Zoom в кризис: настройки безопасности, которые нужно проверить
В марте 2020 года Zoom за ночь стал инфраструктурой компаний. Практический чеклист для руководителей, которые не являются специалистами по безопасности.
За последние две недели марта Zoom превратился из инструмента, который разработчики иногда использовали, в основную коммуникационную платформу целых организаций. Вместе с этим начали поступать сообщения: незваные гости на публичных встречах, записи конфиденциальных звонков в открытом доступе, учётные данные аккаунтов на paste-сайтах.
Чтобы это устранить, не нужна техническая квалификация. В большинстве случаев это проблема настроек.
Почему настройки по умолчанию небезопасны
Конфигурация Zoom по умолчанию была рассчитана на простой онбординг, а не на компанию, которая переносит операции на платформу под давлением времени. Несколько настроек по умолчанию, разумных для небольшой команды, пробующей продукт, плохо подходят компании, которая проводит на нём советы директоров и встречи с клиентами.
Самая известная проблема - «Zoom bombing», когда незваные люди заходят на встречу, - почти всегда предотвращается двумя настройками. Остальное касается данных и доступа.
Настройки, которые нужно изменить сейчас
Это настройки на уровне администратора аккаунта. Если ваша IT-команда этого ещё не сделала - кто-то должен сделать это сегодня.
Зал ожидания - включите. Каждый участник ждёт в лобби, пока хост его не пустит. Одно это останавливает большинство незваных входов.
Требование пароля - включите пароли для всех встреч, не только для запланированных. Zoom генерирует их автоматически. Передавайте через защищённый канал, а не публичным постом.
Демонстрация экрана - измените значение по умолчанию с «все участники» на «только хост». Хост может дать право на демонстрацию во время звонка. Это не позволяет участникам показывать экран без разрешения.
Хранилище записей - если вы используете облачные записи, проверьте, кто имеет к ним доступ в настройках аккаунта. По умолчанию записи могут быть доступны всем пользователям организации. Ограничьте доступ хостом и явно приглашёнными.
Идентификатор встречи - не используйте Personal Meeting ID (PMI) для конфиденциальных звонков. Ваш PMI - это по сути постоянный номер комнаты. Для звонков, которые должны оставаться приватными, используйте генерируемые ID.
Сквозное шифрование - весной 2020 года шифрование Zoom находилось под пристальным вниманием. Для звонков, затрагивающих чувствительные темы, стоит подумать, подходит ли Zoom вообще. Для большинства операционных звонков описанных выше настроек достаточно.
Кто должен за это отвечать
В компании любого размера у этих настроек должен быть владелец. Если нет IT-администратора - это человек, который управляет корпоративным аккаунтом Zoom. Это десять минут работы. Недопустимо, чтобы это оставалось несделанным, потому что непонятно, чья это задача.
Замечание о более широкой ситуации
Zoom не является уникально опасным. Паттерн риска здесь такой: инструмент, развёрнутый быстро под кризисным давлением, без проверки конфигурации, которая обычно сопровождает стратегическое развёртывание инструмента. Та же логика чеклиста применима к каждому инструменту, который ваша организация в спешке приняла в этом месяце. Настройки безопасности, проверенные в обычных условиях и не проверенные в условиях кризиса, - это именно тот разрыв, который отслеживают атакующие.