Update: op 2 april 2020 kondigde videoconferentieprovider Zoom een functiebevriezing van 90 dagen aan om privacy- en beveiligingsproblemen waarover veel in de pers is bericht, te identificeren en op te lossen. Lifesize biedt momenteel zes maanden aan onbeperkte, gratis videoconferentieservice aan alle Zoom-klanten die een alternatief platform nodig hebben.
Videocommunicatie en samenwerking is nog nooit zo belangrijk geweest voor organisaties. Voorbij zijn de dagen dat video op de werkplek nieuw was; het wordt nu niet alleen in veel gevallen verwacht, maar is ook een kerntechnologie om werk gedaan te krijgen. Het tijdperk van videocommunicatie is aangebroken en luidt een golf van nieuwe samenwerkingsmethoden in, variërend van inhoud van 4K-kwaliteit tot digitale whiteboards en meer.
Bij Lifesize horen en zien we dit elke dag in gesprekken met huidige en potentiële klanten, onze partners en onze collega's in ons hele ecosysteem. Natuurlijk staat de trend niet alleen voor Lifesize, zoals blijkt uit talloze analistenrapporten en marktanalyses, die allemaal wijzen op de snelle opkomst van videosamenwerking over de hele wereld.
Analistenbureau Frost & Sullivan projecteert de videoconferentie markt zal tussen 12.1 en 2018 gemiddeld met 2023 procent op jaarbasis groeien, wat neerkomt op een industrie van $ 13.82 miljard in de komende vijf jaar. Voor een industrie die al 30 jaar in de maak is om dit traject vast te houden, is het echter absoluut noodzakelijk dat we collectief de olifant in de kamer aanpakken: veiligheid. Het is allang tijd dat aanbieders van videoconferenties de fundamentele criteria omarmen die alle bedrijfskritische applicaties van ondernemingsklasse moeten bieden - en dat doen ze met transparantie.
Cloudbeveiliging: een wazige voorspelling
Informatiebeveiliging lijkt veel op levensverzekeringen: belangrijk, maar niet het meest levendige onderwerp om te bespreken.
Het is verleidelijk om aan te nemen dat de technologieën die we in ons professionele en persoonlijke leven gebruiken, veilig zijn. Helaas komen datalekken maar al te vaak voor bijna elke technologiecategorie - van sociale media tot gaming en detailhandel tot communicatieplatforms - is de afgelopen tijd beïnvloed. De afgelopen weken heeft de Washington Post schreef een lange uiteenzetting over hoe eenvoudig het voor hackers is om "slimme" apparaten te compromitteren met behulp van een techniek die "credential stuffing" wordt genoemd, waarbij kwaadwillenden gelekte e-mailadressen en wachtwoorden combineren met eenvoudige automatisering om toegang te krijgen tot thermostaten, camera's en meer. De enorme hoeveelheid gegevens en beveiligingsinbreuken heeft in ieder geval geleid tot een cultuur van ongevoeligheid voor de impact ervan.
Think Gartner's beveiligings- en risicobeheertrends voor 2019, zorgt de snelle acceptatie van cloudtechnologieën ervoor dat "beveiligingsteams dunner worden", waardoor een nog groter deel van de verantwoordelijkheid bij cloudproviders komt te liggen om out-of-the-box beveiligingsmogelijkheden te leveren om zowel klanten te beschermen als de last te verlichten van IT-professionals die belast zijn met het beheer van een steeds groeiend aantal toepassingen en diensten. Wat betreft het gebruik van software-as-a-service (SaaS)-applicaties, adviseert Gartner klanten om na te gaan of applicaties "op de juiste manier worden beheerd en veilig worden gebruikt".
In een onderzoeksnota van februari 2019 schreef Gartner-analist Jay Heiser: “Het gebrek aan overeenstemming over welke bedrijfsrol verantwoordelijk is voor SaaS-governance en het relatieve gebrek aan beleid dat meer specificiteit rond SaaS-eigendom vereist, hebben geholpen om de urgentie van SaaS-controle te maskeren. Het relatieve gebrek aan zichtbaarheid en beheer van deze steeds alomtegenwoordigere vorm van computergebruik leidt tot beveiligings- en nalevingsfouten.”
Het valt nog te bezien waar organisaties terechtkomen met betrekking tot wie uiteindelijk verantwoordelijk is voor het afdwingen en beheren van cloudbeveiliging. Het is echter duidelijk dat leveranciers veel proactiever moeten zijn in het communiceren van beveiligingspraktijken en -functies om kopers en klanten te helpen begrijpen wat ze krijgen voor hun investeringen en wat ze mogen verwachten op basis van de beveiligingsvereisten en risicotolerantie van hun organisatie.
Veilige communicatie: de onuitgesproken waarheid over video
Vanwege de snelle acceptatie van BYOD-beleid (Bring Your Own Device) en de trend dat line-of-business-managers applicaties selecteren die niet door IT worden beheerd, hebben veel organisaties nu moeite om op de hoogte te blijven van welke applicaties worden gebruikt. gebruikt, laat staan de implicaties voor informatiebeveiliging.
In een onderzoek onder IT-beslissers uitgevoerd door Frost & Sullivan om te begrijpen waarom organisaties ervoor kiezen niet bij het gebruik van cloudservices was bezorgdheid over ongeautoriseerde toegang tot gegevens de belangrijkste belemmering voor acceptatie.
Bij videoconferenties is beveiliging vaak een bijzaak. Met zoveel aandacht voor het beschermen van PII-gegevens, medische dossiers, financiële gegevens en meer, vergeten organisaties gemakkelijk de gegevens die worden verzonden tijdens vergaderingen en tussen werknemers, partners en klanten binnen en buiten het bedrijf. Videoconferentiegesprekken zijn tenslotte niet zo verleidelijk als een database vol gevoelige klantgegevens, toch?
Helaas heeft deze perceptie geleid tot zelfgenoegzaamheid, waardoor CISO's en IT-beslissers maar al te vaak geen verantwoording afleggen over de gegevens die worden gedeeld en wie uiteindelijk verantwoordelijk is voor de bescherming ervan. Daar komt nog bij dat de beveiliging van videoconferenties veelzijdig is, waardoor organisaties gedwongen worden na te denken over een aantal belangrijke aspecten van hun infrastructuur en beheer, waaronder hoe gegevens worden verzonden en opgeslagen, toegangscontroles, authenticatiebeleid, HIPAA-nalevingEn nog veel meer.
In veel opzichten vertegenwoordigen communicatiediensten de "laatste mijl" in informatiebeveiliging.
Niemand wil nadenken over het wat-als-scenario van iemand die gevoelige informatie onderschept of meesnuffelt in een videovergadering. Echter, het toenemende aantal datalekken, “man in het midden” valt aan en beveiligingsbedreigingen illustreren dat organisaties zorgvuldig moeten overwegen of de beveiligingsvoorinstellingen van leveranciers van videocommunicatie geschikt zijn voor de gegevens die via hun diensten worden verzonden.
Onze toewijding aan veiligheid, transparantie en openheid
In 2014 startte Lifesize een meerjarig project om onze cloudvideoconferentieservice vanaf het begin opnieuw te ontwerpen met het oog op beveiliging en betrouwbaarheid.
Engineering voor transparantie
Een cruciaal onderdeel daarvan is het Web Real-Time Communication (WebRTC)-protocol, dat klanten transparantie en gemoedsrust biedt over hoe de service werkt. We hebben ons platform om verschillende redenen opnieuw opgebouwd op WebRTC.
Ten eerste willen we dat videoconferenties voor iedereen toegankelijk zijn. Om dit te bereiken was WebRTC een voor de hand liggende keuze en verreweg het meest betrouwbare, beproefde en best presterende mechanisme voor het leveren van een samenhangende videoconferentie-ervaring voor alle besturingssystemen, apparaten en browsers die door Lifesize worden ondersteund. Sinds we in 2015 ondersteuning voor WebRTC aankondigden, is het enorm volwassen geworden; Vandaag bijna alle grote browsers ondersteunen WebRTC native.
Ten tweede zijn we ervan overtuigd dat openheid goed is voor klanten. Zoals met alle open source-technologieën, werd WebRTC gebouwd (en wordt het nog steeds verbeterd) in het openbaar, met bijdragen van duizenden ingenieurs en toonaangevende bedrijven zoals Apple, Google, Mozilla, Microsoft en anderen. Hoewel open source-software niet per definitie veiliger is, is bewezen dat code die regelmatig door meerdere entiteiten wordt geïnspecteerd en getest, resulteert in robuustere, veiligere technologieën.
Via WebRTC kan Lifesize een betrouwbare, consistente en veilige ervaring bieden aan onze klanten zonder onduidelijkheid over hoe die ervaring wordt ontwikkeld. Hoewel we ernaar streven het vertrouwen van elke klant te winnen, verwachten we volledig en moedigen we hen aan om vragen te stellen over hoe onze service werkt - zoals ze zouden moeten doen met elke applicatie of serviceprovider.
De laatste mijl beveiligen
Tegenwoordig draait onze cloud op Amazon Web Services (AWS), wat tal van extra beveiligingsvoordelen biedt, waaronder de beste netwerkfirewalls, robuuste nalevingscontroles en 99.9% gegarandeerde uptime geleverd via zeer veilige datacenters over de hele wereld.
Daarnaast zorgt Lifesize voor uitgebreide, beveiligde videoconferenties voor onze klanten door laagjes aan te brengen op:
- Encryptie standaard: 100 procent van de communicatie op het Lifesize-platform is beveiligd met 128-bits AES-codering (Advanced Encryption Standard) van ondernemingsklasse voor media en TLS-codering (Transport Layer Security) voor signalering. Standaard wordt de verbinding van elke Lifesize-klant versleuteld met behulp van versleutelingssleutels voor eenmalig gebruik. Aangezien Lifesize vanaf het begin is ontworpen met behulp van WebRTC, dat veilige verbindingen verplicht stelt, is bovendien elk gesprek — hetzij via onze native apps of browsergebaseerde webapplicaties — zonder uitzondering beveiligd.
- Veilige gegevensopslag: Het opnemen en afspelen van Lifesize-vergaderingen wordt versleuteld met 128-bits AES tijdens het transport en 256-bits AES tijdens opslag. Gebruikerswachtwoorden zijn altijd gecodeerd en er worden geen wachtwoorden in platte tekst opgeslagen in de cloud.
- Veilige authenticatie: Lifesize kan worden geïntegreerd met en ondersteunt toonaangevende Single Sign-On (SSO)-providers, waaronder Okta, Microsoft Azure® Active Directory, OneLogin en Ping Identity, waardoor IT-beheerders eenvoudig gebruikersmachtigingen kunnen configureren en wachtwoordvernieuwing en complexiteitsvereisten kunnen afdwingen, waardoor de kans op succes wordt verkleind credential stuffing of andere op eindgebruikers gerichte aanvalsmethoden.
- Vergaderbeveiliging: Levensgrote virtuele vergaderruimten (VMR's) kunnen worden beveiligd, waarbij een wachtwoord nodig is om toegang te krijgen tot een vergadering. Moderators van vergaderingen hebben ook eenvoudig toegang tot een volledige lijst met deelnemers en kunnen personen verwijderen, mocht dat nodig zijn. Klanten hebben ook de optie om 'wegwerpbare' eenmalige vergaderingen te gebruiken om te voorkomen dat onbevoegde gasten deelnemen aan vergaderingen met gegevens van een eerdere uitnodiging.
- Firewall/NAT-traversal: Onze architectuur houdt Lifesize-kamersystemen en clientsoftware veilig achter bestaande firewalls en beheert firewall-traversal via onze wereldwijde belknooppunten. We vereisen dus niet dat er firewallpoorten worden geopend vanaf het internet, noch is er behoefte aan statische openbare IP-adressering of ingewikkelde statische NAT- en port-forwarding-firewallconfiguraties. Organisaties kunnen hun bestaande omtrekpostuur behouden en gebruikers en apparaten beschermen tegen SIP- en H.323-oproepen die veel voorkomen op het open internet.
Op zoek naar veiligheid, transparantie en openheid
Beveiliging en zijn metgezellen vormen een complexe en steeds evoluerende uitdaging voor grote en kleine organisaties, maar het zou een topprioriteit moeten zijn. IT-besluitvormers en bedrijfsleiders moeten de tijd nemen om de risicoprofielen van hun leveranciers te beoordelen en te begrijpen of elk van hun communicatietools - ongeacht of deze centraal worden beheerd door IT - is gebouwd en geconfigureerd om gevoelige gegevens te beschermen.
Helaas eisen veel serviceproviders dat gebruikers zich aanmelden voor basisbeveiligingsfuncties in plaats van zich te houden aan bedrijfsstandaarden. Als leveranciers beveiliging, transparantie en openheid niet standaard prioriteit geven, doen bedrijven er verstandig aan na te gaan of hun privécommunicatie en -gegevens gevaar lopen.
