Aktualizace: Dne 2. dubna 2020 oznámil poskytovatel videokonferencí Zoom 90denní zmrazení funkcí, aby bylo možné identifikovat a opravit problémy s ochranou soukromí a zabezpečením, o kterých se v tisku často psalo. Lifesize aktuálně nabízí šest měsíců neomezená bezplatná služba videokonferencí všem zákazníkům Zoom, kteří potřebují alternativní platformu.
Videokomunikace a spolupráce nikdy nebyly pro organizace důležitější. Pryč jsou doby, kdy video na pracovišti bylo novinkou; V mnoha případech je to nejen očekávané, ale také základní technologie pro provádění práce. Přišla éra videokomunikace, která s sebou přináší vlnu nových metod spolupráce od obsahu v kvalitě 4K po digitální tabule a další.
V Lifesize to slyšíme a vidíme každý den prostřednictvím rozhovorů se současnými i potenciálními zákazníky, našimi partnery a kolegy v celém našem ekosystému. Samozřejmě, že tento trend není izolovaný pouze u Lifesize, jak dokládají nesčetné zprávy analytiků a analýzy trhu, z nichž všechny poukazují na rychlý vzestup video spolupráce po celém světě.
Analytická společnost Frost & Sullivan plánuje video konference trh poroste v letech 12.1 až 2018 v průměru o 2023 procenta meziročně, což bude v příštích pěti letech představovat 13.82 miliardy dolarů. Pro průmysl, který se tvoří 30 let pro udržení této trajektorie je však nezbytné, abychom slona v místnosti společně oslovili: bezpečnost. Je dávno minulostí, aby poskytovatelé videokonferencí přijali základní kritéria, která mají poskytovat všechny kritické aplikace podnikové úrovně – a že tak činí transparentně.
Zabezpečení cloudu: mlhavá předpověď
Informační bezpečnost je hodně jako životní pojištění – důležité, ale ne nejživější téma k diskusi.
Je lákavé předpokládat, že technologie, které používáme v profesním i osobním životě, jsou bezpečné. Bohužel úniky dat jsou až příliš časté a téměř každá technologická kategorie — od sociálních médií přes hry a maloobchod až po komunikační platformy — byl v nedávné paměti ovlivněn. V posledních týdnech se Washington Post napsal dlouhý výklad podrobně popisující, jak jednoduché je pro hackery kompromitovat „chytrá“ zařízení pomocí techniky zvané „vycpávání pověření“, kdy špatní herci kombinují uniklé e-mailové adresy a hesla s jednoduchou automatizací, aby získali přístup k termostatům, kamerám a dalším. Pokud vůbec něco, naprostý objem dat a narušení bezpečnosti vyústil v kulturu znecitlivění vůči jejich dopadu.
Podle Trendy zabezpečení a řízení rizik společnosti Gartner pro rok 2019Rychlé zavádění cloudových technologií „roztahuje bezpečnostní týmy“ a klade ještě větší díl odpovědnosti na poskytovatele cloudu, aby poskytovali předdefinované bezpečnostní funkce pro ochranu zákazníků a zmírnění zátěže pro IT profesionály pověřené správou stále rostoucí počet aplikací a služeb. Pokud jde o používání aplikací typu software-as-a-service (SaaS), Gartner radí klientům, aby zvážili, zda jsou aplikace „vhodně spravovány a bezpečně používány“.
Ve výzkumné zprávě z února 2019 analytik Gartner Jay Heiser napsal: „Nedostatek dohody o tom, která firemní role je zodpovědná za správu SaaS, a relativní nedostatek politiky vyžadující více specifičnosti ohledně „vlastnictví“ SaaS pomohly zakrýt naléhavost kontroly SaaS. Relativní nedostatek viditelnosti a správy této stále všudypřítomnější formy výpočetní techniky vede k selhání zabezpečení a dodržování předpisů.“
Uvidí se, kam se organizace dostanou, pokud jde o to, kdo je v konečném důsledku odpovědný za prosazování a řízení cloudové bezpečnosti. Je však jasné, že prodejci by měli být mnohem aktivnější při komunikaci bezpečnostních postupů a funkcí, aby pomohli kupujícím a zákazníkům porozumět tomu, co za své investice dostávají a co by měli očekávat na základě bezpečnostních požadavků své organizace a tolerance rizik.
Bezpečná komunikace: Nevyřčená pravda o videu
Vzhledem k rychlému přijetí zásad „přines si vlastní zařízení“ (BYOD) a trendu, kdy si obchodní manažeři vybírají aplikace, které nejsou spravovány IT oddělením, mnoho organizací se nyní snaží jednoduše udržet přehled o tom, jaké aplikace jsou použitý, nemluvě o dopadech na bezpečnost informací.
Ve studii vedoucích pracovníků v oblasti IT, kterou provedla společnost Frost & Sullivan, aby pochopili, proč se tak organizace rozhodnou ne používat cloudové služby, obavy z neoprávněného přístupu k datům byly překážkou číslo jedna pro přijetí.
Při videokonferencích je zabezpečení často až dodatečným nápadem. S takovou pozorností, která je věnována ochraně dat PII, zdravotních záznamů, financí a dalším, je pro organizace snadné zapomenout na data přenášená během jednání a mezi zaměstnanci, partnery a zákazníky uvnitř i vně společnosti. Videokonferenční hovory jsou totiž sotva tak lákavé jako databáze plná citlivých záznamů zákazníků, že?
Bohužel toto vnímání vedlo k samolibosti, což vede k tomu, že CISO a osoby s rozhodovací pravomocí v IT až příliš často nezodpovídají za sdílená data a kdo je v konečném důsledku odpovědný za jejich ochranu. Tento problém je spojen s tím, že zabezpečení videokonferencí je mnohostranné, což nutí organizace přemýšlet o řadě klíčových aspektů jejich infrastruktury a správy, včetně způsobu přenosu a ukládání dat, řízení přístupu, zásad autentizace, Soulad s HIPAA, A další.
V mnoha ohledech představují komunikační služby „poslední míli“ v informační bezpečnosti.
Nikdo nechce přemýšlet o tom, co kdyby někdo zachytil citlivé informace nebo slídil na videokonferenci. Rostoucí objem úniků dat, “muž uprostřed“ útočí a bezpečnostní hrozby ilustrují, že by organizace měly pečlivě zvážit, zda jsou bezpečnostní předvolby prodejců videokomunikace adekvátní pro data přenášená prostřednictvím jejich služeb.
Náš závazek k bezpečnosti, transparentnosti a otevřenosti
V roce 2014 společnost Lifesize zahájila víceletý projekt, jehož cílem je od základu předělat naši cloudovou videokonferenční službu z hlediska bezpečnosti a spolehlivosti.
Inženýrství pro transparentnost
Jeho kritickou součástí je protokol Web Real-Time Communication (WebRTC), který zákazníkům poskytuje transparentnost a jistotu, jak služba funguje. Naši platformu jsme přestavěli na WebRTC z několika důvodů.
Za prvé, chceme, aby byly videokonference přístupné všem. K dosažení tohoto cíle byl WebRTC jasnou volbou a zdaleka nejspolehlivějším, osvědčeným a nejvýkonnějším mechanismem pro poskytování soudržného zážitku z videokonferencí napříč operačními systémy, zařízeními a prohlížeči podporovanými Lifesize. Od té doby, co jsme v roce 2015 oznámili podporu pro WebRTC, značně dospěl; dnes téměř všechny hlavní prohlížeče nativně podporují WebRTC.
Za druhé, pevně věříme, že otevřenost je pro zákazníky dobrá. Stejně jako všechny technologie s otevřeným zdrojovým kódem byl WebRTC vytvořen (a stále je vylepšován) na veřejnosti za přispění tisíců inženýrů a předních společností, jako jsou Apple, Google, Mozilla, Microsoft a další. I když software s otevřeným zdrojovým kódem není z definice bezpečnější, kód, který je pravidelně kontrolován a testován více entitami, má za následek robustnější a bezpečnější technologie.
Prostřednictvím WebRTC je společnost Lifesize schopna poskytovat spolehlivý, konzistentní a bezpečný zážitek našim zákazníkům bez jakýchkoliv pochybností o tom, jak je tento zážitek navržen. I když se snažíme získat si důvěru každého zákazníka, plně očekáváme a povzbuzujeme je, aby se ptali na to, jak naše služby fungují – stejně jako u jakékoli aplikace nebo poskytovatele služeb.
Zabezpečení poslední míle
Dnes náš cloud běží na Amazon Web Services (AWS), který poskytuje řadu dalších bezpečnostních výhod, včetně špičkových síťových firewallů a robustních kontroly souladu a 99.9% garantovaná dostupnost dodávané prostřednictvím vysoce zabezpečených datových center po celém světě.
Lifesize navíc zajišťuje komplexní, zabezpečené videokonference pro naše zákazníky vrstvením na:
- Šifrování ve výchozím stavu: 100 procent komunikace na platformě Lifesize je zabezpečeno 128bitovým šifrováním AES (Advanced Encryption Standard) podnikové třídy pro média a šifrováním TLS (zabezpečení transportní vrstvy) pro signalizaci. Ve výchozím nastavení je připojení každého zákazníka Lifesize šifrováno pomocí jednorázových šifrovacích klíčů. Vzhledem k tomu, že Lifesize byla od základu navržena pomocí WebRTC, který vyžaduje zabezpečené připojení, je každý hovor – ať už prostřednictvím našich nativních aplikací nebo webových aplikací založených na prohlížeči – bez výjimky zabezpečen.
- Zabezpečené úložiště dat: Nahrávání a přehrávání schůzek Lifesize je šifrováno pomocí 128bitového AES při přenosu a 256bitového AES při ukládání. Uživatelská hesla jsou vždy šifrována a v cloudu nejsou uložena hesla ve formátu prostého textu.
- Zabezpečené ověřování: Lifesize se integruje a podporuje přední poskytovatele jednotného přihlašování (SSO), včetně Okta, Microsoft Azure® Active Directory, OneLogin a Ping Identity, což umožňuje správcům IT snadno konfigurovat uživatelská oprávnění a vynucovat požadavky na obnovu hesla a složitost, čímž se snižuje pravděpodobnost úspěchu. credential stuffing nebo jiné metody útoku zaměřené na koncového uživatele.
- Zabezpečení schůzky: Virtuální zasedací místnosti v životní velikosti (VMR) lze zabezpečit a pro vstup na schůzku je vyžadováno heslo. Moderátoři schůzek mohou také snadno přistupovat k úplnému seznamu účastníků a v případě potřeby jednotlivce odstranit. Zákazníci mají také možnost používat „jednorázové“ jednorázové schůzky, aby zabránili neoprávněným hostům, aby se připojili ke schůzce pomocí podrobností z předchozí pozvánky.
- Firewall/NAT Traversal: Naše architektura udržuje pokojové systémy Lifesize a klientský software bezpečně za stávajícími firewally a řídí průchod firewallem přes naše globální volací uzly. Nepožadujeme tedy, aby se příchozí porty brány firewall otevíraly z internetu, ani není potřeba statické veřejné IP adresy nebo složité statické konfigurace brány firewall pro NAT a předávání portů. Organizace si mohou zachovat svůj stávající obvodový postoj a chránit uživatele a zařízení před obtěžujícími hovory SIP a H.323, které jsou běžné na otevřeném internetu.
Hledání bezpečnosti, transparentnosti a otevřenosti
Bezpečnost a její společníci tvoří složitou a neustále se vyvíjející výzvu pro velké i malé organizace, ale měla by být nejvyšší prioritou. Osoby s rozhodovací pravomocí v oblasti IT a obchodní lídři musí věnovat čas posouzení rizikových profilů svých dodavatelů a pochopit, zda je každý z jejich komunikačních nástrojů – bez ohledu na to, zda je centrálně spravován IT oddělením – vytvořen a nakonfigurován tak, aby chránil citlivá data.
Bohužel mnoho poskytovatelů služeb vyžaduje, aby uživatelé zvolili základní bezpečnostní funkce, spíše než aby se řídili standardy podnikové úrovně. Pokud prodejci standardně neupřednostňují bezpečnost, transparentnost a otevřenost, bylo by moudré zvážit, zda nejsou ohroženy jejich soukromá komunikace a data.
