Biznes na video. Jak bezpiecznie prowadzić wideokonferencje

Ta wideokonferencja nie tak miała wyglądać. Ogromna spółka giełdowa, WIG20, ceniona przez inwestorów, znana z dobrze zarządzanych relacji inwestorskich. Zarząd prezentuje wyniki finansowe za pierwszy kwartał 2020 roku i perspektywy na kolejne miesiące. W wideokonferencji bierze udział ponad 250 osób: założyciel, analitycy giełdowi, dziennikarze, zarządzający funduszami inwestycyjnymi i menedżerowie firmy. W sesji pytań i odpowiedzi nieoczekiwanie na ekranach pojawia się… film pornograficzny. O ile prowadzący wydarzenie mógł wyciszyć głos, o tyle obrazów wyłączyć mu się nie udało. Zostały odtworzone dwa razy zanim organizatorzy konferencji zdecydowali o jej przedwczesnym zakończeniu.

O wynikach finansowych mówiło się krótko, o samej wideokonferencji środowisko giełdowe będzie pamiętać latami. Za zaistniałą sytuację można winić administratorów w firmie, ponieważ często to na ich barkach spoczywać powinien obowiązek zabezpieczenia kluczowego spotkania. Jednak trzeba też zrozumieć, że dla osób nie zajmujących się na co dzień cyberbezpieczeństwem nie było to zadanie łatwe. Niekiedy sami użytkownicy (prowadzący lub uczestnicy) mogą świadomie lub nie doprowadzić do kompromitacji wideokonferencji, np. wpuszczając nieupoważnioną osobę. Możemy znaleźć wiele przykładów wpadek samych użytkowników takich jak:

• pomyłki w przesyłaniu informacji (wysyłanie wiadomości na inny czat),
• niewłaściwe, niekontrolowane wypowiedzi przy braku wyłączenia własnego mikrofonu,
• przekazywanie kontroli nad komputerem innym użytkownikom,
• „wstydliwe” widoki za plecami z powodu niewyłączenia kamery,
• zapraszanie nieznajomych, którzy zagłuszają spotkanie.

Takie zagrożenia mogą wpływać na wizerunek firmy, a także na jej funkcjonowanie poprzez zakłócenia lub udostępnienie poufnych informacji poza organizację. W przypadku wcześniej wspomnianego incydentu firma w dobie kryzysu mogła narazić się na kolejne straty finansowe. Wbrew pozorom ostre porno wcale nie było najgorszym scenariuszem. Można sobie wyobrazić, że ktoś podmienia prezentację zarządu i do rynku docierają inne, dramatyczne wyniki, co – przynajmniej na jakiś czas, zanim ktoś nie zapanuje nad chaosem informacyjnym – załamuje kurs spółki. Albo ktoś, np. zdesperowany dawny pracownik, ujawnia wrażliwe dane firmy, przez co naraża ją na wielomilionowe kary czy odszkodowania.

Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik

Bezpieczna wideokonferencja – o czym pamiętać?

Czym w takim razie powinniśmy kierować się przy wyborze platformy, aby zachować odpowiedni poziom bezpieczeństwa? Na co zwracać uwagę?  

1. Zapewnienie bezpieczeństwa połączenia 

Upewnienie się, że rozwiązanie zapewnia nam tzw. szyfrowanie “end to end” nie pozwalając na przechwycenie połączenia intruzowi. 

2. Czy spotkanie jest nagrywane? 

Fakt nagrywania oraz zakres rejestracji powinny być jasno zakomunikowane uczestnikom zdarzenia. Uczestnicy powinni mieć zapewnioną sygnalizację faktu nagrywania, a rejestracja powinna być prowadzona wyłącznie przez organizatora spotkania. Organizator powinien być ograniczony proceduralnie do dysponowania nagraniem. Wszelkie próby nieoficjalnego rejestrowania spotkania przez uczestników powinny być traktowane jako podsłuch. 

3. Zapraszanie i identyfikowanie uczestników 

Kluczowym elementem zapewnienia „bezpiecznego” spotkania są jego „bezpieczni” uczestnicy. Ta funkcjonalność jest jedną z najważniejszych – identyfikowanie uczestników. Ważne, aby unikać anonimowych uczestników – każdy powinien „legitymować” się imieniem i nazwiskiem. Dodatkowym zabezpieczeniem może być wykorzystanie hasła wymaganego przy dołączeniu do spotkania. Warto je wysłać innym kanałem komunikacji niż zaproszenie, chyba że środowisko w jakim funkcjonuje platforma wideokonferencyjna wcześnie „zadbało” o weryfikację i uwierzytelnienie wszystkich uczestników.  

4. Korzystanie z platformy – jakich uprawnień domaga się od naszego komputera 

Kolejnym aspektem wyboru platformy jest jej sposób „zachowania” na naszym sprzęcie. Niektóre darmowe narzędzia mogą przesyłać złośliwe reklamy lub dodatki, których lepiej unikać. Dobrze jest zwrócić uwagę na elementy, do których aplikacja chce uzyskać dostęp (mikrofon, kamera, a może coś jeszcze?) albo „coś” dodatkowo zainstalować na naszym komputerze. To niesie za sobą ryzyko infekcji. Korzystajmy z tych rozwiązań, które nic więcej poza przeglądarką od naszego sprzętu nie wymagają! 

5. Standardy i certyfikaty posiadane przez dostawcę platformy  

Poświęcając chwile uwagi możemy dowiedzieć się o zabezpieczeniach wprowadzanych przez dostawców platform. Oczywiście, dla wielu osób skróty i nazwy certyfikatów lub standardów mogą być niezrozumiałe, natomiast często są one opisywane w sieci bardziej „przyjaznym” językiem. Poza tym można zawsze znaleźć powód, by skontaktować się z kolegami z IT! 

6. Dojrzałość oprogramowania i środowiska 

Ze względu na obecną sytuację na świecie, firmy dostarczające wspomniane rozwiązania mogą doświadczać różnego rodzaju przeciążeń lub błędów w swoim środowisku. Dojrzałe i stabilne systemy pozwolą na uniknięcie zakłóceń lub niedostępności aplikacji. Lepiej poświęcić chwilę czasu na zapoznanie się z opiniami innych użytkowników, a także sprawdzić ostanie błędy, zakłócenia i czas ich naprawy. 

7. Przejrzyste warunki licencyjne i postanowienia polityki prywatności 

Podczas wyboru platformy wideokonferencyjnej nie bez znaczenia jest analiza warunków licencyjnych oraz postanowień polityki prywatności. Znane są przypadki zapisów dających dostawcy usługi możliwość przechowywania materiałów audio i wideo oraz treści czatów na potrzeby zbierania informacji o uczestnikach w celu profilowania reklamowego lub innych czynności niezwiązanych ze świadczoną usługą. 

Jak wybrać platformę do bezpiecznej wideokonferencji?

Konkludując możemy śmiało rekomendować następujące dwie główne zasady bezpieczeństwa przy wyborze platformy wideokonferencyjnej: 

Zasada nr 1:  

Używaj platformy „rodzimej (native)” dla twojego środowiska pracy. Czyli na przykład:

•  jeżeli pracujesz w środowisku MS Office 365 używaj Teams lub Skype.
• Jeżeli pracujesz w środowisku GSuite, Android, ChromeOS używaj Google Hangouts Meet lub jeśli jesteś nauczycielem to Google Classroom

Daje Ci to możliwość korzystania z całej gamy środków bezpieczeństwa jak i dodatkowych funkcjonalności oferowanych przez te środowiska.

Zasada nr 2: 

Jeżeli jednak z jakiś ważnych powodów musisz odstąpić od zasady nr 1, to:

• Staraj się ograniczyć do uznanych i zweryfikowanych pod względem bezpieczeństwa platform takich jak np. Cisco Webex czy ClickMeeting
• Pamiętaj jednak, aby wykorzystać pomoc kolegów z IT w zakresie właściwego – w tym również pod względem bezpieczeństwa – “osadzenia” platformy w twoim środowisku pracy
• Nie korzystaj z przygodnych atrakcyjnych rozwiązań, a jeśli już musisz to zweryfikuj je w odniesieniu do podanych wyżej sześciu punktów.

Bezpieczna wideokonferencja, a zachowania uczestników

Na koniec warto pamiętać jeszcze o jednym: jak to zwykle z bezpieczeństwem bywa – bardzo ważny czynnik – CZŁOWIEK i jego zachowanie. Oto kilka głównych zaleceń: 

• Określ odpowiednie role przed spotkaniem (prowadzący lub organizator, uczestnicy, Słuchacze) 
• Nie zapraszaj ludzi bez ich identyfikacji 

• Upewnij się, że wiadomość umieszczasz w prawidłowym czacie 
• Wyciszaj mikrofon i wyłączaj kamerę – jeśli nie jest potrzebna 
• Pamiętaj, że rozmowa zawsze może być nagrywana 
• Staraj się dopytać o przesyłane pliki, jeśli są one podejrzane 
• Korzystaj z filtrów tła (ale nie twarzy) jeśli są dostępne – to zwiększa prywatność! 
• Sprawdzaj czy aplikacja konferencyjna za dużo nie „chce” od twojego komputera. 
• Podnoś swoją świadomość uczestnicząc w szkoleniach i śledząc prasę i blogi ekspertów z dziedziny bezpieczeństwa informacji 

Mamy nadzieję, że te przestrogi będą pomocne w bezpieczniejszym korzystaniu z platform wideokonferencyjnych.  

Skontaktuj się z naszym Zespołem ekspertów w dziedzinie cyberbezpieczeństwa jeśli potrzebujesz wsparcia tego procesu: Ocena bezpieczeństwa systemów 

AUTORZY: Tomasz Sobczyk, Jan Kurowski