Aktualizacja: 2 kwietnia 2020 r. dostawca usług wideokonferencyjnych Zoom ogłosił 90-dniowe zamrożenie funkcji w celu zidentyfikowania i rozwiązania problemów związanych z prywatnością i bezpieczeństwem, o których szeroko informowano w prasie. Lifesize oferuje obecnie sześć miesięcy nieograniczona, bezpłatna usługa wideokonferencji wszystkim klientom Zoom, którzy potrzebują alternatywnej platformy.
Komunikacja wideo i współpraca nigdy nie miały większego znaczenia dla organizacji. Dawno minęły czasy, kiedy wideo w miejscu pracy było nowością; jest obecnie nie tylko oczekiwana w wielu przypadkach, ale jest podstawową technologią do wykonywania pracy. Nadeszła era komunikacji wideo, a wraz z nią fala nowych metod współpracy, od treści w jakości 4K po tablice cyfrowe i nie tylko.
W Lifesize słyszymy to i widzimy to każdego dnia podczas rozmów z obecnymi i potencjalnymi klientami, naszymi partnerami i współpracownikami w całym naszym ekosystemie. Oczywiście trend ten nie ogranicza się do Lifesize, co ilustrują niezliczone raporty analityków i analizy rynkowe, z których wszystkie wskazują na szybki rozwój współpracy wideo na całym świecie.
Firma analityczna Frost & Sullivan przewiduje wideokonferencje rynek będzie rósł średnio o 12.1 procent rok do roku od 2018 do 2023 roku, co stanowi branżę o wartości 13.82 miliarda dolarów w ciągu najbliższych pięciu lat. Dla przemysł, który tworzy się od 30 lat aby utrzymać tę trajektorię, konieczne jest, abyśmy wspólnie zwrócili się do słonia w pokoju: bezpieczeństwa. Już dawno dostawcy usług wideokonferencyjnych przyjęli podstawowe kryteria, które powinny zapewniać wszystkie aplikacje klasy korporacyjnej o znaczeniu krytycznym — i robią to z zachowaniem przejrzystości.
Bezpieczeństwo w chmurze: mglista prognoza
Bezpieczeństwo informacji jest bardzo podobne do ubezpieczenia na życie — ważny, ale nie najbardziej żywy temat do dyskusji.
Kuszące jest założenie, że technologie, których używamy w życiu zawodowym i osobistym, są bezpieczne. Niestety, naruszenia danych są zbyt powszechne i prawie każdej kategorii technologicznej — od mediów społecznościowych po gry i sprzedaż detaliczną po platformy komunikacyjne — w ostatnim czasie wpłynęło to na zmiany. W ostatnich tygodniach tzw Washington Post napisał obszerne exposé, w którym szczegółowo opisał, jak łatwo hakerom można włamać się do „inteligentnych” urządzeń za pomocą techniki zwanej „wypychaniem poświadczeń”, w której przestępcy łączą ujawnione adresy e-mail i hasła z prostą automatyzacją, aby uzyskać dostęp do termostatów, kamer i nie tylko. Jeśli już, sama ilość danych i naruszeń bezpieczeństwa doprowadziła do powstania kultury znieczulenia na ich wpływ.
Zgodnie z Trendy firmy Gartner w 2019 r. w zakresie bezpieczeństwa i zarządzania ryzykiem, szybkie przyjęcie technologii chmurowych „rozciąga zespoły ds. stale rosnąca liczba aplikacji i usług. Jeśli chodzi o korzystanie z aplikacji typu oprogramowanie jako usługa (SaaS), Gartner radzi klientom, aby zastanowili się, czy aplikacje są „odpowiednio zarządzane i bezpiecznie używane”.
W notatce badawczej z lutego 2019 r. Analityk firmy Gartner, Jay Heiser, napisał: „Brak porozumienia co do tego, która rola korporacyjna jest odpowiedzialna za zarządzanie SaaS i względny brak polityki wymagającej większej szczegółowości wokół „własności” SaaS pomogły ukryć pilną potrzebę kontroli SaaS. Względny brak widoczności i zarządzania tą coraz bardziej wszechobecną formą przetwarzania danych prowadzi do niepowodzeń w zakresie bezpieczeństwa i zgodności”.
Dopiero okaże się, gdzie wylądują organizacje, jeśli chodzi o to, kto jest ostatecznie odpowiedzialny za egzekwowanie i zarządzanie bezpieczeństwem w chmurze. Jednak jasne jest, że dostawcy powinni być znacznie bardziej proaktywni w przekazywaniu praktyk i funkcji bezpieczeństwa, aby pomóc kupującym i klientom zrozumieć, co otrzymują za swoje inwestycje i czego powinni oczekiwać w oparciu o wymagania ich organizacji w zakresie bezpieczeństwa i tolerancję ryzyka.
Bezpieczna komunikacja: niewypowiedziana prawda o wideo
Ze względu na szybkie przyjęcie zasad „przynieś własne urządzenie” (BYOD) i tendencję do wybierania przez menedżerów liniowych aplikacji, które nie są zarządzane przez dział IT, wiele organizacji ma obecnie trudności z utrzymaniem kontroli nad tym, które aplikacje są używany, nie mówiąc już o skutkach dla bezpieczeństwa informacji.
W badaniu decydentów IT przeprowadzonym przez firmę Frost & Sullivan w celu zrozumienia, dlaczego organizacje decydują się na takie decyzje nie korzystali z usług w chmurze, obawa przed nieautoryzowanym dostępem do danych była głównym hamulcem adopcji.
Podczas wideokonferencji bezpieczeństwo jest często kwestią drugorzędną. Przywiązując tak dużą wagę do ochrony danych osobowych, dokumentacji medycznej, finansów i nie tylko, organizacje łatwo zapominają o danych przesyłanych podczas spotkań oraz między pracownikami, partnerami i klientami wewnątrz i na zewnątrz firmy. W końcu wideokonferencje nie są tak kuszące jak baza danych pełna poufnych danych klientów, prawda?
Niestety, takie postrzeganie prowadzi do samozadowolenia, w wyniku czego CISO i decydenci IT zbyt często nie biorą pod uwagę udostępnianych danych i tego, kto jest ostatecznie odpowiedzialny za ich ochronę. Co więcej, bezpieczeństwo wideokonferencji jest wieloaspektowe, co zmusza organizacje do zastanowienia się nad wieloma kluczowymi aspektami ich infrastruktury i zarządzania, w tym nad sposobem przesyłania i przechowywania danych, kontrolą dostępu, zasadami uwierzytelniania, Zgodność z HIPAAI więcej.
Pod wieloma względami usługi komunikacyjne stanowią „ostatnią milę” w zakresie bezpieczeństwa informacji.
Nikt nie chce myśleć o tym, co by było, gdyby ktoś przechwycił poufne informacje lub podglądał spotkanie wideo. Jednak rosnąca liczba naruszeń danych, „Ataki typu „człowiek pośrodku”. i zagrożeń bezpieczeństwa pokazuje, że organizacje powinny dokładnie rozważyć, czy ustawienia zabezpieczeń dostawców komunikacji wideo są odpowiednie dla danych przesyłanych za pośrednictwem ich usług.
Nasze zaangażowanie w bezpieczeństwo, przejrzystość i otwartość
W 2014 roku firma Lifesize zainicjowała wieloletni projekt mający na celu przeprojektowanie naszej usługi wideokonferencji w chmurze od podstaw w celu zapewnienia bezpieczeństwa i niezawodności.
Inżynieria dla przejrzystości
Kluczowym elementem tego jest protokół Web Real-Time Communication (WebRTC), który zapewnia klientom przejrzystość i spokój co do sposobu działania usługi. Przebudowaliśmy naszą platformę na WebRTC z kilku powodów.
Po pierwsze, chcemy, aby wideokonferencje były dostępne dla wszystkich. Aby to osiągnąć, WebRTC był oczywistym wyborem i zdecydowanie najbardziej niezawodnym, sprawdzonym i dobrze działającym mechanizmem zapewniającym spójną obsługę wideokonferencji w różnych systemach operacyjnych, urządzeniach i przeglądarkach obsługiwanych przez Lifesize. Odkąd ogłosiliśmy wsparcie dla WebRTC w 2015 roku, znacznie się rozwinęło; Dzisiaj prawie wszystkie główne przeglądarki obsługują natywnie WebRTC.
Po drugie, głęboko wierzymy, że otwartość jest dobra dla klientów. Podobnie jak w przypadku wszystkich technologii open source, WebRTC został zbudowany (i nadal jest ulepszany) publicznie, przy udziale tysięcy inżynierów i wiodących firm w branży, takich jak Apple, Google, Mozilla, Microsoft i innych. Chociaż oprogramowanie typu open source nie jest z definicji bezpieczniejsze, udowodniono, że kod, który jest regularnie sprawdzany i testowany przez wiele podmiotów, skutkuje bardziej niezawodnymi i bezpiecznymi technologiami.
Dzięki WebRTC Lifesize jest w stanie zapewnić naszym klientom niezawodne, spójne i bezpieczne doświadczenie bez dwuznaczności co do tego, w jaki sposób to doświadczenie jest opracowywane. Chociaż dążymy do zdobycia zaufania każdego klienta, w pełni oczekujemy i zachęcamy ich do zadawania pytań na temat działania naszej usługi — tak jak w przypadku każdej aplikacji lub dostawcy usług.
Zabezpieczenie ostatniej mili
Obecnie nasza chmura działa w oparciu o usługi Amazon Web Services (AWS), które zapewniają szereg dodatkowych korzyści związanych z bezpieczeństwem, w tym najlepsze w swojej klasie zapory sieciowe, niezawodne kontrole zgodności i 99.9% gwarantowanego czasu pracy dostarczane przez wysoce bezpieczne centra danych na całym świecie.
Dodatkowo Lifesize zapewnia kompleksową, bezpieczne wideokonferencje dla naszych klientów poprzez nakładanie warstw na:
- Szyfrowanie domyślnie: 100 procent komunikacji na platformie Lifesize jest zabezpieczone przez 128-bitowe szyfrowanie AES (Advanced Encryption Standard) klasy korporacyjnej dla mediów i szyfrowanie TLS (Transport Layer Security) dla sygnalizacji. Domyślnie każde połączenie klienta Lifesize jest szyfrowane przy użyciu jednorazowych kluczy szyfrujących. Ponadto, ponieważ Lifesize został zaprojektowany od podstaw z wykorzystaniem WebRTC, który wymaga bezpiecznych połączeń, każde połączenie — zarówno za pośrednictwem naszych aplikacji natywnych, jak i aplikacji internetowych opartych na przeglądarce — jest zabezpieczone bez wyjątku.
- Bezpieczne przechowywanie danych: Nagrywanie i odtwarzanie spotkań Lifesize jest szyfrowane przy użyciu 128-bitowego AES podczas przesyłania i 256-bitowego AES podczas przechowywania. Hasła użytkowników są zawsze szyfrowane, a w chmurze nie są przechowywane żadne hasła w postaci zwykłego tekstu.
- Bezpieczne uwierzytelnianie: Lifesize integruje się i obsługuje wiodących dostawców pojedynczego logowania (SSO), w tym Okta, Microsoft Azure® Active Directory, OneLogin i Ping Identity, umożliwiając administratorom IT łatwe konfigurowanie uprawnień użytkowników i egzekwowanie wymagań dotyczących odświeżania i złożoności haseł, zmniejszając prawdopodobieństwo pomyślnego upychanie poświadczeń lub inne metody ataku skoncentrowane na użytkowniku końcowym.
- Bezpieczeństwo spotkania: Wirtualne sale konferencyjne Lifesize (VMR) można zabezpieczyć, wymagając hasła, aby uzyskać dostęp do spotkania. Moderatorzy spotkania mogą również łatwo uzyskać dostęp do pełnej listy uczestników i usuwać poszczególne osoby, jeśli zajdzie taka potrzeba. Klienci mają również możliwość skorzystania z „jednorazowych” spotkań jednorazowych, aby uniemożliwić nieupoważnionym gościom dołączanie do spotkań przy użyciu danych z poprzedniego zaproszenia.
- Przechodzenie zapory sieciowej/NAT: Nasza architektura chroni systemy pokojowe Lifesize i oprogramowanie klienckie za istniejącymi zaporami sieciowymi i zarządza przechodzeniem przez zaporę sieciową przez nasze globalne węzły wywołujące. W związku z tym nie wymagamy otwierania żadnych portów zapory przychodzącej z Internetu ani statycznego publicznego adresowania IP ani skomplikowanych konfiguracji statycznego NAT i zapory ogniowej z przekierowaniem portów. Organizacje mogą zachować swoją obecną postawę obwodową i chronić użytkowników i urządzenia przed uciążliwymi połączeniami SIP i H.323, które są powszechne w otwartym Internecie.
W poszukiwaniu bezpieczeństwa, przejrzystości i otwartości
Bezpieczeństwo i jego towarzysze stanowią złożone i stale ewoluujące wyzwanie dla dużych i małych organizacji, ale powinno być najwyższym priorytetem. Decydenci IT i liderzy biznesowi muszą poświęcić czas na ocenę profili ryzyka swoich dostawców i zrozumieć, czy każde z ich narzędzi komunikacyjnych — niezależnie od tego, czy jest zarządzane centralnie przez dział IT — jest zbudowane i skonfigurowane w celu ochrony wrażliwych danych.
Niestety, wielu usługodawców wymaga od użytkowników wybrania podstawowych funkcji bezpieczeństwa zamiast przestrzegania standardów klasy korporacyjnej. Jeśli dostawcy domyślnie nie traktują priorytetowo bezpieczeństwa, przejrzystości i otwartości, firmy powinny rozważyć, czy ich prywatna komunikacja i dane nie są zagrożone.
