Отчет генерального директора: 90 дней прошло, что ждет Zoom в будущем?

Отчет генерального директора: 90 дней прошло, что ждет Zoom в будущем?

В течение первых нескольких месяцев 2020 года команда Zoom работала не покладая рук, чтобы справиться с колоссальным приростом численности принципиально новых типов пользователей нашей платформы. Внезапный и внушительный рост спроса на наши ресурсы не был похож ни на что, с чем сталкивались другие компании. В конце марта мы поняли, что наша единственная миссия — предоставлять безотказные видеокоммуникации сотням миллионов участников конференций каждый день — должна содержать эквивалентное стремление к обеспечению безопасности и конфиденциальности.Это те области, где мы должны были приложить больше усилий.

1 апреля 2020 года мы дали публичное обещание внести ряд усовершенствований в области безопасности и конфиденциальности нашего сервиса. Выпущенная в тот день 90-дневная программа позволила нам переориентироваться на 7 обязательств в области безопасности и конфиденциальности, ставших неотъемлемой частью философии компании Zoom. Сегодня я расскажу вам об изменениях в состоянии этих обязательств, а также поделюсь с вами предстоящими планами.

Обязательство № 1. С 1 апреля прекратить расширение функционала и перевести все инженерные ресурсы на решение важнейших вопросов в области обеспечения доверия, безопасности и конфиденциальности.

Состояние. Мы прекратили разработку всех функций, не связанных с конфиденциальностью или безопасностью, на 90 дней. Благодаря тому, что все усилия наших инженеров и специалистов по продукции были нацелены на решение этих задач, нам удалось реализовать более 100 функций, включая следующие.

  • Zoom 5.0
    • 256-разрядное шифрование GCM (доступное всем пользователям — платным и бесплатным)
    • Обновления пользовательского интерфейса — значок «Безопасность», зеленый щит шифрования с местоположением ЦОД по клику
    • Функция «Сообщить о пользователе»
    • Параметры конференций по умолчанию — пароль, зал ожидания и ограниченная демонстрация экрана
    • Прочие функции — возможность для организатора отключить вход с нескольких устройств, согласие на включение звука, истечение срока хранения записей в облаке, усовершенствованные элементы управления в чате Zoom и т. д.
  • Покупка стартапа Keybase и начало разработки системы сквозного шифрования (для всех пользователей — платных и бесплатных)
  • Добавлена настраиваемая маршрутизация данных по географическому региону

На будущее у нас реализованы механизмы, позволяющие убедиться в том, что безопасность и конфиденциальность будут оставаться приоритетными направлениями на каждом этапе развития наших продуктов и функций.

  • Этап проектирования: требования безопасности, оценка рисков, моделирование угроз
  • Сборка: руководства по написанию безопасного кода, сканирование с функцией самообслуживания, инструменты непрерывной интеграции и развертывания
  • Тестирование: тестирование безопасности, автоматизированное исполнение тестов, веб-инструменты тестирования
  • Предварительное развертывание (стейдж): надежное конфигурирование, мониторинг целостности, проверка требований
  • Производство: мониторинг безопасности системы, состояние системы, ландшафт угроз

Обязательство № 2. Провести комплексную проверку с привлечением независимых экспертов и репрезентативных пользователей, чтобы убедиться в безопасности и конфиденциальности всех новых сценариев использования.

Состояние. Мы привлекли группу сторонних экспертов для анализа и усовершенствования наших продуктов, методик и политик, в том числе экспертную группу совета директоров по вопросам информационной безопасности, Лею Кисснер, Алекса Стамоса, компании Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Центр демократии и проблем информационных технологий и прочие организации, работающие в сфере конфиденциальности, безопасности и учета индивидуальных особенностей в коллективе. Все вышеперечисленные стороны внесли неоценимый вклад, и мы очень благодарны им за поддержку.

Обязательство № 3. Подготовить отчет о прозрачности, в котором будет приведена информация по запросам данных, записей или содержимого.

Состояние. Мы добились существенного прогресса в вопросах определения структуры и подхода к формированию отчета о прозрачности, в котором будет приведена информация, связанная с получаемыми компанией Zoom запросами на предоставление данных, записей и содержимого. Мы планируем предоставить фискальные данные за второй квартал в первом отчете чуть позже в этом году. Тем временем, мы недавно выпустили руководство по обработке запросов со стороны государственных органов. Кроме того, мы обновили политики конфиденциальности, чтобы их было проще понять, и добавили отдельное заявление о праве на конфиденциальность согласно положениям законов шт. Калифорния. Эти документы можно найти по адресу zoom.us/ru-ru/privacy-and-legal.html.

Обязательство № 4. Усовершенствовать существующую премиальную программу по выявлению ошибок.

Состояние. Мы разработали центральный репозиторий ошибок и сопутствующие рабочие процессы. Репозиторий принимает отчеты об уязвимостях из таких источников, как HackerOne, Bugcrowd и security@zoom.us (последний не требует подписания соглашения о неразглашении), с расстановкой приоритетов при рассмотрении через Praetorian. Мы внедрили непрерывный процесс анализа с ежедневными планерками и усовершенствовали координацию с инженерами-исследователями проблем безопасности и сторонними экспертами. Мы также наняли руководителя отдела уязвимостей и премиальной программы по выявлению ошибок и несколько дополнительных инженеров по безопасности приложений, а сейчас находимся в процессе найма дополнительных инженеров, специализирующихся на устранении уязвимостей. Кроме того, мы постарались уменьшить наше время реакции. В целом, наша премиальная программа по выявлению ошибок работает как положено и будет укрепляться по мере реализации наших рекрутинговых целей. Мы благодарим компанию Luta Security за оказанную помощь в этом процессе.

Обязательство № 5. Создать совет директоров по вопросам информационной безопасности в партнерстве с представителями других компаний отрасли для поддержания непрерывного диалога о рекомендациях в сфере обеспечения безопасности и конфиденциальности.

Состояние. Мы создали совет директоров по вопросам информационной безопасности, в который вошли 36 директоров по вопросам информационной безопасности из различных отраслей, в том числе из компаний SentinelOne, HSBC, Sanofi и Аризонского университета. За прошедшие три месяца совет под руководством помощника международного ИТ-директора компании Zoom Гэри Соррентино провел четыре заседания и рассмотрел такие важные вопросы, как выбор регионального центра обработки данных, шифрование, аутентификация конференций и такие функции, как «Сообщить о пользователе, «Пароли» и «Залы ожидания». Создание совета оказалось очень успешной идеей, поэтому мы расширим эту программу с помощью «круглых столов» — интерактивных дискуссий между клиентами директоров по вопросам информационной безопасности и нашими руководителями групп безопасности, призванных разъяснить меры, которые были приняты компанией Zoom и будут приняты в будущем для обеспечения безопасности и конфиденциальности платформы. Для получения дополнительной информации заинтересованные директора по вопросам информационной безопасности и ИТ-директора могут связаться со своими специалистами по работе с клиентами Zoom.

Обязательство № 6. Запустить серию тестов на проникновение методом белого ящика для дальнейшего выявления и устранения проблем.

Состояние. Компания Zoom привлекла несколько организаций для проведения анализа платформы — Trail of Bits, NCC Group и Bishop Fox. Проводимые ими работы охватывали следующие аспекты.

  • Производственная среда Zoom — как публичные, так и совмещенные ЦОД:
    • Облачная конфигурация
    • Пространство внешних IP-адресов
    • Внутренняя производственная сеть
  • Основное интернет-приложение Zoom и корпоративная сеть Zoom:
    • Внутренняя сеть
    • Внешний периметр
  • Общедоступный API для распространенных клиентов
    • Мобильные клиенты
    • Клиенты для ПК

В качестве основы программы безопасности компания Zoom полагается на непрерывное независимое тестирование на проникновение методом белого ящика.

Обязательство № 7. Проводить еженедельные вебинары по средам для информирования сообщества о новостях в сфере обеспечения конфиденциальности и безопасности.

Состояние. Всего с 1 апреля по средам мы провели 13 семинаров, включая сегодняшний. Эти виртуальные мероприятия проходили с участием нескольких наших директоров и консультантов, которые отвечали на вопросы участников в прямом эфире. Кроме того, каждую среду мы делились выводами и записями вебинаров в нашем блоге. Мы продолжим проводить эти вебинары, следующий из них состоится 15 июля, а затем перейдем на ежемесячную основу.

Прочие важные обновления

Мы предприняли несколько важных шагов:

  • С 1 апреля мы расширили и изменили руководящий состав компании следующим образом.
    • Джейсон Ли — директор по вопросам информационной безопасности.
    • Апарна Бава была назначена операционным директором и теперь руководит мероприятиями в сфере обеспечения безопасности компании Zoom
    • Линн Холанд, заместитель генерального юрисконсульта и директор по надзору за нормативно-правовым соответствием и вопросам этики, также была переведена на должность руководителя службы защиты информации.
    • Джош Калмер — руководитель по глобальной государственной политике и связям с правительством.
    • Джинни Ли, первый помощник главного юрисконсульта, конфиденциальность
    • Мара Дейвис, первый помощник главного юрисконсульта, соответствие требованиям и этика
    • Руководитель отдела уязвимостей и премиальной программы по выявлению ошибок, вступает в должность с 13 июля.
    • Энди Грант, руководитель отдела наступательной безопасности, вступает в должность с 13 июля.
  • Zoom Phone был добавлен в сервис Zoom для государственных учреждений, который уже утвержден со стороны Федеральной программы управления рисками и авторизацией (FedRAMP) США.
  • Мы по-прежнему стремимся значительно расширить группу инженеров, размещенных на территории США, для более эффективного использования новых офисов в Финиксе, шт. Аризона, и Питтсбурге, шт. Пенсильвания.

Что будет дальше?

Этот период принес нашей компании значимые изменения и позволил сделать безопасность и конфиденциальность основным приоритетом нашей деятельности в стремлении быть достойными доверия, оказанного нашими клиентами. Я очень горжусь той ролью, которую сервис Zoom сыграл в объединении мира во время кризиса, и достижениями нашего коллектива за последние 90 дней в сфере укрепления безопасности нашей платформы.

Но мы не можем и не будем останавливаться на достигнутом. Конфиденциальность и безопасность стали постоянными приоритетами для компании Zoom, и этот 90-дневный период был всего лишь первым, хоть и плодотворным, этапом. В этом отчете я представил информацию о новых процессах и людях, которые помогут Zoom стать самой безотказной и надежной платформой видеокоммуникаций в мире.

Я хочу поблагодарить наших клиентов за поддержку, терпение и доверие. Основная ценность нашей компании — это забота, и мы надеемся, что за прошедшие 90 дней мы подкрепили эту ценность делом, и продолжим доказывать наше стремление будущими действиями.

Не забудьте поделиться этой публикацией