Zoom MDI:n etäkokouksissa

Zoom on amerikkalaisen Zoom Video Communications, Inc:n videokokoussovellus etäkokousten pitämiseksi. Zoom julkaistiin vuonna 2011 ja se nousi suosituksi etäkokoustyökaluksi Suomessa koronapandemian aikana sen käytön helppouden ja yhteyden luotettavuuden ansiosta. Lisäksi etäfasilitointia helpottavia toimintoja ovat muun muassa:

  • pienryhmäkeskusteluihin jako Breakout Roomsien avulla
  • yhteinen Whiteboard yhteispiirtelyyn ja -ideointiin
  • puheenvuorojen pyytäminen Raise Handin avulla
  • yhtäaikaisten käyttäjien videokuvan näkyminen näytöllä
  • etäkokousvideon tallentaminen – vain asiakkaan kanssa erikseen sovittuna
  • pikaviestikeskustelun tallentaminen – vain asiakkaan kanssa erikseen sovittuna

Zoomin tietoturva

Uutisissa ja artikkeleissa on suosion myötä käsitelty Zoomin tietoturva-, tietosuoja- ja yksityisyysasioita. Me noudatamme Zoomin käytössä tiukkoja käyttösuosituksia näiden riskien hallitsemiseksi. Tietoturvassa meitä opastaa Opsec Oy. Tietoturvan ja yksityisyyden riskien minimoimiseksi noudata Zoom-etäkokouksissa näitä ohjeita:

  • päivitä Zoom-sovellus aina, kun päivitys on saatavilla
  • älä kirjaudu Facebook-tunnuksella tai Google-tunnuksella
  • osallistu etäkokoukseen selaimen kautta Google Chromella tai Mozilla Firefoxilla sovelluksen sijaan, jos et voi käyttää päivitettyä Zoom-sovellusta

Osallistujien rajaaminen

Sallimme liittymisen kokoukseen tarvittaessa vain tunnistetuille käyttäjille Only authenticated users can join -toiminnon avulla ja aiemmin osallistujille jaetun salasanan avulla. Tämän avulla Zoom-kokouksen ei pääse kutsumattomia vieraita, eikä kokouksia voida häiritä asiattomalla käytöksellä.

Muussa tapauksessa etäkokouksemme järjestetään ilman käyttäjän tunnistamista, jolloin etäkokoukseen osallistutaan pelkällä osallistumislinkillä ja salasanalla.

Huomionseuranta

Organisaation ulkopuolisten osallistujien aktiivisuus ei välity kokouksen järjestäjälleAttendee attention tracking -toiminto ei koske ns. avoimia tilaisuuksia, joissa osallistujat ovat eri organisaatioista – yksityisinä tai anonyymeinä osallistujina.

macOS-sovelluksen vanha haavoittuvuus

Zoom julkaisi korjatun sovelluksen macOS-sovelluksesta ti 9.7.2019. Vanhan haavoittuvuuden avulla hyökkääjä on voinut saada haltuunsa Apple-käyttäjien kameroita ja mikrofoneja. Haavoittuvuus julkaistiin heinäkuussa 2019 ja korjattiin pian sen jälkeen 9.7.2019.

iOS-sovelluksen tietojen välitys

Zoom julkaisi korjatun sovelluksen iOS-sovelluksesta pe 27.3.2020 (iOS-sovellus versionumerolla 4.6.9). Päivityksessä poistettiin iOS-sovelluksesta käyttäjän laitetietoja välittänyt Facebook-kirjautumisen rajapinta. Aiemmin sovelluksessa olleen Facebook-kirjautumisen rajapinnan avulla laitetietoja välitettiin Facebookille käyttäjän tietämättä Zoom-sovelluksen käynnistämisessä ja lopettamisessa. Käyttäjien henkilötietoja tai kokouksiin liittyviä tietoja – kuten osallistujien nimiä – ei välitetty.

Käyttäjien kirjautumistiedot

Zoomissa ei tiedetä olleen tietomurtoa, joiden takia käyttäjien kirjautumistiedot olisivat vaarantuneet tai niitä olisi varastettu. Sen sijaan rikolliset kokeilevat aiemmin muissa toisten palveluiden tietoturvavuodoissa – kuten Adoben ja Dropboxin tietoturvavuodoissa – varastettujen miljoonien käyttäjien kirjautumistietojen toimivuutta myös Zoomissa, ja jos käyttäjä on käyttänyt samaa sähköpostitunnusta ja vaarantunutta salasanaa myös Zoomissa niin silloin käyttäjän kirjautumistiedot ovat voineet vastaavalla tavalla päätyä myyntiin pimeään verkkoon.

Omat käyttäjätietosi suojaat varastettujen käyttäjätunnusten uudelleenkäytöltä tai massakokeilulta (eng. credential stuffing) käyttämällä jokaisessa verkkopalvelussa eri salasanaa.

Omien käyttäjätunnusten suojaamista ja seuraamista helpottamaan suositeltuja palveluja ovat suomalainen badrap.io ja ulkomaalainen haveibeenpwned.com. Niiden avulla tiedät milloin omat tietosi ovat osana tietoturvavuotoja ja -haavoittuvuuksia, ja tiedät vaihtaa vaarantuneen salasanasi uuteen.

Yleiset sovellusten käyttöön liittyvät käytännöt

Vältä luottamuksellisen ja arkaluonteisen tiedon välittämistä ilman turvattua yhteyttä kaikissa viestintäkanavissa mukaan lukien mm. Skype, Teams, Hangouts, Zoom, Slack ja sähköposti.

Lähteet