moet wel in je werkwijze zitten.
  • Een andere route is het verbergen van de kolom (of tabel) die niet in het detailoverzicht getoond mag worden. Kolommen die als “verborgen” gekenmerkt zijn, worden namelijk niet getoond.
  • Doormiddel van de externe tool ‘Tabular editor‘ kan je het model aanklikken en dan de optie [discourage implicit measures] aan zetten. Dan is het niet meer mogelijk implicit measures aan te maken.

Externe tool: Tabular Editor

Na het aanzetten van de optie in tabular editor zul je zien dat de sigma symbolen voor de implicit measures verdwenen zijn.

Bij bestaande visuals die gemaakt zijn voordat de optie is ingeschakeld is het niet meer mogelijk de aggregatie te wijzigen maar nog steeds mogelijk naar de niet bedoelde details te kijken.

Bij nieuwe visuals kun je geen implicit measures meer toevoegen omdat deze niet meer bestaan

Hierdoor worden we gedwongen een explicit measure aan te maken (calculator icoontje) met DAX , waardoor de optie show data points as table niet meer beschikbaar is.

Altijd scherp blijven op data die je in je model laadt

Het is dus goed om je van deze functionaliteit bewust te zijn en altijd na te blijven denken over de data die je in je model laadt. Data die je niet inlaadt kan immers ook nooit uit het rapport worden gehaald via een optie waar we (nog) niet bekend mee zijn. Daarnaast is het belangrijk oudere rapportages na te lopen op dit mogelijke datalek.

 
 
 
 
Facebook
Twitter
LinkedIn
Pinterest
Translate »