Veszélyben a Zoom videokonferencia alkalmazás! Biztonsági megfontolások a videókonferencia szolgáltatások kapcsán

A Nemzeti Kibervédelmi Intézet arra hívja fel a figyelmet hogy a csalók most a Zoom nevű vállalati videókonferencia alkalmazásra hivatkozva próbálják meg átverni a távmunkában dolgozó felhasználókat, nagyon fontos a biztonsági szempontok betartása.

Forrás: sg.hu

Forrás: sg.hu

Több, mint 74 000 ügyféllel és 13 millió aktív felhasználóval a Zoom az egyik legpopulárisabb felhőalapú vállalati kommunikációs platform, amelynek népszerűsége az elmúlt hetekben még inkább megugrott. Ugyanezzel párhuzamos a kiberbűnözők repertoárja tovább szélesedett: az elmúlt napokban egyre több hamis, Zoomra hasonlító megtévesztő domaint regisztráltak és egyre gyakrabban jelenik meg káros kód is az alkalmazással összefüggésben.

Az NKI azt javasolja: aki egy látszólag Zoomra mutató linket kap, legyen fokozottan óvatos, aki pedig a Zoom mobilkliensét használja, mindig frissítse az alkalmazást a legutóbbi verzióra. Hozzáteszik: a Zoommal kapcsolatban az elmúlt években súlyos sérülékenységek is napvilágot láttak, valamint több adatvédelmi aggály is felmerült. Az NKI honlapján összegezte ebben a vonatkozásban a leginkább megfontolandó szempontokat, tudnivalókat.

Biztonsági megfontolások a videókonferencia szolgáltatások kapcsán

Az aktuális járványügyi helyzetben több cég jelentős kedvezménnyel, vagy átmenetileg ingyenesen kínál különböző online kollaborációs, például VTC (Video Teleconferencing ─ azaz videókonferencia) szolgáltatást. Mindez vonzó lehetőségnek tűnhet többek közt azon KKV-k számára, akiknél nem a belső IT infrastruktúra kiterjesztése a cél, hanem inkább a kapcsolattartás, a közös munka elősegítése, azonban nem voltak felkészülve a távmunkára vagy nem tudnak hirtelen nagy erőforrást átcsoportosítani egy ilyen szolgáltatás megvásárlására.

A VTC jó és célszerű megoldás, amennyiben azt a céljának megfelelően használjuk, azonban nem kell mindig ehhez az eszközhöz nyúlni, ha elég egy telekonferencia, vagy egy körlevél. Nem szabad elfelejtenünk, hogy ezek a szolgáltatások rendkívül kitettek az informatikai támadásoknak, remek lehetőséget nyújtva belső céges információk megszerzésére, amelyeket azután további támadások során sikerrel alkalmazhatnak. Mérlegeljünk tehát, hogy valóban szükséges-e videókonferenciát tartani, és amennyiben mégis így döntünk, ne csupán a költséghatékonyságot szem előtt tartva tegyük le a voksunk egy megoldás mellett.

Néhány alapvető biztonsági szempont, amelyet mindenképp célszerű mérlegelni

  • Tartsuk magunknál a kontrollt: lehetőleg válasszunk self-hosting (saját üzemeltetésű) szolgáltatást a felhőalapúakkal szemben.
  • Amellett, hogy rengeteg csaló, károkozást végző termék érhető el, még egyes legitim szolgáltatásokkal kapcsolatban is merültek fel adatvédelmi aggályok, ezért mindig tájékozódjunk a kiszemelt szolgáltatás adatvédelmi irányelveiről. (A népszerű Zoom például a felhasználók neveit, címet, telefonszámát, munkakörére vonatkozó információkat és eszközazonosítókat is begyűjt.)
  • Olyan megoldást válasszunk, amelyik végponttól végpontig terjedő titkosítást alkalmaz (minimum 128-bit AES).
  • Alkalmazzunk erős jelszót az admin fiókok és a meeting session-ök védelmére, amit ne a meghívóval egy üzenetben juttassunk el a résztvevőknek. Ügyeljünk rá, hogy ne tegyük nyilvánossá a meetinget, és ne osszuk meg közösségi oldalakon a videókonferencia linkjét.
  • Ha lehet, tartsunk meghívásos (behívásos) konferenciákat, és ne linkkel megosztott „becsatlakozós” konferenciákat.)
  • Kerüljük a Facebookon keresztül történő bejelentkezést.
  • Lehetőleg csak céges, ellenőrzött eszközöket használjunk. (A magánhasználatú eszközök alkalmazása növelheti a munkatársak komfortérzetét, azonban kockázatot is jelent.)
  • A biztonság fontos lehet még a konferencia során megosztott fájlok esetében is, lehetőleg ne fogadjunk el fájlokat.
  • Fontoljuk meg, hogy szükséges-e rögzíteni a megbeszéléseket. A felvételeket azután biztonságos módon archiváljuk.

A biztonságon túl…

  • Mérlegeljük, hogy a bevonni kívánt végponton elérhető-e megfelelően jó internetkapcsolat?
  • Mérlegeljük a környezetet, a világítást, a helység tisztaságát, az esetleges zavaró, külső tényezőket.
  • VTC esetében fontos a moderálás, a VTC etikett betartása. Várjuk meg, míg a hívás szervezője (host) szólít, csak akkor szóljunk, ha szót kaptunk, egyéb esetben a mikrofon legyen némítva.
  • Tartsuk be az alapvető viselkedési szabályokat: viselkedjünk úgy a kamera előtt, mintha a beszélgetőpartnereinkkel személyesen kommunikálnánk.
  • Mindig legyen meg a teljes kontroll a konferencia felett, legyen lehetőség a résztvevők kapcsolatának erőszakos megszüntetésére.

Forrás: nki.gov.hu, index.hu

Kapcsolódó cikkek: