Microsoft rolt een nieuwe OneDrive-functie uit waarbij data van persoonlijke accounts worden gesynchroniseerd met zakelijke accounts. De functie, officieel ‘Prompt to Add Personal Account to OneDrive Sync’ genoemd, leidt ertoe dat security policies omzeild kunnen worden. Hierdoor belandt zakelijke data mogelijk op straat.
Microsoft gaat de feature in juni inschakelen. Deze detecteert persoonlijke accounts op zakelijke apparaten. Gebruikers krijgen vervolgens een melding om hun OneDrive-bestanden te synchroniseren. Wanneer gebruikers de melding accepteren, beginnen hun bestanden automatisch te synchroniseren naar hun zakelijke OneDrive-omgeving, zonder dat er aanvullende configuratie nodig is.
Als een gebruiker dus inlogt met een privé Microsoft-account op een zakelijk apparaat, dan krijgt die standaard de melding om het account te koppelen. Ze zijn zelf verantwoordelijk voor het geven van toestemming. Maar het kan handig of makkelijk lijken om de melding te accepteren, wanneer je je niet bewust bent van de risico’s.
Beveiligingsrisico’s bij automatische synchronisatie
Securityexperts waarschuwen dat deze functie een aanzienlijk risico vormt voor de overdracht van gevoelige bedrijfsgegevens naar persoonlijke, onbeheerde omgevingen. Gebruikers kunnen na goedkeuring bestanden van hun zakelijke OneDrive naar hun persoonlijke OneDrive-account kopiëren, wanneer hun IT-afdeling dit niet actief heeft geblokkeerd.
“Deze standaardinstelling omzeilt uiteraard gevestigde securityprotocollen, omdat inherente controlemechanismen, logmechanismen en bedrijfspolicies voor de synchronisatie van persoonlijke accounts op zakelijke apparaten ontbreken”, schrijft Senior Cybersecurity Strategic Advisor Paolo C van BARE Cybersecurity. “Hierdoor ontstaat een aanzienlijk risico dat gevoelige bedrijfsgegevens onbedoeld of opzettelijk worden overgedragen naar persoonlijke, niet-beheerde omgevingen.”
Hierdoor ontstaat een potentiële route voor zowel onbedoelde als kwaadwillige gegevensoverdracht buiten de bedrijfsomgeving.
Beperk het gevaar
IT-beheerders hebben twee opties om dit risico te beperken. Enerzijds kunnen ze de DisableNewAccountDetection-policy implementeren, die de meldingen onderdrukt maar gebruikers toestaat om hun persoonlijke accounts handmatig te configureren. Anderzijds kunnen ze de DisablePersonalSync-policy implementeren, die gebruikers volledig verhindert om hun OneDrive-bestanden op bedrijfsapparaten te synchroniseren.
Tip: Openen en opslaan bestanden in OneDrive bevriest werking macOS