Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 3 июня

Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 3 июня

Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен последним обновлениям безопасности продуктов, в том числе успешному развертыванию Zoom версии 5.0 и шифрованию GCM для всех бесплатных и платных учетных записей Zoom.

В ходе сеанса на этой неделе к генеральному директору компании Zoom Эрику С. Юаню присоединились Одед Галь, директор по продукции компании Zoom. К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон; Лея Кисснер, бывший руководитель международного отдела технологий конфиденциальности компании Google, выступающая консультантом компании Zoom в области конфиденциальности и шифрования; Макс Крон, руководитель отдела инженерных разработок в области безопасности компании Zoom; и Линн Холланд, заместитель генерального юрисконсульта, директор по надзору за нормативно-правовым соответствием и вопросам этики компании Zoom.

Обзор платформы Zoom с прошлого месяца:

Обновления с прошлой недели и предстоящие планы на следующие несколько недель:

Ключевые выводы сеанса на этой неделе

В Zoom теперь работает шифрование GCM

Одно из важнейших изменений, внедренных нами на сегодняшний день, — Zoom версии 5.0 с поддержкой 256-разрядного шифрования AES GCM, одного их самых безопасных стандартов шифрования, используемых сегодня. Активация шифрования в рамках системы произошла 30 мая, и теперь оно доступно всем пользователям — как платным, так и бесплатным. Посетите веб-страницу Zoom 5.0, чтобы узнать дополнительные сведения об усовершенствованиях в сфере безопасности, доступных на платформе Zoom.

Проект сквозного шифрования

Мы продолжаем реализацию этапов проекта сквозного шифрования. 22 мая мы опубликовали функциональный проект в GitHub и в настоящее время проводим обсуждения с привлечением экспертов в области криптографии, некоммерческих организаций, инициативных групп, клиентов и прочих лиц для получения более подробной информации и обратной связи, которая будет реализована в итоговом проекте. После оценки этой обратной связи для интеграции в окончательный план мы объявим о наших технических этапах и целях развертывания сквозного шифрования для пользователей Zoom.

ВОПРОСЫ И ОТВЕТЫ

Вот некоторые из вопросов, которые участники вебинара задали в прямом эфире на этой неделе (вместе с обобщенными ответами):

Почему мы добавляем возможность управления виртуальными фонами для владельцев/администраторов?

Администраторы учетных записей просили дать им более детальный контроль над материалами, которые пользователи выгружают в качестве виртуальных фонов, поэтому мы работаем над возможностью, которая позволит администраторам загружать набор предварительно одобренных фонов.

Планируется ли добавление многофакторной аутентификации (MFA)?

Большая часть корпоративных клиентов использует MFA в той или иной форме при работе с Zoom, например, с помощью поставщиков системы единого входа (SSO), таких как Okta и OneLogin. В будущем мы планируем добавить возможность использования MFA для пользователей бесплатной и профессиональной версий.

Что вы можете порекомендовать организаторам крупных публичных конференций?

Мы рекомендуем использовать вебинары, так как они позволяют более детально управлять пользователями с правом голоса и доступа на мероприятие. Дополнительные сведения см. в статье службы поддержки «Сравнение конференций и вебинаров». Если вы хотите организовать конференцию, в которой все участники могут передавать видео и звук, рекомендуем включить регистрацию на участие в конференции, активировать парольную защиту и зал ожидания и разрешить только организатору и соорганизаторам демонстрировать содержимое экрана.

Повлияет ли Zoom 5.0 на процесс входа в конференцию участников, не имеющих учетной записи Zoom?

Для входа в конференцию по приглашению учетная запись Zoom не требуется. В Zoom версии 5.0 или более поздней версии любой пользователь может присоединиться к конференции Zoom, не имея учетной записи Zoom. Если у вас уже есть учетная запись, и вы используете более раннюю версию Zoom (выпущенную до выхода версии 5.0), вам будет предложено обносить клиент перед входом в конференцию.

Использует ли решение вебинаров шифрование GCM?

Да, наши решения для проведения конференций и вебинаров используют одинаковое 256-разрядное шифрование AES GCM.

Каковы ваши ожидания от последних 30 дней 90-дневного плана?

Мы продолжим укреплять безопасность и конфиденциальность сообщества Zoom и будем придерживаться этой позиции в будущем. Некоторые из наших краткосрочных целей — использовать обратную связь при построении системы сквозного шифрования, дополнительные усовершенствования парольной защиты, более масштабное обновление пользовательского интерфейса и дальнейшая реализация мер по предотвращению посторонних вмешательств в конференции.

Что произойдет после завершения 90-дневного плана по укреплению безопасности?

Завершение 90-дневного плана не означает, что мы прекратим работать над укреплением безопасности/конфиденциальности платформы. Это далеко не так. Конфиденциальность и безопасность пользователей будет нашим приоритетом и в дальнейшем, при этом Zoom продолжит разработку самого безопасного и безотказного видеокоммуникационного решения для наших клиентов.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес answers@zoom.us. И обязательно подпишитесь на вебинар «Спросите Эрика», который пройдет на следующей неделе.

Скачать эту статью в формате PDF

 

Не забудьте поделиться этой публикацией