Отчет генерального директора: 90 дней прошло, что ждет Zoom в будущем?

Отчет генерального директора: 90 дней прошло, что ждет Zoom в будущем?

В течение первых нескольких месяцев 2020 года команда Zoom работала не покладая рук, чтобы справиться с колоссальным притоком принципиально новых типов пользователей нашей платформы. Внезапный и внушительный рост спроса на наши ресурсы не был похож ни на что, с чем сталкивались другие компании. В конце марта мы поняли, что наша единственная миссия — предоставлять безотказные видеокоммуникации сотням миллионов участников конференций каждый день — должна стать шире. Теперь компании требовалось в равной степени сфокусироваться на безопасности и конфиденциальности. Именно в этих направлениях нам нужно было прилагать больше усилий. 

1 апреля 2020 года мы дали публичное обещание внести ряд усовершенствований в области безопасности и конфиденциальности нашего сервиса. Выпущенная в тот день 90-дневная программа позволила нам переориентироваться на 7 обязательств в области безопасности и конфиденциальности, ставших неотъемлемой частью философии компании Zoom. Сегодня я расскажу о том, как обстоят дела по каждому из обязательств, а также поделюсь с вами предстоящими планами. 

Обязательство №1. С 1 апреля приостановить расширение набора функций и перевести все инженерные ресурсы на решение важнейших вопросов, связанных с доверием, безопасностью и конфиденциальностью.

Отчет об успехах. Мы на 90 дней прекратили разработку всех функций, не связанных с конфиденциальностью или безопасностью. Благодаря тому, что все наши инженеры и специалисты по продукции упорно работали над поставленными задачами, нам удалось реализовать более 100 функций и проектов, среди которых:

  • Zoom 5.0
    • Перевод всех конференций на 256-разрядное шифрование AES в режиме GCM (для всех пользователей — платных и бесплатных) Подробности по ссылке https://support.zoom.us/hc/ru/articles/360043555772
    • Обновления пользовательского интерфейса — значок «Безопасность», зеленый щит шифрования и выбор расположения центра обработки данных по клику
    • Функция «Сообщить о пользователе»
    • Параметры конференций по умолчанию — пароль, зал ожидания и ограниченная демонстрация экрана
    • Прочие функции — возможность для организатора отключить вход с нескольких устройств, согласие на включение звука, истечение срока хранения записей в облаке, усовершенствованные элементы управления в чате Zoom и т. д.
  • Покупка стартапа Keybase и начало разработки системы сквозного шифрования (для всех пользователей — платных и бесплатных)
  • Добавление настраиваемой маршрутизации данных по географическому региону

На будущее у нас реализованы механизмы, позволяющие убедиться в том, что безопасность и конфиденциальность будут оставаться приоритетными направлениями на каждом этапе развития наших продуктов и функций.

  • Этап проектирования: требования безопасности, оценка рисков, моделирование угроз. 
  • Этап сборки: руководства по написанию безопасного кода, сканирование с функцией самообслуживания, инструменты непрерывной интеграции и развертывания.
  • Этап тестирования: тестирование безопасности, автоматизированное исполнение тестов, веб-инструменты тестирования.
  • Этап предварительного развертывания: надежное конфигурирование, мониторинг целостности, проверка требований
  • Этап производства: мониторинг безопасности системы, состояние системы, ландшафт угроз 

Обязательство №2. Провести комплексную проверку с привлечением независимых экспертов и типичных пользователей, чтобы убедиться в безопасности и конфиденциальности всех новых сценариев использования.

Отчет об успехах. Мы привлекли группу сторонних экспертов для анализа и усовершенствования наших продуктов, методик и политик, в том числе экспертную группу совета директоров по вопросам информационной безопасности, Лею Кисснер, Алекса Стамоса, компании Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Центр демократии и технологий и прочие организации, работающие в сфере конфиденциальности, безопасности и учета индивидуальных особенностей в коллективе. Все вышеперечисленные стороны внесли неоценимый вклад, и мы очень благодарны им за поддержку. 

Обязательство №3. Подготовить отчет о прозрачности, в котором будет приведена информация по запросам данных, записей или контента.

Отчет об успехах. Мы добились существенного прогресса в вопросах определения структуры и подхода к формированию отчета о прозрачности, в котором будет приведена информация, связанная с получаемыми компанией Zoom запросами на предоставление данных, записей и контента. Позднее в этом году мы планируем предоставить фискальные данные за второй квартал в первом отчете. За это время нами было выпущено руководство по реагированию на запросы со стороны государственных органов. Кроме того, мы обновили политики конфиденциальности, чтобы их было проще понимать, и добавили отдельное заявление о праве на конфиденциальность согласно положениям Закона штата Калифорния о защите конфиденциальности потребителей. Эти документы можно найти по адресу zoom.us/ru-ru/privacy-and-legal.html.

Обязательство №4. Усовершенствовать существующую премиальную программу по выявлению ошибок.

Отчет об успехах. Мы разработали центральный архив ошибок и сопутствующие рабочие процессы. Арив принимает отчеты об уязвимостях из таких источников, как HackerOne, Bugcrowd и security@zoom.us (последний не требует подписания соглашения о неразглашении), с расстановкой приоритетов при рассмотрении через Praetorian. Мы внедрили непрерывный процесс анализа с ежедневными совещаниями и усовершенствовали координацию с инженерами-исследователями проблем безопасности и сторонними экспертами. Мы также наняли руководителя отдела уязвимостей и премиальной программы по выявлению ошибок и несколько дополнительных инженеров по безопасности приложений, а сейчас расширяем штат инженеров, специализирующихся на устранении уязвимостей. Кроме того, мы постарались уменьшить наше время реагирования. В целом, наша премиальная программа по выявлению ошибок работает как положено и будет укрепляться по мере реализации наших рекрутинговых целей. Мы благодарим компанию Luta Security за оказанную помощь в этом процессе.

Обязательство №5. Создать совет директоров по вопросам информационной безопасности в партнерстве с представителями других компаний отрасли для поддержания непрерывного диалога о рекомендациях в сфере безопасности и конфиденциальности.

Отчет об успехах. Мы создали совет директоров по вопросам информационной безопасности, в который вошли 36 директоров по вопросам информационной безопасности из различных отраслей, в том числе из компаний SentinelOne, HSBC, Sanofi и Аризонского университета. За прошедшие три месяца совет под руководством помощника международного ИТ-директора компании Zoom Гэри Соррентино провел четыре заседания и рассмотрел такие важные вопросы, как выбор регионального центра обработки данных, шифрование, аутентификация конференций и такие функции, как «Сообщить о пользователе, «Пароли» и «Залы ожидания». Создание совета оказалось очень успешной идеей, поэтому мы расширим эту программу с помощью «круглых столов» — интерактивных дискуссий между клиентами директоров по вопросам информационной безопасности и нашими руководителями групп безопасности, призванных разъяснить меры, которые были приняты компанией Zoom и будут приняты в будущем для обеспечения безопасности и конфиденциальности платформы. Для получения дополнительной информации заинтересованные директора по вопросам информационной безопасности и ИТ-директора могут связаться со своими специалистами по работе с клиентами Zoom.  

Обязательство №6. Запустить серию тестов на проникновение методом белого ящика для дальнейшего выявления и устранения проблем.

Отчет об успехах. Компания Zoom привлекла несколько организаций для проведения анализа платформы, среди них — Trail of Bits, NCC Group и Bishop Fox. Проводимые ими работы охватывали следующие аспекты:

  • Производственная среда Zoom — как публичные, так и совмещенные ЦОД: 
    • облачная конфигурация;
    • пространство внешних IP-адресов;
    • внутренняя производственная сеть.
  • Основное интернет-приложение Zoom и корпоративная сеть Zoom:
    • внутренняя сеть;
    • внешний периметр.
  • Общедоступный API для распространенных клиентов:
    • мобильные клиенты;
    • клиенты для ПК.

В качестве основы программы безопасности компания Zoom полагается на непрерывное независимое тестирование на проникновение методом белого ящика. 

Обязательство №7. Проводить еженедельные вебинары по средам для информирования сообщества о новостях в сфере обеспечения конфиденциальности и безопасности.

Отчет об успехах. Всего с 1 апреля по средам мы провели 13 семинаров, включая сегодняшний. Эти виртуальные мероприятия проходили с участием нескольких наших директоров и консультантов, которые отвечали на вопросы участников в прямом эфире. Кроме того, каждую среду мы делились выводами и записями вебинаров в нашем блоге. Мы продолжим проводить эти вебинары. Следующий из них состоится 15 июля, а затем мы перейдем на ежемесячную основу. 

Прочие важные обновления

Мы предприняли несколько важных шагов:

  • С 1 апреля мы расширили и изменили руководящий состав компании следующим образом: 
    • Велчами Санкарлингам — президент по инженерным разработкам и продукции. 
    • Джейсон Ли — директор по вопросам информационной безопасности.
    • Дэмьен Хупер-Кемпбелл — директор по мультикультурализму и недискриминации.
    • Апарна Бава была назначена операционным директором и теперь руководит мероприятиями в сфере обеспечения безопасности компании Zoom.
    • Линн Холанд, заместитель генерального юрисконсульта и директор по надзору за нормативно-правовым соответствием и вопросам этики, также была переведена на должность руководителя службы защиты информации.
    • Г. Р. Макмастер — новый участник совета директоров Zoom.
    • Джош Калмер — руководитель по глобальной государственной политике и связям с правительством. 
    • Джинни Ли, первый помощник главного юрисконсульта, конфиденциальность. 
    • Мара Дейвис, первый помощник главного юрисконсульта, соответствие требованиям и этика.
    • Руководитель отдела уязвимостей и премиальной программы по выявлению ошибок, вступает в должность с 13 июля.
    • Энди Грант, руководитель отдела наступательной безопасности, вступает в должность с 13 июля.
  • Zoom Phone был добавлен в сервис Zoom для государственных учреждений, который уже утвержден со стороны Федеральной программы управления рисками и авторизацией (FedRAMP) США.
  • Мы по-прежнему стремимся значительно расширить группу инженеров, размещенных на территории США, для более эффективного использования новых офисов в Финиксе, шт. Аризона, и Питтсбурге, шт. Пенсильвания.

Что будет дальше?

Этот период принес нашей компании значимые изменения и позволил сделать безопасность и конфиденциальность основным приоритетом нашей деятельности в стремлении быть достойными доверия, оказанного нашими клиентами. Я очень горжусь той ролью, которую сервис Zoom сыграл в объединении мира во время кризиса, и достижениями нашего коллектива за последние 90 дней в сфере укрепления безопасности нашей платформы. 

Но мы не можем и не будем останавливаться на достигнутом. Конфиденциальность и безопасность стали постоянными приоритетами для компании Zoom, и этот 90-дневный период был всего лишь первым, хоть и плодотворным, этапом. В этом отчете я представил информацию о новых процессах и людях, которые помогут Zoom стать самой безотказной и надежной платформой видеокоммуникаций в мире.

Я хочу поблагодарить наших клиентов за поддержку, терпение и доверие. Основная ценность нашей компании — это забота, и мы надеемся, что за прошедшие 90 дней мы подкрепили эту ценность делом, и продолжим доказывать наше стремление будущими действиями.

Загрузить сводку по основным обновлениям в формате PDF

Не забудьте поделиться этой публикацией