Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 20 мая

Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 20 мая

Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен безопасности конференций, утверждению сервиса Zoom Phone со стороны FedRAMP и премиальной программе Zoom по выявлению ошибок.

К генеральному директору компании Zoom Эрику С. Юаню присоединились Одед Галь, директор по продукции компании Zoom, Линн Холанд, заместитель генерального юрисконсульта компании Zoom, директор по надзору за нормативно-правовыми соответствиями и вопросами этики, и Кэти Муссурис, учредительница и генеральный директор компании Luta Security. К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон и Лея Кисснер, бывший руководитель международного отдела технологий конфиденциальности компании Google, выступающая консультантом компании Zoom в области конфиденциальности и шифрования.

Обновления с прошлой недели и предстоящие планы на следующие несколько недель:

Ключевые выводы сеанса на этой неделе

Сервис Zoom Phone был утвержден со стороны FedRAMP

Сегодня мы рады сообщить, что сервис Zoom Phone был утвержден в соответствии с положениями Федеральной программы управления рисками и авторизацией (FedRAMP) США. Это утверждение позволит федеральным государственным учреждениям США и их подрядчикам использовать сервис Zoom Phone в рамках нашего существующего, более широкого утвержденного предложения «Zoom для государственных учреждений». Zoom для государственных учреждений предлагает государственным учреждениям США полноценную платформу унифицированных коммуникаций UCaaS, в состав которой входят конференции и чат Zoom, видеовебинары Zoom, решения для конференц-залов, а теперь и Zoom Phone.

Безопасность конференций

Линн Холанд рассказала о работе, проделанной Zoom за последние пару месяцев в области предотвращения вмешательств со стороны проблемных пользователей. В число внедренных мер входят включение настроек безопасности по умолчанию, например, паролей и залов ожидания для определенных пользователей, упрощение доступа к элементам управления безопасностью с помощью значка «Настройки», добавление механизмов отчетности, более тесная работа с правоохранительными органами и другими интернет-платформами и обучение пользователей рекомендациям в сфере безопасности.

Линн также повторно озвучила следующие рекомендации по обеспечению безопасности конференций Zoom.

  • Не публикуйте идентификатор и/или пароль конференции в открытом доступе.
  • Не отключайте функции безопасности Zoom по умолчанию — залы ожидания, парольную защиту и ограниченную демонстрацию экрана.
  • Изучите функции безопасности и конфиденциальности, доступные организаторам, такие как отключение видео, выключение звука участников, удаление участников и блокировка конференции.
  • Используйте регистрацию в конференции.

Линн объяснила, что конференции Zoom не предназначены для проведения крупномасштабных или публичных мероприятий с публикацией приглашения в Интернете. Вместо этого мы настоятельно рекомендуем использовать вебинары Zoom, так как они дают более детальное управление аудиторией и ходом конференции. Подробнее об отличиях конференций от вебинаров вы можете узнать на нашей странице поддержки.

Премиальная программа Zoom по выявлению ошибок

Кэти Муссурис, учредительница и генеральный директор компании Luta Security, а также консультант по безопасности компании Zoom, рассказала о том, как будет работать премиальная программа по выявлению ошибок, и о том, что эта программа будет использовать краудсорсинговую модель, в которой для поиска и предоставления отчетов об ошибках будет важно участие всех сторон, в том числе исследователей в области безопасности. Она также отметила, что перед внесением изменений в премиальную программу по выявлению ошибок компания Zoom получила обратную связь по вопросам оптимизации этих программ от более широкого сообщества.

Напоминание о версии Zoom 5.0

Версия Zoom 5.0 поступила в общий доступ 27 апреля, а переход к 256-разрядному шифрованию AES GCM для учетных записей в рамках всей системы намечен на 30 мая 2020 года. С этого дня в конференции Zoom смогут входить только клиенты Zoom и залы Zoom Rooms версии 5.0 или новее. Мы рекомендуем всем пользователям обновиться до версии Zoom 5.0 или новее сегодня, если это еще не было сделано. Администраторы Zoom должны посетить страницу для ИТ-администраторов, чтобы установить это обновление в своей среде. Пользователи могут ознакомиться с опытом GCM на странице zoom.us/testgcm.

Проектная документация по сквозному шифрованию станет доступна в пятницу

Мы опубликуем подробный проект криптографической системы, которая будет использоваться в нашем предложении сквозного шифрования, в эту пятницу на GitHub. Мы организуем дискуссию с привлечением экспертов в области криптографии, клиентов и инициативных групп для получения обратной связи и оценки итогового проекта.

Вопросы и ответы

Вот некоторые из вопросов, которые участники вебинара задали в прямом эфире на этой неделе:

Как отправить отчет об ошибке в области безопасности?

Посетите страницу zoom.us/security или отправьте письмо на адрес security@zoom.us.

Я использую Chromebook; как мне загрузить клиент Zoom 5.0?

Пользователи Chromebook могут загрузить приложение Zoom Chromebook в магазине приложений Google или использовать всегда актуальный веб-клиент Zoom.

Будут ли администраторы учетных записей получать уведомления при отправке отчета о действиях пользователя в Zoom?

Когда организатор или соорганизатор используют функцию «Сообщить о пользователе», чтобы отправить отчет о действиях участника конференции, отчет отправляется на адрес группы доверия и безопасности компании Zoom. Однако в будущем мы планируем уведомлять администраторов об определенных учетных записях, действия пользователей в которых попадают в отчет в определенных ситуациях.

Кому доступна функция записи конференций, помимо организатора?

Организатор может предоставить доступ к записям другим участникам, но никто не может начать запись конференции Zoom без разрешения организатора.

Можете ли вы рассказать подробнее о черновике системы сквозного шифрования, который будет опубликован 22 мая?

В черновике, который будет опубликован 22 мая, будет представлен наш план и проект по построению видеосервиса со сквозным шифрованием. В тексте черновика не будет представлен фактический код. Мы хотим собрать и оценить обратную связь перед разработкой нашего предложения со сквозным шифрованием.

Есть ли у вас планы разрешить приватный чат с пользователем в зале ожидания в целях проверки личности?

Одед говорит, что это одна из самых часто запрашиваемых функций, и ее разработка входит в наши планы.

Почему была удалена функция «Включить звук для всех»? Планируете ли вы ее вернуть?

Мы удалили функцию «Включить звук для всех» из пользовательского интерфейса, так как организаторы могли включать звук участников без их согласия. Мы вернем эту функцию в будущем. Однако, организатору потребуется согласие участника на включение звука в ходе конференции.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес answers@zoom.us. И обязательно подпишитесь на вебинар «Спросите Эрика», который пройдет на следующей неделе.

Скачать эту статью в формате PDF

Не забудьте поделиться этой публикацией