Viaceré svetové firmy zakázali používať Zoom na videokonferencie svojich zamestnancov. Čo robiť, ak sa videokonferencií cez Zoom nechcete vzdať, no zároveň chcete znížiť bezpečnostné riziká?
Čo je Zoom a za akých podmienok ho možno používať
Zoom je jednoduchý videokonferenčný nástroj, ktorý zaznamenáva obrovský rast popularity, odkedy veľká časť zamestnancov musela prejsť na homeoffice. Používajú ho freelanceri, menšie firmy, pedagógovia a mnohí ďalší.
Bezplatný hostiteľský účet umožňuje vytvoriť miestnosť až pre 100 ľudí bez nutnosti registrácie účastníkov. Maximálne trvanie videokonferencie je v bezplatnej verzii 40 minút. K tomu máte kvalitný obraz (HD - 720p) a zvuk, zdieľanie obrazu, posielanie dokumentov, chat a iné funkcie. Skrátka všetko, čo potrebujete.
Ak niekomu nestačia
parametre bezplatnej služby, môže siahnuť po platenej verzii, ktorá stojí 14
eur mesačne.
Pandémia súvisiaca
s koronavírusom prinútila mnoho firiem prejsť na prácu z domu prakticky zo dňa na
deň a jednou z oblastí, na ktorú zabúdali je kybernetická bezpečnosť. Podceňovanie kybernetickej bezpečnosti sa však
netýka len samotných užívateľov, problémom sa nevyhli ani niektoré služby,
medzi ktoré patrí aj Zoom. Na jednej strane službu začalo vďaka jej jednoduchosti počas pandémie využívať množstvo nových používateľov a z jej zakladateľa sa stal miliardár, na strane druhej sa pri jej používaní objavilo viacero bezpečnostných problémov.
Riziká používania služby sú natoľko významné, že spoločnosti ako Google (poskytuje aj vlastnú službu Hangouts, resp. Meet), NASA, SpaceX zakázali svojim zamestnancom používať Zoom na videokonferencie. Na bezpečnostné riziká služby upozorňujú aj vládne autority, ako napríklad český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), či slovenské Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré patrí pod Národný bezpečnostný úrad. Podľa SK-CERT zraniteľnosti služby Zom umožňovali:
- odpočúvať videokonferenciu bez vedomia jej účastníkov vďaka zlej implementácii end-to-end šifrovania,
- exfiltrovať heslá z prostredia operačného systému Windows smerom k útočníkovi,
- obchádzať privilégiá v rámci operačných systémov pri inštalácii aplikácie,
- neoprávnene inštalovať škodlivý kód.
Spoločnosť Cyble, ktorá sa zaoberá kybernetickou bezpečnosťou upozornila tiež na to, že na dark webe sa predáva 500 000 mailových adries a hesiel používateľov videokonfrenčnej služby Zoom.
Ako ochrániť videokonferenciu cez Zoom
Ak sa napriek týmto rizikám rozhodnete videokonferečnú službu Zoom používať aj naďalej je dôležité, aby ste dodržiavali viaceré bezpečnostné odporúčania:
- Používajte dvojfaktorovú autentifikáciu (2FA) pri prihlásení.
- Adresu videokonferenčnej miestnosti nešírte verejne. Pošlite ju iba tým ľuďom, ktorí sa skutočne majú pripojiť.
- Používajte čakaciu miestnosť. Budete tak môcť schváliť ľudí predtým, ako sa pripoja do videokonferencie.
- Miestnosť zabezpečte heslom, ktoré bude dostatočne silné. Bude obsahovať aspoň 8 znakov, malé a veľké písmena, číslice a špeciálny znak (.,?!* a iné). Heslo samozrejme verejne nešírte. Pošlite ho iba účastníkom stretnutia.
- Nezverejňujte svoj Personal Meeting ID (PMID). Kto vie vaše PMID, môže sa pripojiť na akýkoľvek vašu videokonferenciu.
- Vyhnite sa inštalácií aplikácií a radšej používajte na komunikáciu internetový prehliadač, ktorý má vyššiu bezpečnosť .
- Aktualizujte si aplikáciu Zoom a internetový prehliadač.
- Vyvarujte sa zdieľaniu citlivých a dôverných informácií počas videokonferencie.
- Zakážte používanie zdieľanej obrazovky pre účastníkov.
- Zakážte zdieľanie súborov.
- Dajte si pozor, aký e-mail použijete pri registrácii. V niektorých prípadoch sú zdieľané kontakty v rámci domény. Ak ste sa zaregistrovali napríklad cez tzv. 10 minútový e-mail, je možné, že sa budú vaše kontaktné údaje zdieľať s úplne cudzími ľuďmi. Toto platí pre malých poskytovateľov e-mailových služieb, nie pre veľkých poskytovateľov typu Gmail, Yahoo, Outlook.com a pod.
Vo svetle viacerých bezpečnostných chýb možno nájsť aj niečo pozitívne. Tvorcovia služby Zoom pracujú na opravách a preto môže ísť časom o skutočne bezpečný nástroj na komunikáciu.
