Videózhatunk vele biztonságosan Home Office-ban?

Home office

A járványügyi vészhelyzet olyan megoldásokat kényszerített ki a cégekből és munkavállalóikból, ami pár hónapja még nehezen elképzelhető lett volna. A tárgyalási szokásaink egyik napról a másikra változtak meg az „igyunk egy kávét” illetve a „8:30-ra mindenki a meetingroom-ba” megoldásokról a „leszűröm a tésztát és veszem a fülest” meghívásokra.

a_zoom_incidens_ho.jpg

A változások egyértelmű nyertesei azok a cégek, akik képesek sokszereplős videó-konferencia hívásokat szolgáltatni. Ezen megoldások közül is volt egy, ami óriásit robban a piacon – 3 hónap alatt a napi felhasználók száma ~10 millióról 300 millióra duzzadt. Ennek az óriási népszerűségnek az okai egyrészt ingyenességében (akár 100 résztvevőig) keresendőek, de leginkább a könnyű kezelhetősége az, ami tömegeket vonzott be.

Amint azt sokan megtapasztalhatták, a nagy üzleti versenytársak, mint a Cisco webex, Microsoft Teams, Skype for Business, Jitsi, stb. vagy bonyolultabbak, vagy valmi részeként elérhetőek csak, így drágábbak is, méretileg és erőforrás igény alapján is nagyok, és sok tapasztalatból a használatuk során gyakori a szenvedés. A piac pedig nem arra vágyott leginkább, hogy új eszközöket kelljen venni, és azt napokig az üzemeltetőknek telepítgetni egy gyors megbeszélés miatt. A cél most az volt, hogy egy véletlenszerűen előkapott laptopon vagy mobilon is jól elfusson, sok szereplővel, hosszabb előkészületek nélkül. Erre pedig a Zoom tökéletesen alkalmas.

A könnyű kezelhetőségnek azonban ára is van: könnyen lehet a találkozókat megzavarni az ú.n. bombázás technikával; nem elég erős titkosítást alkalmaztak a kommunikációban; megjelentek fertőzött, nem hivatalos telepítő-készletek; stb.. Ezen kívül pedig elkövettek még egy komoly hibát.

 

Adatvédelmi szabályzat

A Zoom adatkezelési szabályzata jogot ad arra, hogy a felhasználók adataival a saját belátásuk szerint bármit meg tudjanak tenni. Ez bizony komoly adatvédelmi öngól, még ha feltételezzük is azt, hogy ezt a szolgáltatás-fejlesztéshez, illetve marketinghez, és nem rosszhiszeműen használják fel. Azonban a Zoom adatvédelmi és biztonsági politikája szinte semmiben sem különbözött a nagy konkurensek 1-2 évvel ezelőtti szabályzataitól.

Akkor miért támadják mégis ilyen hevesen? A válasz egyszerű, már-már triviális. Üzleti érdekből. Hiszen a nagy riválisok nem akarnak engedni egy újonnan jövő konkurenciát megerősödni, hiszen az durván belenyúlhat a piacukba.

Miért? Mert tudják, hogy az új belépő mindent visz.

 

Mégis, mi a Zoom legnagyobb hibája?

Azt hiszem, erre a kérdésre minden IT biztonsággal foglalkozó tudja a választ, de olyan triviális, hogy az már fáj. Természetesen: a felhasználó képzetlensége.

A legtöbb támadást úgy követhették el a Zoom ellen, hogy a felhasználó képzetlenségét használták ki. Az emberek számos esetben maguk segítették a hackereket vagy a trollokat a konferenciák megzavarásához azzal, hogy nem tartották be az alapvető biztonsági szabályokat, ők maguk tették közzé a meeting ID-t, vagy estek csapdájába egy u.n. adathalász támadásnak – és léptek be hamis csoportokba.

a_zoom_incidens_idn.jpgHogy? Mit? De nekem nem mondta senki …

Természetesen a programnak is változtatnia kell, hogy nehezítse a felhasználók képzetlenségének, hiszékenységének kihasználását. Ez úgy gondolom a fejlesztőkön nem múlott – viharsebességgel javítják a bejelentett hibákat. Eredményeképpen 2020. április 27-én hétfőn megkezdődött a program 5.0 főverziójának a kiadása. Azóta már frissítve 5.0.1-re.

A frissítés a legtöbb problémát kezelte, és olyan biztonság-politikát vezetett be (közzétéve március 29-én), amely következtében az adatvédelmi minősítése 5.0 lett, és így a legjobbak közé emelte a szoftvert.

 

9+1 egyszerű lépés a biztonságos használathoz

  1. Használjon jelszóval védett értekezletet. Ezt megteheti felhasználó, csoport, vagy fiók szinten is. Ha megköveteli a találkozóhoz a jelszó megadását, csak annak ismeretében tudnak belépni a konferenciára – mint ha csak bezárnák az iroda ajtaját.
  2. Azonosítsa a felhasználókat. Ehhez meg kell követelnie a csatlakozótól, hogy lépjen be a Zoom fiókjába. Mivel a Zoom-ot regisztráció nélkül is lehet használni, ez megnehezíti az azonosítást. Ezért követelje meg ezt a csoport gazda.
  3. Ne engedje, hogy a házigazda előtt be lehessen lépni a konferenciába. Amíg Ön nem lép be a meghirdetett találkozóra, ez ne lehessen másoknak sem. A szigorítást a csoport számára a Fiókbeállítósok (Personal / Settings) alatt találja.
  4. Zárolja a találkozót. Ha már mindenki megérkezett, lehetősége van az találkozó zárolására. Ehhez a Résztvevők kezelése (Manage Participants) menüben a kattintson a „More” elemre, majd válassza a „Lock” lehetőséget.
  5. Kapcsolja ki a csatlakozott résztvevők képernyő megosztását. A Biztonság menüpontban megadható, hogy képernyő megosztást csak az értekezlet összehívója kapcsolhat. Ha erre egyébként sincs szükség, ne hagyja, hogy megzavarják az előadását.
  6. Használjon egyedileg létrehozott azonosítót. Ha lehetséges ne használja a személyes találkozó azonosítót, mert ha az kiszivárog (pl fénykép Facebook-on), mások is megpróbálhatnak belépni a tárgyalásaira. Minden esemény előtt generáljon új azonosítót, így biztosan nem tudnak felkészülni a megzavarására.
  7. Használjon várakozó szobát. A „waiting room” funkció remek lehetőség megszűrni a csatlakozni kívánó résztvevőket, mielőtt a tárgyalásba léphetnének. Ezzel például sorba is állíthatjuk a tárgyalópartnereket, ha szoros a program, és nem akarunk elvesztegetett időt.
  8. A fájlmegosztásokkal bánjon óvatosan. Mivel itt ellenőrizetlen tartalmak is megjelenhetnek, inkább használjon erre specializálódott alkalmazásokat, amik maguk intézik a partner azonosítását és a tartalom ellenőrzését. Jó megoldás a OneDrive, Google Drive, Box, stb. – de ügyeljen a GDPR betartására.
  9. A rendbontót távolítsa el az értekezletről. Ezt a „Participants” lapon a „More”-ra kattintva találja meg (Remove). A „Settings – Meetings – Basic” menüben beállítható az is, hogy egy már egyszer eltávolított résztvevő jelentkezhet-e újra a találkozóra.

 

a_zoom_incidens_friss.jpg

Maradj otthon! Maradj Friss!

+ 1. Ellenőrizze gyakran a frissítéseket. Nincs tökéletes program, és nincs tökéletes biztonság. A fejlesztők hozzáadhatnak új megoldásokat, változtathatnak az alapértelmezett beállításokon, letilthatnak már nem biztonságos funkciókat. Az asztali alkalmazásokban a jobb felső ikonra kattintva megnyílik a menü, ahol a „Check for updates” ellenőrzi, kiadtak-e újabb verziót az alkalmazásból.

TIPP! – Próbálja ki most rögtön!

Summa summarum

A Zoom jó kis alkalmazás. Sokkal használhatóbb, mint a Skype, Teams, Jitsi Meet, stb. Nagyon ötletes megoldás benne a virtuális háttér, amitől egy rakás száradó ruha, vagy egy tömött könyvespolc előtt is nyugodtan tárgyalhatunk, háttérben a sarki fénnyel, vagy egy idilli tengerparttal.

homeoffice_beach.jpg

Smart casual a’la Home Office beach edition

Könnyen és gyorsan beállítható, és remek minőségben lehet vele dolgozni.

A verziófrissítés óta óriási javulást mutat a biztonsága, így már nyugodt szívvel javaslom használatra azoknak, akiknek nem szükséges ipari kémkedés ellen védett virtuális tárgyaló -arra viszont a többi jól ismert platform sem való.

Persze számukra is van megoldás, így ők feltétlenül keressenek 🙂

a_zoom_incidens_zoomint.jpg

ZOOM integrációs lehetőségek

 

Azért pedig, hogy még csak véletlenül se legyen senkinek problémája egy konferenciahívás alatt – legyen szó bármely szoftverről -, próbáljuk ki jó előre az alkalmazást, amit használni akarunk (vagy vagyunk kénytelenek), és mindenképpen nyissuk meg a Beállítások menüjét, ahol a Biztonsági lehetőségeket állítsuk be minél szigorúbbra!

Mindenkinek hatékony és problémáktól mentes tárgyalásokat kívánok!