Новости компании
Безопасность и конфиденциальность
Итоги вебинара — отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 1 июля
«Спроси у Эрика что-нибудь» на этой неделе было сосредоточено на прогрессе, достигнутом нами с момента запуска нашего плана безопасности, и на нашем пути вперед.
Обновлено: November 06, 2020
Опубликовано: July 02, 2020
В этом блоге
Поделиться этой публикацией
Zoom
Так как мы приближаемся к завершению нашего 90-дневного плана по укреплению безопасности, вебинар «Спросите Эрика» на этой неделе был посвящен результатам, которых нам удалось достичь с момента запуска плана по укреплению безопасности, и дальнейшим действиям, в том числе выполненным ключевым обновлениям, статусам обязательств, данных нами перед лицом клиентов в части 90-дневного плана по укреплению безопасности, и обновлениям, связанным с советом директоров по вопросам информационной безопасности компании Zoom.
К генеральному директору компании Zoom Эрику С. Юаню присоединились операционный директор Апарна Бава, Одед Галь, директор по продукции компании Zoom, Гэри Соррентино, помощник ИТ-директора и председатель совета директоров по вопросам информационной безопасности, а также новый директор по вопросам информационной безопасности Джейсон Ли.
К сеансу вопросов и ответов присоединились технический директор Брендан Иттелсон, Макс Крон, руководитель отдела инженерных разработок в области безопасности, и Линн Холанд, директор по надзору за нормативно-правовыми соответствиями и вопросами этики.
Обновления продуктов
Одед представил быструю сводку по ключевым обновлениям платформы, выпущенным за последние 90 дней, в число которых вошли следующие.
Выпуск версии Zoom 5.0. 27 апреля мы выпустили версию Zoom 5.0 с поддержкой 256-разрядного шифрования AES GCM, одного их самых безопасных стандартов шифрования, используемых сегодня. Переход к 256-разрядному шифрованию AES GCM для учетных записей в рамках всей системы произошел 30 мая 2020 года.
Новый значок «Безопасность» в интерфейсе пользователя. Значок «Безопасность» дает возможность организаторам и соорганизаторам получить доступ к важным элементам управления безопасностью в конференции, в том числе к возможностям блокировать конференцию и включать залы ожидания, а также позволяет управлять функциями участников — функцией демонстрации экрана, возможностью участвовать в чате, а также переименовывать себя и отключать свой звук.
Функция «Сообщить о пользователе». Организаторы и соорганизаторы теперь могут сообщать о пользователях и происшествиях, связанных с вмешательствами в конференцию, группе доверия и безопасности Zoom, которая рассмотрит потенциальное ненадлежащее использование платформы и примет соответствующие меры.
Обновлены настройки безопасности конференций по умолчанию. Код-пароли, залы ожидания и возможность демонстрации экрана только для организатора включены по умолчанию для бесплатных / базовых учетных записей и профессиональных учетных записей с одной лицензией. Для конференций, организуемых пользователями бесплатных / базовых учетных записей, были принудительно включены код-пароли.
Настраиваемая маршрутизация данных. Чтобы дать организаторам лучший контроль над их данными, 18 апреля мы реализовали возможность маршрутизации данных. Эта функция доступна для клиентов с платными учетными записями и позволяет задать настройки центра обработки данных (ЦОД). Администраторы и владельцы платных учетных записей Zoom могут выбирать регионы (или отказываться от использования определенных регионов) ЦОД на уровне учетной записи, группы, пользователя или конференции.
Для разработки новых возможностей в будущем у нас реализованы механизмы, позволяющие убедиться в том, что безопасность и конфиденциальность будут оставаться приоритетными направлениями на каждом этапе развития наших продуктов и функций.
Обновления в совете директоров по вопросам информационной безопасности с участием гостей
Гэри побеседовал с двумя участниками совета директоров по вопросам информационной безопасности — Джеймсом Широй, ИТ-директором в мире и США, компания PwC, и Саем Фентоном, директором по вопросам безопасности и конфиденциальности и старшим вице-президентом по международной инфраструктуре, компания Ralph Lauren, чтобы раскрыть подробности о сфере полномочий и конференциях совета. Ниже вы найдете несколько цитат из этого интервью.
Сай, почему Вы решили войти в совет директоров по вопросам информационной безопасности Zoom?
«Это решение далось мне легко. Zoom стал основным и важнейшим элементом в нашем наборе инструментов для обслуживания конечных пользователей. До пандемии мы использовали Zoom в качестве инструмента для конференций; а сейчас применяем его по несколько раз в день практически для каждой конференции. Компания Zoom — наш очень важный поставщик услуг, и возможность внести свой вклад в его развитие и получить дополнительные знания о стратегическом плане были ключевой возможностью».
Джеймс, как вы считаете, как прошел 90-дневный план?
«Я участвовал в нескольких крупных процессах преобразования корпоративных систем безопасности, и, думаю, важно помнить о том, что это своего рода путь. На мой взгляд, уникальность случая Zoom заключается в том, что этот путь проходил в общедоступном пространстве, в реальном мире, в реальном времени. В таком ключе, я думаю, все прошло очень хорошо».
Представляем Джейсона Ли, директора по вопросам информационной безопасности
Эрик представил Джейсона Ли, нового директора по вопросам информационной безопасности компании Zoom. Ли имеет 20-летний опыт работы в сфере информационной безопасности и эксплуатации критически важных сервисов. Ранее он занимал должность старшего вице-президента по операциям безопасности в Salesforce. В его обязанности входила организация международной доставки критически важных многоцелевых операций безопасности клиентам и сотрудникам, в том числе безопасность корпоративной сети и систем и группа наступательной безопасности.
«Я невероятно рад присоединиться к талантливому коллективу Zoom, — говорит Джейсон. Последние достижения в области безопасности были очень впечатляющими, поэтому мне не терпится узнать, что ждет нас в будущем».
Рассмотрение обязательств в рамках 90-дневного плана по укреплению безопасности
Апарна Бава, операционный директор компании Zoom, перечислила обязательства, которые мы дали нашим клиентам в рамках 90-дневного плана по укреплению безопасности:
С 1 апреля прекратить расширение функционала и перевести все инженерные ресурсы на решение важнейших вопросов в области обеспечения доверия, безопасности и конфиденциальности.
Провести комплексную проверку с привлечением независимых экспертов и репрезентативных пользователей, чтобы убедиться в безопасности и конфиденциальности всех новых сценариев использования.
Мы подготовим отчет о прозрачности, в котором будет приведена информация по запросам данных, записей или содержимого.
Усовершенствовать существующую премиальную программу по выявлению ошибок.
Организовать совет директоров по вопросам информационной безопасности.
Запустить серию тестов на проникновение методом белого ящика для дальнейшего выявления и устранения проблем.
Проводить еженедельные вебинары по средам для информирования сообщества о новостях в сфере обеспечения конфиденциальности и безопасности.
Что было самым сложным при исполнении 90-дневного плана по обеспечению безопасности, и что вы узнали, как руководитель?
Эрик объяснил, что сервис Zoom изначально был нацелен на корпоративных пользователей, поэтому удовлетворение потребностей новых пользователей в отношении конфиденциальности и безопасности, а также их уникальные сценарии использования поставили перед компанией крайне сложную задачу. Кроме того, за это время он понял, что Zoom может справиться с любой сложностью, пока компания прислушивается к клиентам, поддерживает прозрачность и стремится построить лучшую платформу из возможных.
Перезапустит ли Zoom процесс разработки функций, не связанных с безопасностью, после окончания 90-дневного плана по укреплению безопасности?
Безопасность является важнейшим приоритетом в деятельности компании Zoom. Мы продолжим работу над функциями, не связанными с безопасностью, которые оказались замороженными на 90 дней, а также займемся разработкой новых функций и продуктов, отвечающих деловым потребностям пользователей сейчас и в будущем.
Можно ли задать обязательные настройки безопасности на уровне группы, а не на уровне учетной записи?
Да. Их можно задать на уровне учетной записи, группы или пользователя.
Как директор по вопросам информационной безопасности может эффективно донести рекомендации в сфере обеспечения безопасности до конечных пользователей?
Приглашенный директор по вопросам информационной безопасности Сай Фентон объяснил, что наилучший способ донести меры обеспечения безопасности до сотрудников на корпоративном уровне — разработать надежную образовательную программу в сфере безопасности и убедиться, что сотрудники понимают важность обеспечения безопасности; для этого необходимо обсудить с ними риски в области безопасности, с которыми они сталкиваются, соответствующие меры защиты от этих рисков и роль безопасности в повседневных рабочих процессах.
Почему компания Zoom опубликовала руководство по обработке запросов со стороны государственных органов?
Апарна объяснила, что компания Zoom опубликовала это руководство в рамках непрерывного стремления к открытости и прозрачности рабочих методов компании. В представлении компании это план взаимодействия государственных органов с компанией Zoom, который включает соответствующую контактную информацию, а также критерии и процессы, используемые компанией Zoom для обработки различных запросов со стороны государственных органов.
Как можно в целом описать подход компании Zoom к безопасности?
Джейсон объяснил, что он оформит состояние безопасности Zoom с помощью отраслевых стандартов и общедоступных концепций, чтобы разъяснить обстоятельства, связанные с функциями и развитием состояния безопасности Zoom.
Могут ли системные администраторы увидеть версии клиентов, которые используют их пользователи?
Системные администраторы могут перейти в раздел управления пользователями в своих панелях управления и нажать на значок с шестеренкой в верхнем правом углу экрана, чтобы просмотреть дополнительный столбец, в котором отображаются версии клиентов. Администраторы на тарифных планах «Бизнес» или аналогичных могут перейти в панель управления Zoom, где находится график, который показывает распределение версий клиентов в их учетной записи. Они также могут перейти на вкладку конференций и открыть метаданные любой конференции, чтобы просмотреть версии клиентов, используемых участниками.
По мере того, как все больше компаний переходят на облачные сервисы, как можно лучше всего провести оценку поставщиков и привлечь их к ответственности за кибербезопасность?
Джейсон объяснил, что он проверяет текущий и исторический уровень инновационности определенного поставщика, а также уровень руководящего состава организации. Кроме того, он обращается к другим директорам по вопросам информационной безопасности по поводу их опыта работы с этой организацией. Сай добавил, что важно, чтобы организация была прозрачной при устранении проблем и решении сложных задач.
Благодарим за поддержку
Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.
Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь: