Oppdatering: 2. april 2020 kunngjorde videokonferanseleverandøren Zoom en 90-dagers funksjonsfrysing for å identifisere og fikse personvern- og sikkerhetsproblemer som har blitt mye omtalt i pressen. Lifesize tilbyr for tiden seks måneder ubegrenset, gratis videokonferansetjeneste til alle Zoom-kunder som har behov for en alternativ plattform.
Videokommunikasjon og samarbeid har aldri vært av større betydning for organisasjoner. Borte er tiden da video på arbeidsplassen var en nyhet; det er nå ikke bare forventet i mange tilfeller, men en kjerneteknologi for å få arbeidet gjort. Videokommunikasjonsæraen har kommet, og innledet med den en bølge av nye samarbeidsmetoder som spenner fra innhold i 4K-kvalitet til digitale tavler og mer.
Hos Lifesize hører og ser vi dette hver dag gjennom samtaler med nåværende og potensielle kunder, våre partnere og våre kolleger på tvers av økosystemet vårt. Trenden er selvfølgelig ikke isolert til Lifesize, som illustrert av utallige analytikerrapporter og markedsanalyser, som alle peker mot den raske økningen av videosamarbeid rundt om i verden.
Analysefirmaet Frost & Sullivan prosjekterer videokonferanse markedet vil i gjennomsnitt vokse med 12.1 prosent år for år fra 2018 til 2023, noe som representerer en industri på 13.82 milliarder dollar de neste fem årene. Til en bransje 30 år på vei For å opprettholde denne banen er det imidlertid viktig at vi tar for oss elefanten i rommet: sikkerhet. Det er for lengst på tide for videokonferanseleverandører å omfavne de grunnleggende kriteriene alle virksomhetskritiske applikasjoner forventes å levere – og at de gjør det med åpenhet.
Cloud Security: A Hazy Forecast
Informasjonssikkerhet er mye som livsforsikring - viktig, men ikke det livligste emnet å diskutere.
Det er fristende å anta at teknologiene vi bruker i våre profesjonelle og personlige liv er sikre. Dessverre er datainnbrudd alt for vanlig, og nesten alle teknologikategorier – fra sosiale medier til spill og detaljhandel til kommunikasjonsplattformer – har blitt påvirket i nyere minne. De siste ukene har Washington Post skrev en lang avsløring som beskriver hvor enkelt det er for hackere å kompromittere "smarte" enheter ved å bruke en teknikk kalt "credential stuffing", der dårlige skuespillere kombinerer lekkede e-postadresser og passord med enkel automatisering for å få tilgang til termostater, kameraer og mer. Om noe har det store volumet av data og sikkerhetsbrudd resultert i en kultur for å bli ufølsom for deres innvirkning.
Ifølge Gartners 2019-sikkerhets- og risikostyringstrender, den raske innføringen av skyteknologier "strekker sikkerhetsteamene tynne", og legger en enda større del av ansvaret på skyleverandører for å levere ut-av-boksen sikkerhetsfunksjoner for både å beskytte kunder og lette byrden på IT-fagfolk som har i oppgave å administrere et stadig økende antall applikasjoner og tjenester. Når det gjelder bruk av programvare-som-en-tjeneste (SaaS)-applikasjoner, råder Gartner klienter til å vurdere om applikasjoner er "passende styrt og sikkert brukt."
I et forskningsnotat fra februar 2019 skrev Gartner-analytiker Jay Heiser, "Mangelen på enighet om hvilken bedriftsrolle som er ansvarlig for SaaS-styring og den relative mangelen på politikk som krever mer spesifisitet rundt SaaS 'eierskap' har bidratt til å maskere at det haster med SaaS-kontroll. Den relative mangelen på synlighet og styring over denne stadig mer allestedsnærværende formen for databehandling fører til sikkerhets- og samsvarsfeil.»
Det gjenstår å se hvor organisasjoner vil lande angående hvem som til syvende og sist er ansvarlig for å håndheve og styre skysikkerhet. Det som imidlertid er klart er at leverandører bør være langt mer proaktive når det gjelder å kommunisere sikkerhetspraksis og funksjoner for å hjelpe kjøpere og kunder med å forstå hva de får for investeringene sine og hva de bør forvente basert på organisasjonens sikkerhetskrav og risikotoleranse.
Sikker kommunikasjon: Den uuttalte sannheten om video
På grunn av den raske bruken av retningslinjer for ta med din egen enhet (BYOD) og en trend i retning av at ledere velger applikasjoner som ikke administreres av IT, sliter mange organisasjoner nå med å holde seg på toppen av hvilke applikasjoner som blir brukt, enn si implikasjonene på informasjonssikkerhet.
I en studie av IT-beslutningstakere utført av Frost & Sullivan for å forstå hvorfor organisasjoner velger det ikke bruk av skytjenester, var bekymringer om uautorisert tilgang til data nummer én som hindret adopsjon.
I videokonferanser er sikkerhet ofte en ettertanke. Med så mye oppmerksomhet på å beskytte PII-data, helsejournaler, økonomi og mer, er det lett for organisasjoner å glemme dataene som overføres under møter og blant ansatte, partnere og kunder i og utenfor selskapet. Tross alt er videokonferansesamtaler neppe så fristende som en database full av sensitive kundeopplysninger, ikke sant?
Dessverre har denne oppfatningen ført til selvtilfredshet, noe som har resultert i at CISO-er og IT-beslutningstakere altfor ofte ikke klarer å redegjøre for dataene som deles og hvem som til syvende og sist er ansvarlig for å beskytte dem. Sikkerheten for videokonferanser er mangefasettert, noe som tvinger organisasjoner til å tenke på en rekke nøkkelaspekter ved deres infrastruktur og styring, inkludert hvordan data overføres og lagres, tilgangskontroller, autentiseringspolicyer, HIPAA-samsvar, Og mer.
På mange måter representerer kommunikasjonstjenester den «siste milen» innen informasjonssikkerhet.
Ingen ønsker å tenke på hva-hvis-scenariet med at noen fanger opp sensitiv informasjon eller snoker på et videomøte. Imidlertid, det økende volumet av datainnbrudd, "mann i midten» angrep og sikkerhetstrusler illustrerer at organisasjoner bør vurdere nøye om videokommunikasjonsleverandørers sikkerhetsinnstillinger er tilstrekkelige for dataene som overføres gjennom deres tjenester.
Vår forpliktelse til sikkerhet, åpenhet og åpenhet
I 2014 startet Lifesize et flerårig prosjekt for å ombygge vår skyvideokonferansetjeneste fra grunnen av for sikkerhet og pålitelighet.
Engineering for Transparency
En kritisk komponent i det er Web Real-Time Communication (WebRTC)-protokollen, som gir kundene åpenhet og trygghet om hvordan tjenesten fungerer. Vi gjenoppbygde plattformen vår på WebRTC av flere grunner.
For det første ønsker vi at videokonferanser skal være tilgjengelige for alle. For å oppnå dette var WebRTC et åpenbart valg og den desidert mest pålitelige, velprøvde og velytende mekanismen for å levere en sammenhengende videokonferanseopplevelse på tvers av operativsystemer, enheter og nettlesere som støttes av Lifesize. Siden vi annonserte støtte for WebRTC i 2015, har den modnet kraftig; i dag nesten alle store nettlesere støtter WebRTC naturlig.
For det andre er vi overbevist om at åpenhet er bra for kundene. Som med all åpen kildekode-teknologi, ble WebRTC bygget (og fortsetter å bli forbedret) i offentligheten, med bidrag fra tusenvis av ingeniører og bransjeledende selskaper som Apple, Google, Mozilla, Microsoft og andre. Mens åpen kildekode-programvare ikke er sikrere per definisjon, har kode som regelmessig inspisert og testet av flere enheter vist seg å resultere i mer robuste, sikre teknologier.
Gjennom WebRTC er Lifesize i stand til å levere en pålitelig, konsistent og sikker opplevelse til våre kunder uten tvetydighet om hvordan denne opplevelsen blir utviklet. Selv om vi streber etter å tjene tilliten til alle kunder, forventer og oppfordrer vi dem til å stille spørsmål om hvordan tjenesten vår fungerer – slik de burde med enhver applikasjon eller tjenesteleverandør.
Sikre den siste milen
I dag kjører skyen vår på Amazon Web Services (AWS), som gir en rekke ekstra sikkerhetsfordeler, inkludert klassens beste nettverksbrannmurer, robuste overholdelseskontroller og 99.9 % garantert oppetid levert gjennom svært sikre datasentre rundt om i verden.
I tillegg sikrer Lifesize omfattende, sikker videokonferanse for våre kunder ved å legge på lag:
- kryptering som standard: 100 prosent av kommunikasjonen på Lifesize-plattformen er sikret med 128-bits AES (Advanced Encryption Standard)-kryptering for media og TLS (transport layer security)-kryptering for signalering. Som standard er alle Lifesize-kunders tilkoblinger kryptert med engangskrypteringsnøkler. I tillegg, siden Lifesize ble bygget fra grunnen av ved hjelp av WebRTC, som krever sikre tilkoblinger, er hver samtale – enten gjennom våre opprinnelige apper eller nettleserbaserte nettapplikasjoner – sikret uten unntak.
- Sikker datalagring: Opptak og avspilling av møter i Lifesize er kryptert ved hjelp av 128-bit AES under transport og 256-bit AES under lagring. Brukerpassord er alltid kryptert, og ingen ren tekst-passord lagres i skyen.
- Sikker autentisering: Lifesize integreres med og støtter ledende leverandører av enkeltpålogging (SSO), inkludert Okta, Microsoft Azure® Active Directory, OneLogin og Ping Identity, slik at IT-administratorer enkelt kan konfigurere brukertillatelser og håndheve krav til passordoppdatering og kompleksitet, noe som reduserer sannsynligheten for vellykket legitimasjonsfylling eller andre sluttbrukerfokuserte angrepsmetoder.
- Møtesikkerhet: Virtuelle møterom i naturlig størrelse (VMR) kan sikres, og krever et passord for å få tilgang til et møte. Møtemoderatorer kan også enkelt få tilgang til en fullstendig liste over deltakere og fjerne enkeltpersoner hvis behovet skulle oppstå. Kunder har også muligheten til å bruke "engangsmøter" for å hindre uautoriserte gjester fra å bli med i møter ved å bruke detaljer fra en tidligere invitasjon.
- Brannmur/NAT-gjennomgang: Arkitekturen vår holder Lifesize romsystemer og klientprogramvare trygt bak eksisterende brannmurer og håndterer brannmurgjennomgang gjennom våre globale anropsnoder. Vi krever derfor ikke at noen brannmurporter åpnes inngående fra internett, og det er heller ikke behov for statisk offentlig IP-adressering eller kompliserte statiske NAT- og portvideresendingsbrannmurkonfigurasjoner. Organisasjoner kan opprettholde sin eksisterende perimeterstilling og beskytte brukere og enheter mot SIP- og H.323-anrop som er vanlige på det åpne internett.
På jakt etter sikkerhet, åpenhet og åpenhet
Sikkerhet og dens ledsagere utgjør en kompleks og stadig utviklende utfordring for store og små organisasjoner, men den bør være en toppprioritet. IT-beslutningstakere og bedriftsledere må ta seg tid til å vurdere risikoprofilene til sine leverandører og forstå om hvert av kommunikasjonsverktøyene deres – uavhengig av om det er sentralt administrert av IT – er bygget og konfigurert for å beskytte sensitive data.
Dessverre krever mange tjenesteleverandører at brukere velger grunnleggende sikkerhetsfunksjoner i stedet for å følge standarder av bedriftskvalitet. Hvis leverandører ikke prioriterer sikkerhet, åpenhet og åpenhet som standard, vil bedrifter være lurt å vurdere om deres private kommunikasjon og data er i fare.
