Chromen synkronointitoiminto nostaa riskiä sille, että työpaikan salasanat päätyvät työntekijän kotikoneelle. Ota Chromen synkronointitoiminto pois päältä organisaatiosi IT-ympäristössä!
Tämä blogipostaus on suunnattu erityisesti yritysten tietoturvavastaaville ja IT-asiantuntijoille. Käsittelen tässä asiaa Chromen näkökulmasta, mutta samat asiat soveltuvat myös esim. Edge ja Firefox -nettiselaimiin.
Blogipostauksen sisältöä:
- Mikä on Chromen synkronointitoiminto?
- Synkronoinnin aiheuttamat riskit
- Miten tarkistan, onko synkronointi päällä yrityksen laitteilla?
- Chromen synkronoinnin estäminen
- Muutoksesta viestiminen
Mikä on Chromen synkronointitoiminto?
Chromessa ja muissa nettiselaimissa on synkronointitoiminto, jonka avulla voidaan siirtää laitteelta toiselle esimerkiksi salasanoja, kirjanmerkkejä, selaushistoriaa, avoimia välilehtiä, lisäosia ja muita asetuksia (kts. kuva alla).
Toiminnallisuuden tarkoituksena on helpottaa ja sujuvoittaa nettiselaimen käyttöä eri laitteiden välillä. On kätevää, kun eri laitteilla on käytössä samat tiedot.
Yllä olevasta kuvasta huomaa, mitkä kaikki tiedot synkronoituvat. Oletuksena synkronoidaan kaikki. Erityisen haitallisia synkronoitavia ovat ainakin kirjanmerkit, laajennukset sekä salasanat ja avainkoodit.
Yritysympäristössä synkronointitoimintoa ei kuitenkaan lähtökohtaisesti tarvita. Työntekijöillä ei ole tarvetta kirjautua henkilökohtaisilla Google-tunnuksillaan työpaikan nettiselaimeen ja synkronoida tietoja muille laitteille.
Esimerkiksi jos kirjautuu samalla tunnuksella työpaikan nettiselaimeen ja kotikoneen nettiselaimeen, ja aktivoi synkronoinnin, niin tiedot liikkuvat laitteiden välillä.
Synkronoinnin aiheuttamat riskit
Työkoneelta kotikoneelle tapahtuva Chrome synkronointi voi aiheuttaa seuraavia riskejä:
1) Salasanat vääriin käsiin
Salasanat siirtyvät työpaikan koneelta kotikoneelle. Kotikoneella ei ole vastaavia suojauksia käytössä, kun työkoneilla. Kotikoneen haltuun ottanut rikollinen voi kaivaa työpaikan salasanat esiin kotikoneen kautta.
2) Kirjanmerkkien vääristäminen
Rikollinen voi muokata kirjanmerkkejä kotikoneen kautta ja korvata asialliset sivut esimerkiksi huijaussivustolla. Näin rikollinen saa syötettyä huijaussivuston linkin suoraan työntekijälle työympäristöön. Huijauksen havaitseminen on lähtökohtaisesti haastavampaa, koska työntekijä luottaa omiin kirjanmerkkeihinsä.
3) Haitalliset laajennukset, lisäosat ja asetukset
Rikollinen voi muuttaa selaimen käytössä olevia lisäosia ja muita asetuksia. Hän voi asentaa haitallisen lisäosan tai muokata olemassa olevan lisäosan asetuksia omien tarpeidensa mukaan. Muutokset siirtyvät kotikoneelta työkoneelle.
Kannattaa huomioida, että tiedot siirtyvät molempiin suuntiin. Käytännössä siis molemmat laitteet voivat aiheuttaa ongelmia toiselle laitteelle. Kotikoneen haittaohjelma aiheuttaa riskin työkoneelle, mutta vastaavalla tavalla riskit työkoneella uhkaavat kotikonetta.
Miten tarkistan, onko synkronointi päällä yrityksen laitteilla?
Synkronoinnin voi tarkistaa manuaalisesti ja keskitetysti IT-hallintatyökalujen avulla.
Synkronointi edellyttää, että Chrome-selaimeen on ensin kirjauduttu sisään. Ja sen jälkeen aktivoitu synkronointi.
Kirjautumisen voi tehdä Chromen asetusvalikon kautta, mutta Chrome kirjaa käyttäjän sisään selaimeen myös silloin, kun käyttäjä avaa esim. Gmailin Chrome selaimen kautta. Kirjautuminen selaimeen voi tapahtua siis ihan huomaamatta.
Chrome tarjoaa synkronointia samalla, kun selaimeen kirjaudutaan. Synkronoinnin voi aktivoida erikseen kirjautuneen käyttäjän profiilin kautta.
Manuaalinen tarkistaminen
Chromen ylänurkassa on kirjautuneen käyttäjän nimikirjaimet tai profiilikuva. Sen takaa löytää tiedot, onko Chrome synkronointi käytössä ko. profiilissa.
Kuvassa synkronointi on päällä.
Synkronoinnin tarkistaminen IT-työkalujen avulla
IT-ylläpidolla on käytössään työkaluja, joilla IT-ympäristöstä voidaan etsiä laitteita, joissa synkronointi on päällä.
Kun synkronointi aktivoidaan, niin siitä tulee maininta ainakin seuraavaan Chromen käyttäjäprofiilin asetustiedostoon:
c:\Users\KÄYTTÄJÄTUNNUS\AppData\Local\Google\Chrome\User Data\PROFIILIKANSIO\Preferences
Profiilikansio on oletuksena Default, mutta jos selaimeen on tehty useampia profiileja, niin muut kansiot ovat nimeltään Profile 1, Profile 2 jne.
Profiilikansiossa on tiedosto nimeltä Preferences.
Jos sen sisältä löytyy seuraava sync-tietueeseen liittyvä arvo, niin synkronointi on päällä:
has_setup_completed, True
Jos koko arvoa ei löydy, synkronointi ei ole päällä.
Eli käytännössä pitää käydä jokaisen koneen, ja jokaisen käyttäjän, Chrome-profiilikansioiden Preferences-tiedostot läpi ja etsittävä niistä has_setup_completed arvoa.
Chrome synkronoinnin estäminen
Synkronointi kannattaa kieltää hallinnollisesti ja teknisesti.
Hallinnollinen sääntö
Hallinnollisen tietoturvan näkökulmasta riskiä voi pienentää esimerkiksi tietoturvaohjeen kautta. Kerro tietoturvaohjeessa esim. seuraavia asioita:
- Työpaikan salasanat saa tallentaa vain työpaikan hyväksymään salasanojen hallintaohjelmaan,
- työpaikan nettiselaimeen ei saa kirjautua omilla henkilökohtaisilla tunnuksilla, ja
- työpaikan salasanoja ja muita tietoja ei saa synkronoida omille henkilökohtaisille laitteille.
Synkronoinnin lopettaminen omatoimisesti
Ohjeista työntekijöitä lopettamaan synkronointi Chromen asetuksista ja kirjautumaan ulos selaimesta.
Huono puoli tässä on se, että Chrome kirjaa käyttäjän takaisin sisään selaimeen heti, jos työntekijä kirjautuu selaimen kautta esim. Gmailiin tai muihin Googlen palveluihin.
Synkronointitoiminto ei kuitenkaan mene itsestään päälle, vaan se vaatii aina käyttäjältä omia toimenpiteitä.
Muista ohjeistaa työntekijää poistamaan jo synkronoidut salasanat Google-tililtä.
Keskitetty tekninen esto koko organisaatiolle
Synkronointitoiminnon käyttö voidaan estää kokonaan teknisesti. Käytännössä tämä tehdään jakamalla kaikille työpaikan koneille keskitettynä asetus, joka poistaa toiminnon käytöstä.
Esimerkiksi Google ohjeistaa käyttämään seuraavia työkaluja:
Asetusten jako voi onnistua myös esim rekisterimuutoksilla tms.
Organisaatiosi IT-asiantuntijat tietävät parhaiten, miten asetus kannattaa jakaa koneille.
Muutoksesta viestiminen
Chromen synkronoinnista ja siihen tehtävistä muutoksista kannattaa viestiä työntekijöille.
Erityisesti kannattaa muistuttaa siitä, että jo synkronoidut salasanat tulee poistaa Google-tililtä. Googlella on tähän oma salasanapalvelu, johon kirjautumalla voi nähdä synkronoituneet salasanat.
Kiinnitä viestinnässä huomiota myös käytettyihin käsitteisiin. Esim työntekijän näkökulmasta Chrome ja Google saattavat tarkoittaa samaa asiaa. Salasanojen tallentaminen selaimeen ja salasanojen synkronoinnin erot voivat olla myös haastavia ymmärtää.
Vastaa