InCSR

Kopš pasaule sāka iepazīt mistisko koronavīrusu COVID-19, videokonferences ir kļuvušas par jaunu sapulču, tostarp individuālo tikšanos, standartu. Šobrīd kādu no videokonferenču nodrošināšanas platformām ikdienā izmanto teju 80% organizāciju visā pasaulē, liecina “Forbes” dati. Tomēr, cik drošas ir šīs platformas, raugoties no kiberdrošības viedokļa?

Sākoties globālajai pandēmijai, strauju popularitāti korporatīvajā vidē iemantoja dažādas komunikācijas platformas ar video straumēšanas iespēju – Google Meet, Microsoft Teams, WebEx, Zoom u.c. Zināmu renesansi piedzīvoja pat šķietami aizmirstais Skype. Iemels? Šīs platformas nodrošina klātbūtnes efektu un plašas lietotāju mijiedarbības iespējas reālajā laikā. Tāpat tās iespējams izmantot jebkurā vietā un laikā, kam attālināta darba režīma apstākļos ir īpaši liela nozīme. Un šo platformu tehniskā infrastruktūra nav jāuztur pašam – tā atrodas kaut kur “mākonī”.

Tomēr korporatīvajā vidē pastāvošais viedoklis par to, kura no komunikācijas platformām ir drošāka, nav viennozīmīgs. Līdzīgi kā sabiedrība dalās tā dēvētajos “aifonistos” un “androidistos”, tā dalās arī “zūmeros”, “tīmeros”, “mīteros” u.tml. Tāpēc mēģināsim noskaidrot, kādiem kritērijiem būtu jāpievērš uzmanība tieši jūsu organizācijai piemērotākās platformas izvēlē. Termins “piemērotākā platforma” šajā gadījumā ir ļoti būtisks, jo tas ietekmē arī drošības aspektu.

Zoom – nemainīgi nr.1 pasaulē

Šā gada pavasarī – teju pašā COVID-19 “pīķa” brīdī – publiskajā telpā izskanēja informācija, ka pasaulē plaši iecienītajai Zoom platformai ir problēmas ar lietotāju privātumu un datu drošību – tā nopludina e-pasta adreses, caur to sūtītie dati netiek šifrēti u.tml. Īpaši plaši tika iztirzāti tā dēvētie Zoom Bombing* gadījumi. Taču daļā šo gadījumu vaina bija nevis pašā platformā, bet gan lietotāju nezināšanā un neprasmē to izmantot.

Latvijā viens no zināmākajiem Zoom Bombing gadījumiem ir kāda virtuāla konference, kurā piedalījās prominenti Latvijas uzņēmumi un valsts institūciju pārstāvji. Pasākumam pieslēdzās neautorizētas personas, kuras visiem sapulces dalībniekiem demonstrēja nelegāla satura materiālus. Tas bija iespējams, jo sapulces organizatori nebija laikus padomājuši par privātuma iestatījumiem un bija dalījušies ar piekļuves datiem sociālajos tīklos. (CERT.lv, 2020)

Nav šaubu, ka šie gadījumi iedragāja Zoom reputāciju. Ja laikā no šā gada janvāra līdz martam šīs platformas lietotāju skaits pieauga par 67%, sasniedzot 300 miljonus lietotāju dienā (Apptopia, 2020), līdzko informācija par “caurumiem” drošības sistēmās izskanēja publiski, Zoom lietotāju skaits sāka strauji samazināties. Zinātāji lēš, ka uz šī rēķina Microsoft Teams platformas lietotāju skaits laikā no šā gada marta līdz aprīlim palielinājās par vismaz 70%.** (Aternity, 2020)

Mēdz sacīt, ka krīzes situācijās izdzīvo tie, kuri spēj visātrāk pielāgoties. Tāpēc Zoom īpašnieki tūlīt ķērās pie sava “lolojuma” pilnveides un drīz vien paziņoja, ka visas ar kiberdrošību saistītās problēmas ir novērstas. Vēl vairāk – šajā platformā tika ieviesta papildu funkcionalitāte, kas ļāva padarīt saziņu vēl ērtāku, efektīvāku un aizsargātāku (End-to-End encryption). Domājams, tas ir viens no iemesliem, kāpēc Zoom joprojām ir visplašāk lietotā videokonferenču platforma pasaulē, tostarp Latvijā.

Microsoft Teams pievienotā vērtība – spēcīgā Microsoft “aizmugure”

Jaunāko pētījumu dati (Kantar, 2020) liecina, ka Latvijā dažādas videokonferenču platformas attālināta darba nodrošināšanai izmanto katrs otrais darba devējs. Populārā no tām ir Zoom platforma – to izmanto katrs trešais uzņēmums un iestāde. Otrajā vietā ir Microsoft Teams (23%), bet trešajā – Skype vai Skype for Business (14%).

Interesanti, ka Rīgā Zoom un Microsoft Teams videokonferenču platformas ir teju vienlīdz populāras – 34% un 32%. Savukārt pārējos reģionos Zoom platformas popularitāte ir daudz izteiktāka. Piemēram, Kurzemē un Latgalē tā ir gandrīz divas reizes populārāka nekā Microsoft Teams.

Lai gan Zoom un Microsoft Teams risinājumi plaši tiek izmantoti gan publiskajā, gan privātajā sektorā, šķiet, uzmanības vērts ir fakts, ka pēdējai priekšroku dod lielākā daļa IT nozares uzņēmumu, piemēram, “Accenture”, datu tehnoloģijas uzņēmums “Squalio” u.c. Savu izvēli tie pamato gan ar šīs platformas plašo funkcionalitāti un ērto lietošanu, gan arī drošību.

Kā norāda datu tehnoloģijas uzņēmuma “Squalio” produktivitātes eksperts Kristaps Sedols, jebkura vadītāja interesēs ir pārvaldīt visu informāciju organizācijā, turklāt darīt to kvalitatīvi. Īpaši svarīgi tas ir, ja darbs tiek organizēts attālināti. Šādos gadījumos ieteicams izvēlēties vienotu komunikācijas platformu ne vien ikdienas saziņai ar darbiniekiem, bet arī jaunu darbinieku atlasei, saziņai ar klientiem un sadarbības partneriem, komandas darba organizēšanai, dokumentu koplietošanai u.tml. Tas ir gan ērti, gan arī ļauj izvairīties no drošības riskiem situācijās, kad informācija tiek fragmentēta dažādos kanālos, aplikācijās vai lietotnēs. Tieši pārvaldības elastība, viņaprāt, ir Microsoft Teams lielākā vērtība.

“Ja runājam par datu šifrēšanu, tā visās lielākajās videokonferenču platformās ir pietiekamā līmenī. Tomēr, ja privātai lietošanai var derēt praktiski jebkurš risinājums, uzņēmumiem ir vērts izvērtēt riskus. Piemēram, vienmēr aktuāls ir jautājums – kā tiek organizēta pieslēgšanās sapulcēm un kā tiek pārbaudīts, ka tajās tiešām piedalās tie, kam tur jāpiedalās. Microsoft Teams gadījumā būtiskākais ieguvums ir Microsoft investīcijas drošībā, kas veido 1 miljardu ASV dolāru gadā. Tāpat šī kompānija ilgus gadus izmanto vienus un tos pašus risinājumus gan savu, gan klientu datu aizsardzībai. Turklāt nav noslēpums, ka bezmaksas rīki uzkrāj par jums datus un izmanto tos uz jums mērķētu reklāmu sniegšanai,” tā K.Sedols.

Tomēr Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas “CERT.lv” eksperti norāda, ka Covid-19 krīzes situācijā un attālinātā darba apstākļos ir gandrīz neiespējami lietot tikai vienu videokonferenču platformu.

“Dažādiem uzņēmumiem mēdz būt ļoti atšķirīgi uzskati par digitālo drošību, efektīvu komunikāciju, līdz ar to, viņi var dot priekšroku citām komunikācijas platformām. Tāpēc realitātē ir tā, ka organizācijas iekšienē bieži vien tiek izmantots viens konkrēts videokonferenču risinājums, bet darbā ar sadarbības partneriem – dažādi risinājumi. Jo šobrīd visi cenšas vai ir spiesti viens otram pielāgoties,” skaidro “CERT.lv” vadītājas vietnieks Varis Teivāns.

100% drošs nav nekas

Lai noskaidrotu, kura videokonferenču platforma ir drošāka, “CERT.lv” šā gada pavasarī veica apjomīgu pētījumu. Tajā iesaistīto ekspertu galvenais secinājums – trūkumi ir visiem populārākajiem tirgū pieejamajiem risinājumiem.

“Neeksistē universāls, absolūti drošs risinājums, kas būtu vienlaicīgi lietotājiem draudzīgs, garantētu pilnu konfidencialitāti un būtu operatīvi ieviešams īsā laikā, kā arī bez papildu finanšu, tehniskajiem un cilvēkresursiem. Izmantojot kādu no populārākajām saziņas platformām, ir jāsaprot, ka tās ir paredzētas ikdienas darbu organizēšanai, nevis konfidenciālas vai sensitīvas informācijas apmaiņai,” uzsver V.Teivāns.

Starp izplatītākajiem drošības riskiem, ar ko saskaras dažādu komunikācijas platformu lietotāji, ir nepārbaudītu personu “ielaišana” sapulcēs un tā dēvētā pikšķerēšana jeb paroļu izvilināšana. Šajā gadījumā jāņem vērā, ka arī tad, ja sapulču, pasākumu saites un paroles netiek publiskotas visiem brīvi pieejamā vietā, tās var viegli pārtvert. Turklāt tam lielu māku nevajag.

“Shēma ir vienkārša. Pieslēdzoties sapulcei, “vērotāji” ievāc informāciju, ko tālāk var izmantot kiberuzbrukumu īstenošanai. Piemēram, nosūtīt kādam sapulces dalībniekam e-pastu, atsaucoties uz tajā pārrunāto tēmu, un lūgt parakstīt kādu dokumentu, pārskaitīt naudu u.tml. Tāpēc ir svarīgi uzstāt, lai visi dalībnieki pasākuma laikā tur ieslēgtas kameras. Taču vēl svarīgāk ir izglītot kiberdrošības jautājumos lietotājus, kuriem ikdienā ir jāorganizē video sapulces un ir tajās jāpiedalās. Sapratne palīdzēs vienkāršāk pieņemt dažreiz nepieciešamos sarežģītākos drošības mērus,” norāda datu tehnoloģijas uzņēmuma “Squalio” produktivitātes eksperts.

Princips “ja nu noderēs!” drošību neveicina

Ja līdz šim nav bijusi nepieciešamība izmantot kādu attālinātās saziņas rīku, eksperti iesaka nepaļauties uz veiksmi. Atbilstošākās komunikācijas platformas izvēles procesam ir jāpieiet ļoti atbildīgi.

Pirmkārt, ir jāizvērtē organizācijas vajadzības attiecībā uz nepieciešamo saziņas rīka funkcionalitāti: vai vajadzēs organizēt videokonferences, gatavot tekstuālus paziņojumus, pārsūtīt dokumentus u.tml.

“Aicinām izvēlēties risinājumus tikai ar tām funkcijām, kas jums būs nepieciešamas, kas ļaus samazināt potenciālos riskus, nevis meklēt rīku ar maksimāli plašu funkcionalitāti ar domu “ja nu noderēs”,” skaidro V.Teivāns.

Otrkārt, ir jāņem vērā cik operatīvi dažādu platformu izstrādātāji reaģē uz tajās atklātajām nepilnībām un novērš tās.

Treškārt, ja mākoņservisa vietā tiek izvēlēts pašu uzturēts pakalpojums, ir nepieciešama atbilstoša IT infrastruktūra, zinoša komanda un regulārs darbs, lai nodrošinātu projekta nepārtrauktu un drošu uzturēšanu. Ja nav iespējams investēt atbilstošu resursus produkta uzturēšanā, drošāk ir izmantot ārēju risinājumu.

Ceturtkārt, pirms produkta iegādes ir jāiepazīstas ar tā piedāvātajiem uzstādījumiem, kas ļauj nodrošināt tiešsaistes sanāksmēm papildu drošību. Piemēram, liegt iespēju pieslēgties sapulcei svešiem dalībniekiem, atslēgt kādu no dalībniekiem vai ierobežot viņa tiesības.

Piektkārt, ja uzņēmumam ir sava IT komanda vai pat tikai viens IT sistēmu administrators, ir vērts ieklausīties viņu viedoklī. Ja šķiet, ka šo speciālistu vērtējums nav objektīvs, konsultējieties ar kādu IT uzticības personu vai ārējiem IT jomas ekspertiem.

“Lai arī kādu risinājumu jūs izvēlētos, šī izvēle nebūs pavisam greiza. Tas, kas jums var pietrūkt, ir lietas, kas vitāli nepieciešams kvalitatīvai tieši jūsu organizācijas darbības nodrošināšanai. Piemēram, failu apmaiņas iespējas, sapulču plānošana kalendārā, lomu iedalīšana, video dalībnieku skaits, daudzfaktoru autentifikācija vai autentifikācija, izmantojot uzņēmumam jau esošos lietotājvārdus un paroles. Tāpēc izveidojiet videokonferenču platformas izvēles procesa ietvaros salīdzinājuma tabulu, kurā ietverta gan katra risinājuma funkcionalitāte, gan drošības mēri, gan risku novērtējums. Tā jūs sev būtiski atvieglosiet darbu!” tā K.Sedols.

_____

* Zoom Boombing – situācija, kad Zoom platformā notiekošam pasākumam (sapulcei, mācību stundai, semināram u.tml.) pievienojas neaicināti dalībnieki un traucē tā norisi. Nelūgtie viesi koplieto savus ekrānus, lai “bombardētu” pasākuma dalībniekus ar traucējošu, izklaidējošu un reizēm arī nelegālu saturu. Vairumā gadījumu šajos “uzbrukumos” tika izmantotas publiski pieejamās un tiešsaistē atrodamās Zoom saites. Tomēr atkarībā no programmas iestatījumiem arī šķietami privātas sapulces varēja kļūt pieejamas nelūgtiem viesiem.

** Kompānijas “Atternity” eksperti aprēķinājuši, ka Microsoft Teams kopējais lietotāju skaits kopš brīža, kad sākās globālā pandēmija, ir palielinājies par 894%, bet Zoom lietotāju skaits – par 667%.