Мысли вслух

Безопасность телеконференций

| 18.04.2020
Алексей Лукацкий

Алексей Лукацкий

Бизнес-консультант по безопасности Cisco.

Телеконференции и онлайн-совещания становятся сегодня единственным инструментом для общения с коллегами, заказчиками, партнерами. На рынке «взлетают» компании, о которых раньше мало кто слышал, а привычные по домашнему общению с родственниками инструменты вдруг превращаются в средства ведения бизнеса. Понятно, что в авральной ситуации особо не до выбора и поэтому начинаешь пользоваться тем, что находится под рукой, но это может привести к печальным последствиям. 

Ученики одной подмосковной школы засняли с экрана, как их учитель, проводивший урок истории, забыл отключить свой компьютер в момент, когда к нему пришла мама одного из учеников и занялись с ним предосудительной с точки зрения общественной морали активностью. В другом примере в телеконференцию на Zoom, во время общения одной компании с клиентами, вторглись киберхулиганы и стали прокручивать порноролики. Еще достоянием гласности стал факт, что китайская Zoom «сливает» ключи шифрования, а данные по полумиллиону ее пользователей выложили в Интернет. Сегодня к телеконференциям приковано внимание не только хакеров, которые видят возможность поживиться ценной информацией, но и так называемых «мамкиных хакеров», то есть школьников, которые балуются во время вынужденного сидения дома. А еще не стоит забывать про бывших сотрудников, которые могут насолить своему бывшему работодателю, и недовольных работников, готовых помочь конкурентам. В любом случае, бизнес-телеконференция требует особого к себе внимания с точки зрения кибербезопасности и сейчас мы поговорим о том, о чем не стоит забывать, проводя конфиденциальные переговоры с помощью современных средств коммуникаций, таких как Webex, Zoom, Skype for Business и т.п.

Я могу дать следующий набор рекомендаций, которые не будут зависеть от того, каким провайдером онлайн-конференций вы пользуетесь:

  • Следуйте политике безопасности своей организации (сейчас самое время ее еще раз прочитать или пересмотреть), в которой должно быть прописано, как проводить виртуальные встречи и что стоит, а чего не стоит, доверять средствам виртуальных коммуникаций. Это будет зависеть от принципов классификации конфиденциальной информации. И не забывайте использовать только разрешенные в компании платформы для виртуальных встреч. Например, после публикации множества историй о проблемах с безопасностью Zoom, эту платформу запретили использовать во многих государственных и частных компаниях.
  • Для доступа к телеконференциям часто используют специальные коды (access code) или пароли. В нормальных средствах коммуникаций они генерятся автоматически и состоят из 8-9 случайных символов, которые запомнить сложно и которые не повторяются. Но бывают случаи, что код может создать организатор телеконференции и он может для своего удобства использовать один и тот же код для разных виртуальных совещаний. Не стоит этого делать - необходимо постоянно менять такие коды доступа, так как в противном случае они очень быстро станут достоянием гласности.
  • Старайтесь не допускать проведения онлайн-встреч без идентификации и аутентификации ее участников - всегда используйте пароли. Это при проведении массовых мероприятий, вебинаров, такое допустимо. Но при обсуждении какой-либо темы в узком кругу, стоит допускать в него только тех, кто прошел хотя бы базовую проверку на знание пароля. В отдельных случаях, для особо чувствительной информации, можно требовать подключения к телеконференции только с корпоративных устройств.
  • При обсуждении чувствительной и конфиденциальной информации используйте многофакторную аутентификацию, чтобы никто из посторонних не мог подключиться к совещанию, даже если он знает код доступа или идентификатор совещания.
  • В ряде инструментов совместной работы есть так называемые комнаты ожидания или «зеленые комнаты», в которых участники ожидают пока не подключится организатор онлайн-мероприятия (host). И именно организатор может допустить к онлайн-общению тех, кого он считает нужным, дав остальным от ворот поворот. Это позволит защититься от невидимок, которые незаметно присутствуют на виртуальных беседах и ничем себя не выдают, только слушая о чем говорят собеседники.
  • Включите уведомления или звуковой сигнал, когда кто-либо из участников присоединяется к телеконференции. Это позволит узнавать обо всех «новичках» и выявлять посторонних лиц, которые не должны участвовать в виртуальном общении.
  • Регулярно проверяйте список участников онлайн-конференции, чтобы быть уверенным, что в ней участвуют только приглашенные лица.
  • Не записывайте совещания без необходимости. Иногда злоумышленники получают доступ к уже прошедшим совещаниям, что делает бессмысленными все предыдущие рекомендации. Если инструмент для совместной работы позволяет ограничивать доступ к таким записям, обязательно включите этот механизм. И не забудьте про шифрование записей и определение тайм-аута по истечении которого сохраненные записи будут автоматически удаляться.
  • Не включайте ненужные возможности типа обмена файлами, сохранения истории чата, удаленного доступа к экрану и т.п. Понятно, что от создания копий экрана недобросовестными участниками это не защитит, но зачем облегчать им жизнь.
  • Не стоит без особой надобности делать скриншоты своих онлайн-совещаний и выкладывать их в публичный доступ. Компания Zoom погорела именно на этом - ее идентификаторы совещаний по таким снимкам очень легко идентифицировались и к ним можно было подключиться без дополнительной проверки
  • Закрывайте (блокируйте) совещания после того, как к нему присоединились все участники. Часто это можно делать автоматически, спустя определенный временной интервал после начала совещания. Это еще будет и дисциплинировать участников присоединяться вовремя.
  • Не публикуйте информацию о проводимых вами совещаниях в публичном доступе - рассылайте ее только участникам.

Дополнительная информация:

По Webex

По Zoom

По Skype и Skype for Business

По GoToMeeting и GoToWebinar

По Webinar.ru

 

 

Компании сообщают

Мероприятия