Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 10 июня

Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 10 июня

Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен последним обновлениям безопасности продуктов, фактам о шифровании, используемом на платформе Zoom, и обеспечению безопасности конференций с помощью паролей и залов ожидания.

В ходе сеанса на этой неделе к генеральному директору компании Zoom Эрику С. Юаню присоединились Одед Галь, директор по продукции компании Zoom, и Лея Кисснер, бывший руководитель международного отдела технологий конфиденциальности компании Google, выступающая консультантом компании Zoom в области конфиденциальности и шифрования.

К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон, Макс Крон, руководитель отдела инженерных разработок в области безопасности компании Zoom, и Линн Холанд, заместитель генерального юрисконсульта компании Zoom, директор по надзору за нормативно-правовыми соответствиями и вопросами этики.

Ключевые выводы сеанса на этой неделе

Факты о шифровании на платформе Zoom

Платформа Zoom использовала и продолжает использовать технологию шифрования для защиты всех пользователей.

В данный момент в рамках системы активирован один из самых безопасных стандартов шифрования, 256-разрядное шифрование AES GCM, и он доступен всем пользователям — как платным, так и бесплатным. Несколько других моментов, на которые мы обратили внимание:

  • Компания Zoom реагирует только на действительные запросы со стороны правоохранительных органов. При получении запроса на предоставление информации мы исполняем его только в том случае, если он был подан в рамках надлежащим образом оформленного судопроизводства и при наличии надлежащей юрисдикции.
  • Компания Zoom не предоставляет правительствам прямой и неограниченный доступ к данным наших пользователей, равно как и наши ключи шифрования.

План сквозного шифрования компании Zoom

7 мая компания Zoom заявила о намерении создать систему сквозного шифрования (E2EE). 22 мая мы опубликовали исходный проект криптографической системы на GitHub с целью сбора обратной связи, и Лея объявила, что скоро будет опубликована обновленная версия документа. E2EE — важный инструмент безопасности, и если учесть масштаб такого продукта, как Zoom, подобное решение создается впервые. Мы хотим сделать систему E2EE широко доступной и рассматриваем возможности для безопасной реализации этой идеи.

Обновления продуктов — залы ожидания и пароли

На протяжении последних нескольких месяцев мы занимались усовершенствованием функций безопасности, чтобы у наших пользователей был полный контроль над платформой и процессом проведения конференций. Одед рассказал о некоторых преимуществах, связанных с использованием залов ожидания и паролей.

В апреле мы принудительно включили залы ожидания и парольную защиту конференций по умолчанию для бесплатных базовых учетных записей и учетных записей сферы образования. В ближайшее время мы также планируем ввести требование, чтобы все конференции, планируемые платными учетными записями, использовали либо зал ожидания, либо парольную защиту. Дата вступления этого требования в силу пока не определена.

Для конференций, запланированных до вступления этого требования в силу и не защищенных паролем, зал ожидания будет включен по умолчанию, однако администраторы и пользователи смогут принудительно включить либо парольную защиту, либо зал ожидания, либо оба этих средства защиты. Дополнительную информацию мы сообщим в течение следующих недель.

ВОПРОСЫ И ОТВЕТЫ

Можно ли получить отчет о пользователях, находящихся в моей учетной записи и не активировавших парольную защиту?

Клиенты, имеющие более 50 платных лицензий, могут воспользоваться отчетом, в котором показаны запланированные конференции в их организации, не защищенные паролем.

Придется ли участникам вводить пароль при входе в конференцию?

Пароли конференций встраиваются в URL приглашения на конференцию, поэтому если вы щелкнете по этому URL, вам не придется вводить пароль. Однако если вы входите в конференцию, защищенную паролем, при непосредственном вводе идентификатора конференции (а не по ссылке), вам придется ввести пароль вручную.

Как работают пароли при входе в конференцию с телефона?

Участники, входящие в конференцию с телефона, будут использовать более короткий цифровой пароль, который они смогут ввести на клавиатуре телефона.

Как пароли и залы ожидания работают для бесплатных пользователей в платных учетных записях?

Любой платный или бесплатный участник, который входит в конференцию Zoom, должен соответствовать требованиям, установленным платным организатором, в число которых могут входить пароль, зал ожидания или оба этих средства защиты.

Когда в Zoom будет добавлена многофакторная аутентификация (MFA)?

MFA можно использовать уже сегодня с помощью любого поставщика удостоверений (IDP), поддерживающего систему единого входа (SSO), совместимую с SAML.

Соответствует ли Zoom требованиям HIPAA?

Да, мы можем помочь поставщикам медицинских услуг добиться соответствия требованиям Закона о мобильности и подотчетности медицинского страхования (HIPAA). Мы предлагаем определенные возможности, позволяющие создать среду, соответствующую требованиям HIPAA, например, запрет записей и создание соглашений делового партнерства (BAA). Мы предусмотрели эти возможности в Zoom еще до начала пандемии COVID-19. Свяжитесь с нами, и мы поможем вам с настройкой.

Существует ли способ защитить материалы вебинаров от ПО, осуществляющего захват экрана?

Zoom предлагает функции «водяных знаков». В ходе демонстрации экрана информация, позволяющая идентифицировать участников, будет фиксироваться на каждом создаваемом ими снимке экрана и позволит найти пользователя, допустившего утечку материалов. Мы также предлагаем функционал аудиометок, который позволяет защитить конференции от скрытой записи и выявить пользователей, выложивших звукозапись в общий доступ.

Когда завершится 90-дневный план?

90-дневный период истечет 1 июля, но наше стремление к обеспечению безопасности и конфиденциальности навсегда останется важнейшим приоритетом и неотъемлемой частью философии нашей компании.

Можно ли управлять виртуальными фонами на уровне учетной записи или группы?

Мы работаем над возможностью, которая позволит администраторам управлять используемыми виртуальными фонами. Администратор может выгрузить предварительно одобренные фоны и разрешить организаторам / участникам использовать только их. Мы будем заниматься разработкой этой функции в течение нескольких следующих недель.

Как вы планируете поддерживать удовлетворенность клиентов в ходе расширения платформы Zoom?

Эрик говорит, что все ограничивается культурой нашей компании, в основе которой лежит забота о наших клиентах. Мы по-прежнему будем решать проблемы, связанные с бизнес-коммуникацией наших клиентов, и принимать осторожные решения на основании обратной связи в сфере обслуживания и поддержки.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес answers@zoom.us. И обязательно подпишитесь на вебинар «Спросите Эрика», который пройдет на следующей неделе.

Скачать эту статью в формате PDF

 

Не забудьте поделиться этой публикацией