Videózhatunk vele biztonságosan Home Office-ban?
Home office
A járványügyi vészhelyzet olyan megoldásokat kényszerített ki a cégekből és munkavállalóikból, ami pár hónapja még nehezen elképzelhető lett volna. A tárgyalási szokásaink egyik napról a másikra változtak meg az „igyunk egy kávét” illetve a „8:30-ra mindenki a meetingroom-ba” megoldásokról a „leszűröm a tésztát és veszem a fülest” meghívásokra.
A változások egyértelmű nyertesei azok a cégek, akik képesek sokszereplős videó-konferencia hívásokat szolgáltatni. Ezen megoldások közül is volt egy, ami óriásit robban a piacon – 3 hónap alatt a napi felhasználók száma ~10 millióról 300 millióra duzzadt. Ennek az óriási népszerűségnek az okai egyrészt ingyenességében (akár 100 résztvevőig) keresendőek, de leginkább a könnyű kezelhetősége az, ami tömegeket vonzott be.
Amint azt sokan megtapasztalhatták, a nagy üzleti versenytársak, mint a Cisco webex, Microsoft Teams, Skype for Business, Jitsi, stb. vagy bonyolultabbak, vagy valmi részeként elérhetőek csak, így drágábbak is, méretileg és erőforrás igény alapján is nagyok, és sok tapasztalatból a használatuk során gyakori a szenvedés. A piac pedig nem arra vágyott leginkább, hogy új eszközöket kelljen venni, és azt napokig az üzemeltetőknek telepítgetni egy gyors megbeszélés miatt. A cél most az volt, hogy egy véletlenszerűen előkapott laptopon vagy mobilon is jól elfusson, sok szereplővel, hosszabb előkészületek nélkül. Erre pedig a Zoom tökéletesen alkalmas.
A könnyű kezelhetőségnek azonban ára is van: könnyen lehet a találkozókat megzavarni az ú.n. bombázás technikával; nem elég erős titkosítást alkalmaztak a kommunikációban; megjelentek fertőzött, nem hivatalos telepítő-készletek; stb.. Ezen kívül pedig elkövettek még egy komoly hibát.
Adatvédelmi szabályzat
A Zoom adatkezelési szabályzata jogot ad arra, hogy a felhasználók adataival a saját belátásuk szerint bármit meg tudjanak tenni. Ez bizony komoly adatvédelmi öngól, még ha feltételezzük is azt, hogy ezt a szolgáltatás-fejlesztéshez, illetve marketinghez, és nem rosszhiszeműen használják fel. Azonban a Zoom adatvédelmi és biztonsági politikája szinte semmiben sem különbözött a nagy konkurensek 1-2 évvel ezelőtti szabályzataitól.
Akkor miért támadják mégis ilyen hevesen? A válasz egyszerű, már-már triviális. Üzleti érdekből. Hiszen a nagy riválisok nem akarnak engedni egy újonnan jövő konkurenciát megerősödni, hiszen az durván belenyúlhat a piacukba.
Miért? Mert tudják, hogy az új belépő mindent visz.
Mégis, mi a Zoom legnagyobb hibája?
Azt hiszem, erre a kérdésre minden IT biztonsággal foglalkozó tudja a választ, de olyan triviális, hogy az már fáj. Természetesen: a felhasználó képzetlensége.
A legtöbb támadást úgy követhették el a Zoom ellen, hogy a felhasználó képzetlenségét használták ki. Az emberek számos esetben maguk segítették a hackereket vagy a trollokat a konferenciák megzavarásához azzal, hogy nem tartották be az alapvető biztonsági szabályokat, ők maguk tették közzé a meeting ID-t, vagy estek csapdájába egy u.n. adathalász támadásnak – és léptek be hamis csoportokba.
Hogy? Mit? De nekem nem mondta senki …
Természetesen a programnak is változtatnia kell, hogy nehezítse a felhasználók képzetlenségének, hiszékenységének kihasználását. Ez úgy gondolom a fejlesztőkön nem múlott – viharsebességgel javítják a bejelentett hibákat. Eredményeképpen 2020. április 27-én hétfőn megkezdődött a program 5.0 főverziójának a kiadása. Azóta már frissítve 5.0.1-re.
A frissítés a legtöbb problémát kezelte, és olyan biztonság-politikát vezetett be (közzétéve március 29-én), amely következtében az adatvédelmi minősítése 5.0 lett, és így a legjobbak közé emelte a szoftvert.
9+1 egyszerű lépés a biztonságos használathoz
- Használjon jelszóval védett értekezletet. Ezt megteheti felhasználó, csoport, vagy fiók szinten is. Ha megköveteli a találkozóhoz a jelszó megadását, csak annak ismeretében tudnak belépni a konferenciára – mint ha csak bezárnák az iroda ajtaját.
- Azonosítsa a felhasználókat. Ehhez meg kell követelnie a csatlakozótól, hogy lépjen be a Zoom fiókjába. Mivel a Zoom-ot regisztráció nélkül is lehet használni, ez megnehezíti az azonosítást. Ezért követelje meg ezt a csoport gazda.
- Ne engedje, hogy a házigazda előtt be lehessen lépni a konferenciába. Amíg Ön nem lép be a meghirdetett találkozóra, ez ne lehessen másoknak sem. A szigorítást a csoport számára a Fiókbeállítósok (Personal / Settings) alatt találja.
- Zárolja a találkozót. Ha már mindenki megérkezett, lehetősége van az találkozó zárolására. Ehhez a Résztvevők kezelése (Manage Participants) menüben a kattintson a „More” elemre, majd válassza a „Lock” lehetőséget.
- Kapcsolja ki a csatlakozott résztvevők képernyő megosztását. A Biztonság menüpontban megadható, hogy képernyő megosztást csak az értekezlet összehívója kapcsolhat. Ha erre egyébként sincs szükség, ne hagyja, hogy megzavarják az előadását.
- Használjon egyedileg létrehozott azonosítót. Ha lehetséges ne használja a személyes találkozó azonosítót, mert ha az kiszivárog (pl fénykép Facebook-on), mások is megpróbálhatnak belépni a tárgyalásaira. Minden esemény előtt generáljon új azonosítót, így biztosan nem tudnak felkészülni a megzavarására.
- Használjon várakozó szobát. A „waiting room” funkció remek lehetőség megszűrni a csatlakozni kívánó résztvevőket, mielőtt a tárgyalásba léphetnének. Ezzel például sorba is állíthatjuk a tárgyalópartnereket, ha szoros a program, és nem akarunk elvesztegetett időt.
- A fájlmegosztásokkal bánjon óvatosan. Mivel itt ellenőrizetlen tartalmak is megjelenhetnek, inkább használjon erre specializálódott alkalmazásokat, amik maguk intézik a partner azonosítását és a tartalom ellenőrzését. Jó megoldás a OneDrive, Google Drive, Box, stb. – de ügyeljen a GDPR betartására.
- A rendbontót távolítsa el az értekezletről. Ezt a „Participants” lapon a „More”-ra kattintva találja meg (Remove). A „Settings – Meetings – Basic” menüben beállítható az is, hogy egy már egyszer eltávolított résztvevő jelentkezhet-e újra a találkozóra.
Maradj otthon! Maradj Friss!
+ 1. Ellenőrizze gyakran a frissítéseket. Nincs tökéletes program, és nincs tökéletes biztonság. A fejlesztők hozzáadhatnak új megoldásokat, változtathatnak az alapértelmezett beállításokon, letilthatnak már nem biztonságos funkciókat. Az asztali alkalmazásokban a jobb felső ikonra kattintva megnyílik a menü, ahol a „Check for updates” ellenőrzi, kiadtak-e újabb verziót az alkalmazásból.
TIPP! – Próbálja ki most rögtön!
Summa summarum
A Zoom jó kis alkalmazás. Sokkal használhatóbb, mint a Skype, Teams, Jitsi Meet, stb. Nagyon ötletes megoldás benne a virtuális háttér, amitől egy rakás száradó ruha, vagy egy tömött könyvespolc előtt is nyugodtan tárgyalhatunk, háttérben a sarki fénnyel, vagy egy idilli tengerparttal.
Smart casual a’la Home Office beach edition
Könnyen és gyorsan beállítható, és remek minőségben lehet vele dolgozni.
A verziófrissítés óta óriási javulást mutat a biztonsága, így már nyugodt szívvel javaslom használatra azoknak, akiknek nem szükséges ipari kémkedés ellen védett virtuális tárgyaló -arra viszont a többi jól ismert platform sem való.
Persze számukra is van megoldás, így ők feltétlenül keressenek 🙂
ZOOM integrációs lehetőségek
Azért pedig, hogy még csak véletlenül se legyen senkinek problémája egy konferenciahívás alatt – legyen szó bármely szoftverről -, próbáljuk ki jó előre az alkalmazást, amit használni akarunk (vagy vagyunk kénytelenek), és mindenképpen nyissuk meg a Beállítások menüjét, ahol a Biztonsági lehetőségeket állítsuk be minél szigorúbbra!
Mindenkinek hatékony és problémáktól mentes tárgyalásokat kívánok!