Безопасность телеконференций
Телеконференции и онлайн-совещания становятся сегодня единственным инструментом для общения с коллегами, заказчиками, партнерами. На рынке «взлетают» компании, о которых раньше мало кто слышал, а привычные по домашнему общению с родственниками инструменты вдруг превращаются в средства ведения бизнеса. Понятно, что в авральной ситуации особо не до выбора и поэтому начинаешь пользоваться тем, что находится под рукой, но это может привести к печальным последствиям.
Ученики одной подмосковной школы засняли с экрана, как их учитель, проводивший урок истории, забыл отключить свой компьютер в момент, когда к нему пришла мама одного из учеников и занялись с ним предосудительной с точки зрения общественной морали активностью. В другом примере в телеконференцию на Zoom, во время общения одной компании с клиентами, вторглись киберхулиганы и стали прокручивать порноролики. Еще достоянием гласности стал факт, что китайская Zoom «сливает» ключи шифрования, а данные по полумиллиону ее пользователей выложили в Интернет. Сегодня к телеконференциям приковано внимание не только хакеров, которые видят возможность поживиться ценной информацией, но и так называемых «мамкиных хакеров», то есть школьников, которые балуются во время вынужденного сидения дома. А еще не стоит забывать про бывших сотрудников, которые могут насолить своему бывшему работодателю, и недовольных работников, готовых помочь конкурентам. В любом случае, бизнес-телеконференция требует особого к себе внимания с точки зрения кибербезопасности и сейчас мы поговорим о том, о чем не стоит забывать, проводя конфиденциальные переговоры с помощью современных средств коммуникаций, таких как Webex, Zoom, Skype for Business и т.п.
Я могу дать следующий набор рекомендаций, которые не будут зависеть от того, каким провайдером онлайн-конференций вы пользуетесь:
- Следуйте политике безопасности своей организации (сейчас самое время ее еще раз прочитать или пересмотреть), в которой должно быть прописано, как проводить виртуальные встречи и что стоит, а чего не стоит, доверять средствам виртуальных коммуникаций. Это будет зависеть от принципов классификации конфиденциальной информации. И не забывайте использовать только разрешенные в компании платформы для виртуальных встреч. Например, после публикации множества историй о проблемах с безопасностью Zoom, эту платформу запретили использовать во многих государственных и частных компаниях.
- Для доступа к телеконференциям часто используют специальные коды (access code) или пароли. В нормальных средствах коммуникаций они генерятся автоматически и состоят из 8-9 случайных символов, которые запомнить сложно и которые не повторяются. Но бывают случаи, что код может создать организатор телеконференции и он может для своего удобства использовать один и тот же код для разных виртуальных совещаний. Не стоит этого делать - необходимо постоянно менять такие коды доступа, так как в противном случае они очень быстро станут достоянием гласности.
- Старайтесь не допускать проведения онлайн-встреч без идентификации и аутентификации ее участников - всегда используйте пароли. Это при проведении массовых мероприятий, вебинаров, такое допустимо. Но при обсуждении какой-либо темы в узком кругу, стоит допускать в него только тех, кто прошел хотя бы базовую проверку на знание пароля. В отдельных случаях, для особо чувствительной информации, можно требовать подключения к телеконференции только с корпоративных устройств.
- При обсуждении чувствительной и конфиденциальной информации используйте многофакторную аутентификацию, чтобы никто из посторонних не мог подключиться к совещанию, даже если он знает код доступа или идентификатор совещания.
- В ряде инструментов совместной работы есть так называемые комнаты ожидания или «зеленые комнаты», в которых участники ожидают пока не подключится организатор онлайн-мероприятия (host). И именно организатор может допустить к онлайн-общению тех, кого он считает нужным, дав остальным от ворот поворот. Это позволит защититься от невидимок, которые незаметно присутствуют на виртуальных беседах и ничем себя не выдают, только слушая о чем говорят собеседники.
- Включите уведомления или звуковой сигнал, когда кто-либо из участников присоединяется к телеконференции. Это позволит узнавать обо всех «новичках» и выявлять посторонних лиц, которые не должны участвовать в виртуальном общении.
- Регулярно проверяйте список участников онлайн-конференции, чтобы быть уверенным, что в ней участвуют только приглашенные лица.
- Не записывайте совещания без необходимости. Иногда злоумышленники получают доступ к уже прошедшим совещаниям, что делает бессмысленными все предыдущие рекомендации. Если инструмент для совместной работы позволяет ограничивать доступ к таким записям, обязательно включите этот механизм. И не забудьте про шифрование записей и определение тайм-аута по истечении которого сохраненные записи будут автоматически удаляться.
- Не включайте ненужные возможности типа обмена файлами, сохранения истории чата, удаленного доступа к экрану и т.п. Понятно, что от создания копий экрана недобросовестными участниками это не защитит, но зачем облегчать им жизнь.
- Не стоит без особой надобности делать скриншоты своих онлайн-совещаний и выкладывать их в публичный доступ. Компания Zoom погорела именно на этом - ее идентификаторы совещаний по таким снимкам очень легко идентифицировались и к ним можно было подключиться без дополнительной проверки
- Закрывайте (блокируйте) совещания после того, как к нему присоединились все участники. Часто это можно делать автоматически, спустя определенный временной интервал после начала совещания. Это еще будет и дисциплинировать участников присоединяться вовремя.
- Не публикуйте информацию о проводимых вами совещаниях в публичном доступе - рассылайте ее только участникам.
Дополнительная информация:
По Webex
- Рекомендации по защите совещаний для служб ИТ и ИБ - https://help.webex.com/en-us/v5rgi1/Cisco-Webex-Best-Practices-for-Secure-Meetings-Site-Administration#id_125440
- Рекомендации по защите совещаний для организаторов совещаний - https://help.webex.com/en-us/8zi8tq/Cisco-Webex-Best-Practices-for-Secure-Meetings-Hosts
- Лучшие практики по защите совещаний - https://support.webex.com/LocalizedUpgrades/2014/bestpractices/best_practices_for_secure_meetings.pdf
По Zoom
- Руководство по безопасности - https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
- Лучшие практики по защите совещаний - https://zoom.us/docs/doc/Securing Your Zoom Meetings.pdf
По Skype и Skype for Business
- Руководство по безопасности Skype - https://support.skype.com/en/faq/FA34649/protecting-your-online-safety-security-and-privacy
- Руководство по безопасности Skype for Business - https://docs.microsoft.com/en-us/skypeforbusiness/plan-your-deployment/security/security
По GoToMeeting и GoToWebinar
- Руководство по безопасности GoToMeeting и GoToWebinar - https://logmeincdn.azureedge.net/gotomeetingmedia/-/media/pdfs/gotomeeting-security-white-paper-286395.pdf
- Руководство по безопасности GoToMeeting и GoToWebinar - https://logmeincdn.azureedge.net/gotomeetingmedia/-/media/pdfs/ucc_security_white_paper.pdf
По Webinar.ru
- Рекомендации по защите от хулиганов - https://help.webinar.ru/ru/articles/3929072-хулиган-мешает-вебинару-что-я-могу-с-этим-сделать
- Рекомендации по ограничению доступа - https://help.webinar.ru/ru/articles/3878295-как-я-могу-ограничить-доступ-к-вебинару
Опубликовано 18.04.2020