Otkako je Covid-19 upao u naše živote, video pozive Postali su centar naše svakodnevne komunikacijeRad na daljinu, online časovi, porodična okupljanja, intervjui, događaji… Sve se dešava putem ekrana. Ova pogodnost ima i manu: ako ne konfigurišemo sigurnost pravilno, otvaramo vrata znatiželjnim očima, sajber kriminalcima i curenju podataka što može uzrokovati ozbiljne probleme.
Problem nije samo u tome što bi neko mogao vikati na sastanak. Pravi rizik je taj što treća strana može špijunirati, snimati ili čak preuzeti kontrolu nad našim uređajima a da toga nismo ni svjesni. Srećom, većina platformi uključuje vrlo moćne sigurnosne postavke... ali one gotovo nikada nisu pravilno konfigurirane prema zadanim postavkama. Zato je ključno znati koje opcije aktivirati upravo sada.
Koliko su sigurni video pozivi?
S porastom rada na daljinu, nekoliko organizacija je provelo detaljne analize glavnih platformi za videokonferencije. Američka Nacionalna sigurnosna agencija (NSA), na primjer, pregledala je 13 najkorištenijih alata za video chat kako bi procijenili svoje snage i slabosti u sajber sigurnosti.
U toj evaluaciji, između ostalog, ispitali su da li alat nudi istinska end-to-end enkripcija, da li je omogućavala aktiviranje dvofaktorske autentifikacije (2FA), da li je bila zasnovana na softver otvorenog koda ili vlasnički softverda li je dijelio podatke s trećim stranama i kako je upravljao brisanjem korisničkih informacija, kako na uređajima tako i na svojim serverima.
Zaključci nisu ohrabrujući: Nijedna usluga nije ispunjavala sve idealne sigurnosne zahtjeve. Neki, kao Google radni prostor Na primjer, Microsoft Teams ne nudi end-to-end enkripciju za svu komunikaciju, niti koristi otvorene, auditibilne tehnologije. Drugi, poput Zooma, Slacka, Cisco Webexa i Skypea za poslovanje, imaju politike brisanja i zadržavanja podataka koje bi se mogle poboljšati.
Najviše ocjene u tom izvještaju dobile su WhatsApp, signal i WickrAplikacije dizajnirane od temelja s prioritetom privatnosti i s robusnom enkripcijom od početka do kraja. Uprkos tome, osnovna poruka je jasna: čak i na najuglednijim platformama, Vaša sigurnost uveliko zavisi od toga kako ih konfigurišete i koristite..
Uobičajeni rizici u video pozivima i video konferencijama
Prije podešavanja postavki, korisno je razumjeti šta može poći po zlu. Sigurnosni problemi u video pozivima nisu ograničeni na to da neko viče na online nastavu; Postoje tehnički, pravni i rizici za privatnost koje često ostanu nezapažene.
End-to-end enkripcija: osnovni stub
Jedna od ključnih stvari je znati da li se vaš alat primjenjuje end-to-end enkripcija (E2EE)To jest, samo osobe koje učestvuju u pozivu mogu dešifrirati sadržaj, bez mogućnosti da čak i provajder vidi ili čuje šta se prenosi.
Kada šifriranje nije end-to-end, komunikacija može biti šifrirana "u tranzitu", ali Dobavljač ima ključeve I, teoretski, mogao bi pristupiti pozivima, sarađivati s trećim stranama ili biti kompromitovan u slučaju kršenja podataka. Zato je, kad god je to moguće, preporučljivo odabrati... usluge s E2EE aktivacijom, kao što su Signal, WhatsApp, FaceTime ili određene verzije Zooma i drugih platformi.
Presretanje, snimci i neovlašteni pristup
Još jedno delikatno pitanje je mogućnost da poziv presreće, snima ili mu pristupa neko ko ne bi trebaoMnogi sastanci su zaštićeni samo kratkom, lako pogođenom vezom; u prošlosti se, na primjer, pokazalo da se URL-ovi javnih Zoom sastanaka mogu "pogoditi" ili da se otvorene sobe mogu pronaći pomoću pretraživača.
Osim toga, na nekim platformama, Snimci sesija mogu se praviti bez potpunog znanja svih učesnika.ili da se snimci pohranjuju u oblaku bez odgovarajućih zaštitnih mjera. U korporativnim ili obrazovnim okruženjima, ovo može dovesti do bilo čega, od curenja poslovnih tajni do problema sa zaštitom podataka maloljetnika.
Korištenje i pohranjivanje vaših podataka
Svaka aplikacija ima vlastitu politiku o tome kako obrađuje vaše podatke: zapise poziva, identifikatore uređaja, kontakte, podatke o korištenju, IP adrese… Važno je provjeriti da li Alat je u skladu s propisima kao što su evropski GDPR ili CCPA u Kaliforniji. i koje treće strane imaju pristup tim informacijama.
Osim toga, važno je uzeti u obzir gdje se pohranjuje sadržaj povezan s aplikacijom. U nekim slučajevima, Fotografije, razgovori ili historije razgovora se pohranjuju lokalno, a korisnik toga nije u potpunosti svjestan.Na primjer, Skype može pohranjivati slike primljene na telefon, a u Zoomu, zapisnik sastanka može uključivati i privatne poruke kada se zapisnici preuzmu.
Funkcije praćenja i kontrole unutar aplikacije
Neke platforme uključuju alate za "produktivnost" koji, kada se zloupotrebljavaju, postaju mehanizmi tajnog nadzoraNa primjer, bilo je kontroverzi oko Zoom funkcije koja je organizatoru omogućavala da zna ako je učesnik napustio prozor aplikacije na određeno vrijeme.
Ove vrste funkcija mogu biti primamljive za praćenje zaposlenika ili učenika, ali Oni pokreću etičke i pravne dilemeposebno ako učesnici nisu jasno informisani. Preporučljivo ih je pregledati i deaktivirati ako nisu apsolutno neophodni.
Zlonamjerni softver, lažne aplikacije i prekomjerna dopuštenja
Druga velika prijetnja dolazi izvan platforme. Porast video poziva izazvao je pojavu lažne aplikacije, modificirani instalacijski programi i lažne stranice za preuzimanje koji, umjesto legitimne aplikacije, instaliraju zlonamjerni softver na uređaj.
Također je rizično prihvatiti dozvole koje aplikacija traži bez razmišljanja: pristup kameri, mikrofonu, kontaktima, pohrani ili lokacijiAko bilo koja od tih dozvola padne u ruke zlonamjerne aplikacije, samo je pitanje vremena kada će biti iskorištena za špijuniranje ili krađu informacija. Zato mnogi stručnjaci preporučuju, kao dodatnu mjeru opreza, fizički prekrijte web kameru kada je ne koristite i potpuno zatvorite aplikaciju nakon sastanaka.
Slučajevi iz stvarnog života: Zoombombing i krađa akreditiva
Sigurnosni incidenti u video pozivima nisu teoretski. Termin je postao popularan tokom pandemije. "Zoombombovanje" opisati upade stranaca na online sastanke i nastavu organiziranu putem Zooma i drugih platformi.
U mnogim školama i univerzitetima, studenti i trolovi su dijelili linkovi i lozinke za sastanke na društvenim mrežama i forumima kao što su Reddit, Discord ili Twitter, koordinirajući prekide prijenosa uživo kako bi objavili uvrede, rasistički ili pornografski sadržaj ili prijetnje. Mnogi od ovih napada završili su tako što je voditelj prisilno zatvorio sesiju.
Pored konkretnog skandala, ono što zabrinjava jeste figura tihog uljeza: osobe koja Tiho uđite na sastanak, slušajte, snimajte i izađite sa vrijednim informacijama o projektima, ličnim podacima ili internim odlukama kompanije.
Također su otkriveni slučajevi u kojima vjerodajnice za pristup računu i sastanku Prodavali su se na forumima za sajber kriminal. Istraga objavljena u specijalizovanoj štampi izvijestila je o stotinama hiljada pogođenih korisnika, od kojih su mnogi bili indirektne žrtve koje su ponovo koristile stare lozinke ukradene iz drugih servisa.
Ovi primjeri jasno pokazuju da, u scenariju masovne upotrebe video poziva, Napadači imaju više nego dovoljno podsticaja da iskoriste bilo kakav propust., Koliko god mali bio.
Osnovne postavke za zaštitu vaših video poziva
Dobra vijest je da uz nekoliko promjena konfiguracije možete dramatično povećati sigurnost svojih sastanaka. Specifičnosti se razlikuju između Zooma, Teamsa, Meeta, Webexa, Jitsija, Signala itd., ali principi su praktično isti.
1. Zaštitite sobe i račune jakim lozinkama i 2FA
Prvi korak je osigurati i svoj račun i same sastanke. Koristite duge, jedinstvene i teško pogodive lozinkeKoristeći kombinaciju velikih slova, malih slova, brojeva i simbola, nemojte ponovo koristiti lozinke koje već koristite za druge usluge.
Ako platforma to nudi, Uvijek omogućite dvofaktorsku autentifikaciju (putem SMS-a, aplikacije za autentifikaciju ili fizičkog ključa). Ovaj jednostavan korak znatno otežava nekome pristup vašem računu, čak i ako dobije vašu lozinku.
Što se tiče sastanaka, izbjegavajte korištenje svog trajnog ličnog identifikacionog dokumenta za javne ili ponavljajuće sesije. Poželjno je da Generirajte nasumične i jedinstvene ID-ove sastanaka za svaki događaj, uvijek zaštićen jakom lozinkom koju dijelite samo putem sigurnih kanala.
2. Koristite čekaonicu i blokirajte pristup kada su svi tamo.
Gotovo svi moderni alati uključuju opciju tipa "čekaonica" ili "predvorje"Pomoću njega, prisutni ostaju u virtuelnoj čekaonici sve dok im domaćin ručno ne odobri pristup.
Aktivirajte ovu funkciju da biste mogli Pogledajte listu osoba koje pokušavaju da se prijave i potvrdite njihov identitetAko uočite sumnjivo ime ili nekoga ko ne bi trebao biti tamo, jednostavno im zabranite pristup. Kada svi budu unutra, zaključajte sastanak kako biste spriječili daljnje dodavanje.
Također možete postaviti upozorenja tako da se svaki put kada se neko prijavi ili odjavi, aplikacija prikazuje obavještenje hostuOvo olakšava otkrivanje upada usred sastanka ili neočekivanih veza.
3. Kontrolirajte ko može dijeliti svoj ekran, datoteku ili audio
Još jedna vrlo efikasna mjera je Ograničite korištenje osjetljivih resursa prema zadanim postavkama kao što su korištenje kamere, mikrofona, dijeljenje ekrana i prijenos datoteka.
Idealno bi bilo da se sastanci zakažu tako da Svi učesnici moraju ući sa isključenim mikrofonom i isključenom video kamerom.i da domaćin daje dozvolu kada je to potrebno. Ovo izbjegava neugodne situacije, curenje vizualnih informacija ili neželjenu buku u sesijama s mnogo učesnika.
Slično tome, odaberite opciju tako da Podrazumevano, samo domaćin može dijeliti ekran.Ako neko treba da prezentuje, dobija određene dozvole. Ovo sprečava uljeza ili nepažljivog učesnika da dijeli osjetljiv ili neprikladan sadržaj sa ostatkom grupe.
Također provjerite postavke slanje datoteka i linkova u chatuAko nisu neophodni, ograničite ih ili onemogućite, jer su tipičan kanal za distribuciju zlonamjernog softvera, phishinga ili opasnih dokumenata.
4. Pratite šta se vidi i čuje na vašim sastancima
Čak i ako su tehnički aspekti pravilno konfigurirani, postoji komponenta zdravog razuma koja je podjednako važna. Prije uključivanja kamere ili dijeljenja ekrana, Provjerite šta vidite oko sebe i koje prozore imate otvorene. u vašem timu.
Držite ih van vidokruga povjerljivi dokumenti, lični podaci, korisnička imena, web adrese ili osjetljive datotekeGdje je to moguće, koristite virtualne pozadine ili zamućenje pozadine ako platforma to dozvoljava i uklonite porodične fotografije, akreditive ili privatne podatke iz vidljivog područja.
Što se tiče sadržaja razgovora, tretirajte svaki video poziv kao da se može snimiti: Ne dajte bankovne podatke, pristupne podatke ili izuzetno osjetljive informacije. osim ako nije apsolutno neophodno i ako imate zaista siguran kanal.
5. Omogućite samo potrebne dozvole i zatvorite aplikaciju kada završite
Odvojite nekoliko minuta da pregledate postavke privatnosti i dozvola aplikacijeOnemogućite sve što nije neophodno: funkcije koje omogućavaju strancima da vas pronađu putem e-pošte ili telefona, preporuke na osnovu vaših kontakata, integracije društvenih mreža, slanje podataka trećim stranama u reklamne svrhe, botove ili eksterne integracije koje ne koristite.
Na svom mobilnom uređaju prilagodite sistemske dozvole tako da aplikacija ima samo Pristup kameri i mikrofonu samo kada se stvarno koristeI ne da stalno radi u pozadini. Na računaru, steknite naviku da potpuno zatvorite program kada se sastanak završi, a ne samo da ga minimizirate.
Ako želite ići korak dalje, možete fizički prekrijte web kameru Koristite kliznu masku ili ljepljivu poruku kada je ne koristite. Nije rješenje za sve probleme, ali dodaje sloj zaštite od neovlaštenog pristupa.
Izbor platforme: ne nude sve isti nivo sigurnosti
Pored internih prilagođavanja, vrijedi razmotriti da li je alat koji koristite najprikladniji za vrstu informacija kojima rukujete. Neformalni video poziv s prijateljima nije isto što i... sastanak na kojem se dijele podaci o klijentima, medicinski kartoni ili poslovne tajne.
Šifriranje, privatnost i usklađenost s propisima
Prilikom odabira platforme, provjerite da li ona nudi end-to-end enkripcija, jasne politike privatnosti i usklađenost s propisima kao što je GDPRAlati poput Signala, WhatsAppa ili FaceTimea imaju robusnu E2EE tehnologiju po svom dizajnu, što ih čini vrlo zanimljivim za posebno osjetljive razgovore.
U oblasti korporativnih videokonferencija (ZumWebex, Teams, Meet, Jitsi, itd.), važno je provjeriti Koju vrstu enkripcije koriste, gdje pohranjuju podatke i koje opcije nude za upravljanje snimcima i logovima?U mnogim slučajevima, najnaprednije sigurnosne funkcije dostupne su samo u plaćenim planovima.
Poslovni plan u odnosu na besplatni plan
Za kontinuiranu profesionalnu upotrebu, gotovo uvijek se isplati odlučiti za Poslovni planovi umjesto besplatnih verzijaOvi planovi obično uključuju bolje sigurnosne kontrole, više opcija upravljanja, bržu tehničku podršku, jasne politike zadržavanja podataka i centralizirane alate za upravljanje za velike timove.
Međutim, kod osnovnih ili besplatnih planova uobičajeno je pronaći ograničenja broja učesnika, manja kontrola nad dozvolama, manje opcija šifriranja ili pohrana podataka u oblaku s ograničenim mogućnostima konfiguracijeZa mala i srednja preduzeća ili organizaciju koja rukuje osjetljivim informacijama, ovi nedostaci mogu biti skupi.
Preuzimanja sa službenih stranica i ažurirani softver
Koja god platforma da se odabere, bitno je Aplikaciju preuzimajte samo i isključivo sa službene web stranice provajdera ili iz službenih trgovina. (Google Play, App Store, Microsoft Store, itd.). Web-stranice za preuzimanje trećih strana, web-stranice pune reklama ili linkovi primljeni putem e-pošte ili poruka su magnet za modificirani softver i zlonamjerni softver.
Podjednako je važno dosljedno održavanje programa ažurirano na najnoviju dostupnu verzijuAžuriranja ne dodaju samo nove funkcije: ona ispravljaju ranjivosti, zatvaraju sigurnosne propuste i jačaju enkripciju. Odgađanje ovih ažuriranja ostavlja otvorena vrata koja sajber kriminalci itekako dobro poznaju.
Najbolje prakse za administratore i organizatore sastanaka
Kada organizujete poslovne sastanke, online časove ili događaje sa velikim grupama, vaša uloga kao domaćina je ključna. Nije dovoljno samo kreirati link i držati se za cilj: Potrebna nam je mala interna "pravila korištenja" i neko ko će ih provoditi..
Uvijek imenujte administratora
Na svakom sastanku određene veličine, preporučljivo je imati osobu zaduženu za kreirajte sobu, konfigurirajte sigurnost, pratite pristup i upravljajte dozvolamaOva uloga centralizuje upravljanje i sprečava dupliranje zadataka ili praznine u nadzoru.
Prije sastanka, ta osoba je odgovorna za odabir odgovarajućeg alata, generiranje ID-a sobe, Konfigurišite lozinku, čekaonicu, zaključavanje dijeljenja ekrana i druga ograničenjai pošaljite pozivnicu putem sigurnih kanala predviđenim učesnicima.
Tokom sesije, kontroliše ko ulazi i izlazi, dodeljuje dozvole za video i audio, upravlja čekaonicom i može isključiti svakoga ko se ponaša neprikladno ili nije ovlaštenNakon sastanka, odgovorni su za brisanje nepotrebnih snimaka, dijeljenje materijala putem definiranih kanala i pravilno zatvaranje prostorije.
Odgovorno upravljajte snimcima i sadržajem
Snimanje sastanaka može biti vrlo korisno, ali je i izvor rizika. Prije nego što pritisnete dugme za snimanje, uvijek obavijestite sve učesnike i objašnjava za šta će se snimak koristiti, ko će imati pristup njemu i koliko dugo će se čuvati.
Kad god je moguće, ograničava mogućnost domaćina da snima Da biste dozvolili pristup samo ovlaštenim korisnicima i konfigurirali aplikaciju da prikazuje vidljivo obavještenje kada se sesija snima. Izbjegavajte pohranjivanje osjetljivih snimaka na nešifriranim lokacijama ili na uslugama u oblaku bez dodatne zaštite.
Definišite jasna pravila za korištenje i komunikaciju
Posebno u obrazovnom i poslovnom okruženju, preporučljivo je uspostaviti neke Osnovna pravila o tome šta možete, a šta ne možete raditi u video pozivimaNe pravite snimke ekrana bez dozvole, ne dijelite linkove za sastanke ili lozinke, ne prosljeđujte pozivnice bez ovlaštenja, ne dijelite povjerljive informacije u javnim chat kanalima itd.
Kratko objašnjenje na početku osjetljivijih sesija pomaže svima da razumiju okvir: Da li će se snimati, da li je ćaskanje dozvoljeno, da li je dijeljenje ekrana dozvoljeno, kako će se pitanja obrađivati i šta učiniti ako neko otkrije neovlaštenu osobu tokom poziva.
Ostali ključni savjeti za zaštitu vaših svakodnevnih video poziva
Pored svih gore navedenih prilagođavanja, postoji niz općih preporuka koje vrijedi usvojiti kako bi se minimizirala površina napada u svakodnevnoj upotrebi ovih alata.
Izbjegavajte javne Wi-Fi mreže za osjetljive sastanke
Otvorene Wi-Fi mreže, posebno na javnim mjestima, su posebno opasne. Često im nedostaje adekvatna enkripcija i Omogućavaju bilo kome povezanom na istu mrežu da pokuša špijunirati promet ili pokrenuti napade "čovjek u sredini".
Ako se baš morate povezati s ove vrste mreže, koristite jednu pouzdani vpn kako biste šifrirali sav promet na svom uređaju i smanjili rizik da neko presretne vaše videopozive ili pristupne podatke.
Ne prihvatajte pozive ili pozive od stranaca
Na platformama koje vam omogućavaju pretraživanje korisnika putem telefona, e-pošte ili pseudonima, prilagodite postavke privatnosti tako da Samo vaši kontakti ili osobe u vašoj organizaciji vas mogu pronaćiOdbijte sumnjive zahtjeve i ne odgovarajte na pozive nepoznatih osoba.
Ako primite link za video poziv putem nepouzdanog kanala ili od nekoga koga ne poznajete, Ne otvaraj ga olako.Potvrdite putem drugog kanala da li je pozivnica legitimna i, ako imate bilo kakve sumnje, odbacite je.
Minimizirajte lične podatke koje dijelite
Čak i u pouzdanim okruženjima, pokušajte ograničiti količinu osjetljivi lični, finansijski ili korporativni podaci koje dajete putem video poziva. Mnoge aplikacije čuvaju zapise, i ako platforma pretrpi sigurnosni propust, te informacije bi mogle završiti u pogrešnim rukama.
Ako trebate dijeliti osjetljive dokumente, poželjno je pošaljite ih šifrirane putem kanala posebno pripremljenog za tu svrhu prije ili poslije video poziva, umjesto da ih otvoreno prikazujete na ekranu ili prilažete u chatu.
Dopunite to rješenjima za kibernetičku sigurnost
Konačno, zapamtite da su video pozivi samo jedan dio slagalice. Nije baš korisno imati sve savršeno u aplikaciji ako... Vaš računar ili mobilni telefon je već kompromitovan zlonamjernim softverom. Dobar antivirusAnti-phishing filteri, dobro konfigurisani zaštitni zid i minimalna politika pravljenja sigurnosnih kopija su ključni saveznici.
Ako upravljate kompanijom ili organizacijom, razmislite o mogućnosti koristiti eksterne usluge specijalizirane za kibernetičku sigurnost koji vam pomažu u definiranju politika, implementaciji alata za zaštitu na svim uređajima i obuci korisnika za otkrivanje zlonamjernih e-poruka, linkova i aplikacija.
Sigurnost u video pozivima ne zavisi od jednog čarobnog dugmeta, već od kombinacije malih prilagođavanja i navika: odabira prave platforme, omogućavanja enkripcije i jakih lozinki, kontrole ko ulazi i šta se dijeli, stalnog preuzimanja sa službenih stranica, ažuriranja svega i odgovornog korištenja kamere, mikrofona i ekrana. Sa omogućenim ovim sigurnosnim postavkama i malo zdravog razuma, vaši online sastanci će biti mnogo manje privlačni sajber kriminalcima i mnogo sigurniji za vas.
