Pandemia sprawiła, że firmy w przyspieszonym tempie musiały wynieść się z biurowców, a pracownicy błyskawicznie polubić Teams’y, Skype’a czy Zooma. Jak bezpiecznie prowadzić wideokonferencje, żeby przy okazji nie rozłożyć firmy na łopatki?
Ta wideokonferencja nie tak miała wyglądać. Ogromna spółka giełdowa, WIG20, ceniona przez inwestorów, znana z dobrze zarządzanych relacji inwestorskich. Zarząd prezentuje wyniki finansowe za pierwszy kwartał 2020 roku i perspektywy na kolejne miesiące. W wideokonferencji bierze udział ponad 250 osób: założyciel, analitycy giełdowi, dziennikarze, zarządzający funduszami inwestycyjnymi i menedżerowie firmy. W sesji pytań i odpowiedzi nieoczekiwanie na ekranach pojawia się… film pornograficzny. O ile prowadzący wydarzenie mógł wyciszyć głos, o tyle obrazów wyłączyć mu się nie udało. Zostały odtworzone dwa razy zanim organizatorzy konferencji zdecydowali o jej przedwczesnym zakończeniu.
O wynikach finansowych mówiło się krótko, o samej wideokonferencji środowisko giełdowe będzie pamiętać latami. Za zaistniałą sytuację można winić administratorów w firmie, ponieważ często to na ich barkach spoczywać powinien obowiązek zabezpieczenia kluczowego spotkania. Jednak trzeba też zrozumieć, że dla osób nie zajmujących się na co dzień cyberbezpieczeństwem nie było to zadanie łatwe. Niekiedy sami użytkownicy (prowadzący lub uczestnicy) mogą świadomie lub nie doprowadzić do kompromitacji wideokonferencji, np. wpuszczając nieupoważnioną osobę. Możemy znaleźć wiele przykładów wpadek samych użytkowników takich jak:
- pomyłki w przesyłaniu informacji (wysyłanie wiadomości na inny czat),
- niewłaściwe, niekontrolowane wypowiedzi przy braku wyłączenia własnego mikrofonu,
- przekazywanie kontroli nad komputerem innym użytkownikom,
- „wstydliwe” widoki za plecami z powodu niewyłączenia kamery,
- zapraszanie nieznajomych, którzy zagłuszają spotkanie.
Takie zagrożenia mogą wpływać na wizerunek firmy, a także na jej funkcjonowanie poprzez zakłócenia lub udostępnienie poufnych informacji poza organizację. W przypadku wcześniej wspomnianego incydentu firma w dobie kryzysu mogła narazić się na kolejne straty finansowe. Wbrew pozorom ostre porno wcale nie było najgorszym scenariuszem. Można sobie wyobrazić, że ktoś podmienia prezentację zarządu i do rynku docierają inne, dramatyczne wyniki, co – przynajmniej na jakiś czas, zanim ktoś nie zapanuje nad chaosem informacyjnym – załamuje kurs spółki. Albo ktoś, np. zdesperowany dawny pracownik, ujawnia wrażliwe dane firmy, przez co naraża ją na wielomilionowe kary czy odszkodowania.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Bezpieczna wideokonferencja – o czym pamiętać?
Czym w takim razie powinniśmy kierować się przy wyborze platformy, aby zachować odpowiedni poziom bezpieczeństwa? Na co zwracać uwagę?
1. Zapewnienie bezpieczeństwa połączenia
Upewnienie się, że rozwiązanie zapewnia nam tzw. szyfrowanie “end to end” nie pozwalając na przechwycenie połączenia intruzowi.
2. Czy spotkanie jest nagrywane?
Fakt nagrywania oraz zakres rejestracji powinny być jasno zakomunikowane uczestnikom zdarzenia. Uczestnicy powinni mieć zapewnioną sygnalizację faktu nagrywania, a rejestracja powinna być prowadzona wyłącznie przez organizatora spotkania. Organizator powinien być ograniczony proceduralnie do dysponowania nagraniem. Wszelkie próby nieoficjalnego rejestrowania spotkania przez uczestników powinny być traktowane jako podsłuch.
3. Zapraszanie i identyfikowanie uczestników
Kluczowym elementem zapewnienia „bezpiecznego” spotkania są jego „bezpieczni” uczestnicy. Ta funkcjonalność jest jedną z najważniejszych – identyfikowanie uczestników. Ważne, aby unikać anonimowych uczestników – każdy powinien „legitymować” się imieniem i nazwiskiem. Dodatkowym zabezpieczeniem może być wykorzystanie hasła wymaganego przy dołączeniu do spotkania. Warto je wysłać innym kanałem komunikacji niż zaproszenie, chyba że środowisko w jakim funkcjonuje platforma wideokonferencyjna wcześnie „zadbało” o weryfikację i uwierzytelnienie wszystkich uczestników.
4. Korzystanie z platformy – jakich uprawnień domaga się od naszego komputera
Kolejnym aspektem wyboru platformy jest jej sposób „zachowania” na naszym sprzęcie. Niektóre darmowe narzędzia mogą przesyłać złośliwe reklamy lub dodatki, których lepiej unikać. Dobrze jest zwrócić uwagę na elementy, do których aplikacja chce uzyskać dostęp (mikrofon, kamera, a może coś jeszcze?) albo „coś” dodatkowo zainstalować na naszym komputerze. To niesie za sobą ryzyko infekcji. Korzystajmy z tych rozwiązań, które nic więcej poza przeglądarką od naszego sprzętu nie wymagają!
5. Standardy i certyfikaty posiadane przez dostawcę platformy
Poświęcając chwile uwagi możemy dowiedzieć się o zabezpieczeniach wprowadzanych przez dostawców platform. Oczywiście, dla wielu osób skróty i nazwy certyfikatów lub standardów mogą być niezrozumiałe, natomiast często są one opisywane w sieci bardziej „przyjaznym” językiem. Poza tym można zawsze znaleźć powód, by skontaktować się z kolegami z IT!
6. Dojrzałość oprogramowania i środowiska
Ze względu na obecną sytuację na świecie, firmy dostarczające wspomniane rozwiązania mogą doświadczać różnego rodzaju przeciążeń lub błędów w swoim środowisku. Dojrzałe i stabilne systemy pozwolą na uniknięcie zakłóceń lub niedostępności aplikacji. Lepiej poświęcić chwilę czasu na zapoznanie się z opiniami innych użytkowników, a także sprawdzić ostanie błędy, zakłócenia i czas ich naprawy.
7. Przejrzyste warunki licencyjne i postanowienia polityki prywatności
Podczas wyboru platformy wideokonferencyjnej nie bez znaczenia jest analiza warunków licencyjnych oraz postanowień polityki prywatności. Znane są przypadki zapisów dających dostawcy usługi możliwość przechowywania materiałów audio i wideo oraz treści czatów na potrzeby zbierania informacji o uczestnikach w celu profilowania reklamowego lub innych czynności niezwiązanych ze świadczoną usługą.
Jak wybrać platformę do bezpiecznej wideokonferencji?
Konkludując możemy śmiało rekomendować następujące dwie główne zasady bezpieczeństwa przy wyborze platformy wideokonferencyjnej:
Zasada nr 1:
Używaj platformy „rodzimej (native)” dla twojego środowiska pracy. Czyli na przykład:
- jeżeli pracujesz w środowisku MS Office 365 używaj Teams lub Skype.
- Jeżeli pracujesz w środowisku GSuite, Android, ChromeOS używaj Google Hangouts Meet lub jeśli jesteś nauczycielem to Google Classroom
Daje Ci to możliwość korzystania z całej gamy środków bezpieczeństwa jak i dodatkowych funkcjonalności oferowanych przez te środowiska.
Zasada nr 2:
Jeżeli jednak z jakiś ważnych powodów musisz odstąpić od zasady nr 1, to:
- Staraj się ograniczyć do uznanych i zweryfikowanych pod względem bezpieczeństwa platform takich jak np. Cisco Webex czy ClickMeeting
- Pamiętaj jednak, aby wykorzystać pomoc kolegów z IT w zakresie właściwego – w tym również pod względem bezpieczeństwa – “osadzenia” platformy w twoim środowisku pracy
- Nie korzystaj z przygodnych atrakcyjnych rozwiązań, a jeśli już musisz to zweryfikuj je w odniesieniu do podanych wyżej sześciu punktów.
Bezpieczna wideokonferencja, a zachowania uczestników
Na koniec warto pamiętać jeszcze o jednym: jak to zwykle z bezpieczeństwem bywa – bardzo ważny czynnik – CZŁOWIEK i jego zachowanie. Oto kilka głównych zaleceń:
- Określ odpowiednie role przed spotkaniem (prowadzący lub organizator, uczestnicy, Słuchacze)
- Nie zapraszaj ludzi bez ich identyfikacji
- Upewnij się, że wiadomość umieszczasz w prawidłowym czacie
- Wyciszaj mikrofon i wyłączaj kamerę – jeśli nie jest potrzebna
- Pamiętaj, że rozmowa zawsze może być nagrywana
- Staraj się dopytać o przesyłane pliki, jeśli są one podejrzane
- Korzystaj z filtrów tła (ale nie twarzy) jeśli są dostępne – to zwiększa prywatność!
- Sprawdzaj czy aplikacja konferencyjna za dużo nie „chce” od twojego komputera.
- Podnoś swoją świadomość uczestnicząc w szkoleniach i śledząc prasę i blogi ekspertów z dziedziny bezpieczeństwa informacji
Mamy nadzieję, że te przestrogi będą pomocne w bezpieczniejszym korzystaniu z platform wideokonferencyjnych.
Skontaktuj się z naszym Zespołem ekspertów w dziedzinie cyberbezpieczeństwa jeśli potrzebujesz wsparcia tego procesu: Ocena bezpieczeństwa systemów
AUTORZY: Tomasz Sobczyk, Jan Kurowski
Koronawirus: wskazówki dla pracowników i pracodawców
KADRY I PŁACE
- Wydatki pracodawcy na profilaktykę w walce z koronawirusem to KUP
- Koronawirus. Zamknięcie szkół i przedszkoli – uprawnienia pracowników/rodziców
- Od kiedy przysługuje zasiłek opiekuńczy – stanowisko ZUS
- Koronawirus – prawa pracodawców i pracowników
- Przetwarzanie danych osobowych w obliczu pandemii koronawirusa
- Rząd ogłasza Tarczę Antykryzysową, czyli pakiet osłonowy dla biznesu
- Zawieszenie badań okresowych pracowników na czas epidemii
- Jakie rozwiązania dla rynku pracy znajdziemy w przyjętej przez Sejm Tarczy Antykryzysowej?
- RODO a praca zdalna: 10 zasad bezpieczeństwa
- Rozwiązania Tarczy Antykryzysowej ratujące miejsca pracy
- Aplikacje do monitorowania osób na kwarantannie a RODO
PODATKI
- 10 podatkowych szczepionek przeciw koronawirusowi
- Tarcza Antykryzysowa. Postulaty podatkowe nieuwzględnione
- Jak „podatkowo” poprawić płynność, gdy Tarcza Antykryzysowa nie wystarczy
- Tarcza Antykryzysowa. Interpretacja indywidualna dopiero po 6-ciu, a nawet 9-ciu miesiącach
- TOP 10 propozycji Rządu na sezonowe wsparcie dla podatników w kryzysie koronawirusowym
- Decyzja o wsparciu w obliczu pandemii koronawirusa
- Zmiana warunków wsparcia w PSI/SSE
- Tarcza 2.0 – poświąteczne ostatki dla podatników
- Ceny transferowe – wyzwania w dobie COVID-19 i kryzysu gospodarczego
- Koronawirus powodem kolejnego odroczenia przepisów o WHT
- Łatwiejszy dostęp do Tarczy Finansowej PFR
PRAWO
- Pakiet osłonowy, czyli remedium na koronawirusa dla przedsiębiorców?
- Niewykonanie umów w czasach pandemii a odpowiedzialność w obliczu siły wyższej
- Jak zachować ciągłość działania spółek w czasie pandemii? Praca zdalna organów spółek
- Prokurent – nieocenione wsparcie w prowadzeniu biznesu (nie tylko) w obliczu pandemii koronawirusa
- Jak uniknąć odpowiedzialności za naruszenie umowy handlowej z kontrahentem zagranicznym w związku z pandemią?
- Sądy rejestrowe w dobie koronawirusa
- Czy obowiązki spółek zostaną odroczone w związku z epidemią koronawirusa?
- TOP 10 propozycji Tarczy Antykryzysowej dla dużych przedsiębiorców
- Niezłożenie wniosku o ogłoszenie upadłości drogą do utraty majątku prywatnego i wolności
- Zawiadomienie kontrahenta o problemach z wykonaniem umowy
- Handel w obliczu koronawirusa, czyli umowy z konsumentami zawierane na odległość
- Najem powierzchni w galeriach handlowych w świetle tarczy antykryzysowej, czyli więcej pytań niż odpowiedzi
FINANSE
- Ryzyko walutowe dla importerów znacznie wzrosło
- Konsekwencje pandemii z punktu widzenia kredytobiorcy
- Konsekwencje pandemii koronawirusa dla sprawozdań finansowych
- Tarcza Antykryzysowa – czy proponowane działania wystarczą by utrzymać płynność przedsiębiorstw?
- Wartość przedsiębiorstwa w czasach zarazy. Silne fundamenty ratunkiem na koronawirusa
- Importerzy z Chin nie są skazani na obecne poziomy USD/PLN
- Terminy raportowania w czasie pandemii
- Tarcza dla przedsiębiorców, czy ciągle jednak tylko listek figowy?
- Wydłużanie okresu spłaty kredytów w kontekście powiązanych transakcji zabezpieczających
- Regiony kierują unijne fundusze na walkę z epidemią
- Dofinansowanie pomoże w walce z COVID-19
- Sprawozdanie biegłego rewidenta z badania a epidemia. Istotna niepewność dotyczącej kontynuacji działalności
ZARZĄDZANIE
- Koronawirus. Czy polscy pracodawcy są gotowi na pracę zdalną?
- Jak zarządzać projektem w kryzysie światowej pandemii?
- 10 przykazań antykryzysowych dla przedsiębiorców
- Łatwiej o dotację w obliczu pandemii koronawirusa
NARZĘDZIA CYFROWE I BEZPIECZEŃSTWO
- Badania jakościowe – dlaczego i jak badamy produkty cyfrowe w czasie kwarantanny
- Badania w e-commerce – lekarstwo na problemy ze sprzedażą w e-sklepie
- eBOK – jak zaprojektować skuteczne Biuro Obsługi Klienta
- Biznes na video. Jak bezpiecznie prowadzić wideokonferencje