執行長報告:90 天計畫結束,Zoom 的下一步

執行長報告:90 天計畫結束,Zoom 的下一步

在 2020 年的前幾個月,Zoom 團隊夜以繼日支援我們平台上大量出現的新使用者和不同類型使用者。外界對於我們系統的需求量突然大增,大多數公司從未經歷過如此的情況。隨著 3 月即將結束,我們意識到,對於數億位日常與會者提供無摩擦視訊通訊的特別使命需要同等關注安全性和隱私權,我們需要在這兩方面做更多努力。

2020 年 4 月 1 日,我們承諾提供多項安全性與隱私權方面的強化功能。當天我們推出 90 日計畫,再度強調將 Zoom 核心精神中永存的 7 大承諾落實在安全性與隱私權方面。我今天將提供這其中每一項承諾的狀態更新,並說明我們未來的努力方向。

1 項承諾:從 4 月 1 日起凍結功能,並轉移我們所有工程資源以專注於處理最大的信任、安全和隱私權問題。

狀態:針對與隱私權、安全或安全性無關的所有功能,我們已採取 90 日凍結。藉助我們在這個方向適用的所有工程和產品資源,我們發佈了 100 多種功能,其中包括:

  • Zoom 5.0
    • AES 256 GCM 加密 (適用於所有使用者,包括免費和付費)
    • UI 更新 – 安全性圖示,綠色加密保護盾,帶有可單擊進入的資料中心位置
    • 檢舉使用者
    • 會議預設 – 密碼、等候室和有限的畫面分享
    • 其他功能 – 主持人停用多個裝置登入、取消靜音同意、雲端錄製到期,更嚴格的 Zoom Chat 控制項等等
  • 併購 Keybase,並開始建立端對端加密 (對於所有使用者,包括免費和付費)
  • 按照地理位置提供自訂資料路由

展望未來,我們已經建立機制,確保安全性和隱私權在我們產品和功能開發的每個階段都是優先事項:

  • 設計階段:安全要求、風險評估、威脅建模
  • 建立:安全代碼準則、自助掃描、CI/CD 工具
  • 測試:安全測試、自動測試執行、網路測試工具
  • 階段:安全配置、完整性監控、驗證需求
  • 生產:監控我們系統的安全性、系統健全狀況、威脅態勢

2 項承諾:與第三方專家和代表使用者進行全面審查,深入瞭解並確保我們所有新使用案例的安全性和隱私權。

狀態:我們與第三方專家小組合作進行審查,並強化我們的產品、實務作法和政策,包括我們的 CISO 諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy and Technology,以及隱私權、安全性及包容性領域的其他組織。這份名單中的每個人都做出重大的貢獻,我們相當感謝這些人的協助。

3 項承諾:準備透明度報告,詳盡說明與資料、記錄或內容請求有關的資訊。

狀態:我們已在定義透明度報告架構與方法上取得重大進展,該報告詳盡說明與 Zoom 收到的資料、記錄或內容請求有關的資訊。我們期盼在今年稍晚的首次報告中,提供會計年度第 2 季的資料。同時,我們最近針對如何回應政府要求製作了指南。我們也將我們的隱私權政策加以更新,主要是為了讓這些政策更容易被理解,並新增個別的加州隱私權聲明。您可以在 zoom.com/zh-tw/privacy-and-legal 找到這些文件。

4 項承諾:強化我們目前的錯誤賞金計畫。

狀態:我們已研擬集中錯誤存放庫及相關的工作流程。這個存放庫接受 HackerOne、Bugcrowd 和 security@zoom.us (後者不需要 NDA) 所提供的透過 Praetorian 進行分類的弱點報告。我們透過每日會議建立持續的審查程序,並改善與安全研究人員和第三方評估人員的協調。我們也聘用弱點與錯誤賞金主管、增額多位應用程式安全工程師,同時正在招募更多安全性工程師,這些人員均將專職處理弱點事宜。同時,我們也專注於改善回應時間。整體而言,我們的錯誤賞金程序相當明確,而且將隨著我們達成招募目標而變得更強大。我們感謝 Luta Security 在這個過程中提供的協助。

5 項承諾:與業界領先的 CISO 合作,成立 CISO 委員會,促進有關安全性和隱私權最佳做法的持續對話。

狀態:我們已成立 CISO 委員會,成員包括 36 位來自SentinelOne、Arizona State University、HSBC 及 Sanofi 等不同產業的 CISO。本委員會由本公司副資訊長 Gary Sorrentino 領導,在過去三個月中已集會四次商討重要事項,例如:區域資料中心選擇、加密、會議驗證,以及檢舉使用者、密碼和等候室等功能。事實證明,本委員會大獲成功,我們將協同 CISO 圓桌會議拓展此方案——在 CISO 客戶和我們的安全團隊領導人之間進行互動交流,了解 Zoom 已經採行和即將採行的措施,以確保我們平台的安全性和隱私權。有興趣的資訊安全長和資訊長可向各自的 Zoom 客戶主管諮詢詳情。

6 項承諾:進行一系列同步白箱滲透測試,以進一步發現並解決問題。

狀態:Zoom 邀集 Trail of Bits、NCC Group 與 Bishop Fox 等多家公司共同審查我們的整體平台。所涵蓋的工作範圍:

  • Zoom 生產環境,公共與代管資料中心兩者:
    • 雲端配置
    • 外部 IP 空間
    • 內部生產網路
  • Zoom 核心網路應用程式和 Zoom 企業網路:
    • 內部網路
    • 外部週邊
  • 共同用戶端公共 API
    • 行動用戶端
    • 桌面用戶端

Zoom 致力於持續進行第三方滲透測試,以作為安全計畫之基礎。

7 項承諾:每週三舉行每週一次的網路研討會,向我們的社群提供隱私權和安全性更新。

狀態:自 4 月 1 日起的每週三,包括今天的網路研討會在內,我們總共已主辦了 13 次網路研討會。這些線上虛擬活動邀請到我們的數名高層主管和顧問,他們在直播中接受觀眾的現場提問。每週三,我們也在網路日誌中分享網路研討會的重點摘要和錄製內容。我們將會持續主辦這些網路研討會,下一次會是在 7 月 15 日,然後即轉為月會。

其他關鍵更新

我們也採取了其他幾項值得關注的步驟:

  • 我們從 4 月 1 日起有多位關鍵領導人員上任或轉調,包括:
    • Aparna Bawa 被提名為營運長,現監管 Zoom 安全事務
    • Lynn Haaland 為助理首席顧問和法遵倫理長,同時也被提名為隱私長
    • Ginny Lee,隱私權副首席顧問
    • Mara Davis,法遵倫理副首席顧問
    • 弱點與錯誤賞金主管,自 7 月 13 日起
    • Andy Grant,防禦安全主管,自 7 月 13 日起
  • Zoom Phone 加入 Zoom 政府解決方案,此調整已獲得美國聯邦風險與授權管理計畫 (FedRAM) 授權
  • 我們仍致力於擴編美國工程團隊,以支援亞利桑那州鳳凰城和賓州匹茲堡新辦公室激增的使用量。

對未來之展望

這段期間為我們公司帶來了極有意義的變化,且讓平台的安全性和穩私權成為我們的工作重心,因為我們致力使客戶對我們的信任具有價值。我為 Zoom 在危機中與世界連接所扮演的角色,以及為提高我們平台的安全性,對於我們團隊在過去 90 天中所完成的一切,感到自豪和戒慎惶恐。

但我們不能也不會就此停止。隱私權和安全性對 Zoom 來說始終都是優先重點,雖然我們享有這 90 天努力所帶來的美好結果,但這只是第一步。在這份報告中,我提供了加入我們未來旅程的新程序和人員的相關資訊,這些新人事將協助 Zoom 成為全世界使用最順暢,最安全的視訊通訊平台。

感謝我們的使用者所付出的支持、耐心與信任。我們公司的核心價值是關懷,希望我們過去這 90 天內的行動已展示出這份價值,我們也將會在未來的行動中持續如此表現。

不要忘記分享此篇發文