Videokonferenčné riešenia v štátnej sfére, v malých a stredných firmách

V dnešnej dobe čoraz viac a viac zamestnancov pracuje na home-office, čím sa zvyšujú požiadavky na audiovizuálne konferenčné nástroje, ktoré sú použiteľné vo firemnej sfére. Pripravenosť inštitúcií na mimoriadne situácie ako sú zatvorené školy, úrady v obmedzenom režime, zamestnanci na home-office, online vzdelávanie, audiovizuálna komunikácia a využívanie rôznych softvérových zariadení na každodennej báze tiež preverila kríza COVID-19 a ukázali sa i prvé nedostatky či problémy.


Firmy a rôzne druhy organizácií sa stretávajú s problémom elektronickej komunikácie a vzájomným prenosom informácií pri vypracovávaní úloh. Mnoho miest, obcí, škôl, samospráv, menších firiem používa rôzne spôsoby komunikácie, čo nie je dobré a ani bezpečné. Jeden zamestnanec úradu je inšpirovaný informáciami od známych či z diskusných fór a začne používať napr. aplikáciu Google Hangouts. Druhý objaví aplikáciu Zoom, tretí používa Skype, štvrtý WhatsApp, piaty nahráva svoje porady na Youtube, šiesty komunikuje cez Viber, ďalší cez Webex meeting atď. Zamestnanci sú tak nútení do svojich mobilných zariadení inštalovať aplikácie a programy do svojich počítačov, ktoré častokrát dobre nepoznajú a zabúdajú na bezpečnosť. Vedia ako dané aplikácie fungujú?  Sú pre ich zariadenia i pre nich samých bezpečné? Aké osobné údaje sa spracovávajú?  

 

Ako sa ukázalo, kríza COVID-19 enormne zvýšila dopyt po softvérových riešeniach a službách umožňujúcich spoluprácu resp. audiovizuálnu komunikáciu dvoch či viacerých strán v rôznych odvetviach s prihliadnutím na zaistenie bezpečnosti, súkromia a použiteľnosť vybraného riešenia. 

 

Z tohto dôvodu  sme pre Vás pripravili článok s cieľom zhodnotiť vhodnosť aplikácii spĺňajúcich určité bezpečnostné podmienky. Ide o aplikácie, ktoré sú prevažne známe. Vychádzame z analýz vybraných video-konferenčných riešení, ktoré zverejnila na svojej stránke Národná jednotka pre riešenie počítačových incidentov CSIRT.SK 


Popis základných bezpečnostných požiadaviek 

V prvom rade, pred tým ako sa rozhodnete začať používať nejakú aplikáciu pre video-konferenciu, je vhodné si overiť, či vo vašej organizácii existuje nejaký zoznam povoleného softvéru alebo sa skúste spýtať rovno kompetentných (správca IT, manažér IT bezpečnosti a pod.) Ak túto možnosť nemáte, tak v druhom rade je potrebné zistiť, či daná aplikácia spĺňa niektoré zo základných bezpečnostných požiadaviek, či spĺňa požiadavky na súkromie resp. ochranu osobných údajov.

 

Tieto informácie by mal poskytovať vývojár aplikácie  na svojej webovej stránke, kde si môžete overiť, či daná aplikácia používa nasledovné:

Kryptografia 
End-to-end šifrovanie (E2EE) znamená, že dáta medzi odosielateľom a prijímateľom sú zašifrované a takúto komunikáciu nie je možné prečítať bez šifrovacieho kľúča, ktorý má iba odosielateľ a prijímateľ. Cieľom šifrovania je zaistiť, že ak by došlo počas prenosu dát k ich zachyteniu útočníkom alebo prevádzkovateľom služby, nebude ich vedieť dešifrovať, a teda dostať sa k pôvodnej informácii.

  

Dvojfaktorová autentifikácia (2FA) 

Dvojfaktorová autentifikácia (2FA) slúži ako dodatočné overenie  vašej identity prostredníctvom princípu  heslo + „ďalší kód“ napr. vo forme SMS kódu, alebo hardvérového tokenu. 2FA predstavuje dodatočnú vrstvu zabezpečenia pri prihlásení v prípade, že útočník získa užívateľské heslo.

  

Dostupnosť zdrojového kódu 

Otvorený zdrojový kód (open-source) poskytuje možnosť ľahšej auditovateľnosti kódu aplikácie odbornou verejnosťou, teda možnosť overiť si napr. deklarované kryptografické algoritmy a správnosť ich implementácie. Je vhodné spomenúť, že samotná dostupnosť zdrojových kódov nezaručuje automaticky vyššiu bezpečnosť softvéru ale pomáha objaviť zraniteľnosti v aplikáciách, ktoré môžu využiť útočníci.


Súkromie 


Zdieľanie užívateľských dát s tretími stranami 
Platformy pre spoluprácu častokrát musia zbierať základné informácie, aby mohli fungovať. Napriek tomu je žiadané, aby chránili citlivé údaje ako napríklad obsah hovorov alebo detaily jednotlivých kontaktov. Informácie zachytávajúce konverzácie by nemali byť zdieľané s tretími stranami. Zdieľanie informácií s tretími stranami by malo byť jasne definované v pravidlách ochrany súkromia a osobných údajov (GDPR). Aplikácia, ktorá nemá jasne popísané a stanovené pravidlá pre ochranu osobných údajov vyvoláva pochybnosti o jej bezpečnosti. Napr. pri online poradách je dôležite, aby žiadna zo zúčastnených strán nevytvárala záznamy bez predchádzajúceho súhlasu dotknutých osôb. Odporúčané riešenie je vykonávať online porady bez nahrávania. Špecifické prípady je potrebné konzultovať so Zodpovednou osobou (DPO) na ochranu osobných údajov (GDPR) alebo s osobou zodpovednou za informačnú bezpečnosť samostatne (MIB). 

Zraniteľnosti a manažment zraniteľností aplikácií 

Každý softvér vytváraný človekom obsahuje chyby, a teda aj bezpečnostné chyby, ktoré predstavujú zraniteľnosti. Napovedať môžu v tomto smere skôr informácie o tom, ako autor alebo spoločnosť stojaca za vývojom softvéru alebo prevádzkou služby reaguje na prípadné objavené zraniteľnosti. Konkrétne to znamená či a ako rýchlo je táto spoločnosť schopná chyby opraviť a tiež, či je ochotná podvoliť svoj produkt nestrannému auditu tretej strany. Prikláňame sa k názoru, že poskytovateľ služby alebo softvéru, ktorý dbá a zaujíma sa o bezpečnosť svojich produktov, bude reagovať na prípadné odhalené zraniteľnosti alebo úniky dát promptne a transparentne napr. bude o tom informovať na svojej web stránke.

Výber aplikácie - platformy 

Pri výbere video-konferenčného riešenia je vhodné zohľadniť aj platformy (operačný systém alebo aplikačné prostredie) účastníkov, na ktorých má softvér alebo služba fungovať. Z verejne dostupných informácií môžeme predpokladať, že väčšinový podiel na operačných systémoch bude mať Microsoft Windows a na mobilných zariadeniach Android (menej iOS). Taktiež je dôležité, aby používané operačné systémy mali nainštalované posledné bezpečnostné záplaty. Pri výbere aplikácie je potrebné zohľadniť aj počet pripojených užívateľov v danom čase vs vyťaženosť internetovej linky. Toto je dôležité pre hladké fungovanie video-konferencie bez rušivých elementov ako napr. sekanie obrazu, zvuku, odpájanie sa od konferencie  a pod. V prípade, že má zamestnanec doma slabú linku tak v núdzovom prípade môže použiť iba audio, bez videa.


Bližšie hodnotenie vybraných aplikácií a služieb  
Zoom 

Počas pandemickej krízy bol v osobnom, ale aj komerčnom sektore a dokonca aj v rámci štátneho sektora viacerých krajín vnímaný ako prvá voľba. S rastúcou popularitou sa začali objavovať problémy týkajúce sa súkromia, bezpečnosti a užívateľskej konfigurácie. Niektoré problémy týkajúce sa súkromia sa začiatkom roku 2020 zlepšili po tom, čo došlo k úprave licenčných podmienok. Avšak podľa viacerých zdrojov Zoom stále zbiera veľké množstvo užívateľských údajov.

 

O bezpečnosti samotnej aplikácie sa začiatkom roku 2020 vyjadrovali odborníci nelichotivo, nakoľko vykazovala nedôsledné programátorské praktiky, ktoré mali za následok popri iných aj nasledovné problémy:

  • škodlivá webstránka mala možnosť zapnúť bez povolenia webkameru užívateľa (klientska aplikácia pre MacOS) 
  • posielanie užívateľských dát Facebooku, aj keď užívateľ nemal Facebook účet (klientska aplikácia pre iPhone) 

 

Za zmienku stoja aj ďalšie problémy, ktoré sa týkali úniku užívateľských údajov, zlej kryptografie (v tomto prípade Zoom otvorene klamal) a veľmi pochybných praktík, kedy šifrovacie kľúče potrebné k zabezpečeniu hovoru boli účastníkom doručené prostredníctvom serverov nachádzajúcich sa v Číne. Napriek tomu, že všetci účastníci, rovnako ako klientska spoločnosť sídlili mimo územia Číny. Ďalší odborníci upozorňujú na fakt, že Zoom zamestnáva cca 700 programátorov prostredníctvom troch čínskych spoločností, čím sa vystavuje potenciálnemu tlaku zo strany tamojších štátnych orgánov napr. na úmyselné zavedenie bezpečnostnej chyby prostredníctvom ktorej by mohla byť ohrozená bezpečnosť aplikácie.

 

Koncom prvého kvartálu roku 2020 po tlaku z viacerých strán zverejnila spoločnosť Zoom plán obsahujúci viacero krokov k zlepšeniu bezpečnosti ich produktu. Popritom problém tzv. Zoombombingu v bezplatnej verzii aplikácie nebol stále vyriešený. Pri Zoombombingu ide o  nežiaduce a rušivé narušenie online video-konferencie, ktoré obvykle uskutočňujú trollovia,  hackeri cez internet priamo do video-konferenčného hovoru. Pri tomto incidente je video-konferenčná relácia narušená vložením materiálu, ktorý je svojou povahou oplzlý, obscénny, rasistický, homofóbny alebo antisemitský, čo zvyčajne vedie k ukončeniu relácie. Je vhodné spomenúť, že odborníci kritizujúci Zoom za vyššie uvedené nedostatky.

 

Je vhodné spomenúť, že po posledných bezpečnostných zlepšeniach uvádzajú, že používajú Zoom ako štandardné video-konferenčné riešenie pre výuku na Harvardskej univerzite.


Google (Meet, Hangouts) 

Poskytovateľ služby Google ponúka viacero služieb, menovite Hangouts – bezplatnú verziu video-konferenčnej cloudovej služby pre každého užívateľa s Google účtom a Google Meet – platenú aj bezplatnú verziu video-konferenčnej cloudovej služby tvoriacu súčasť platených služieb G Suite. Služby sú proprietárne, teda neponúkajú k nahliadnutiu zdrojový kód softvéru, na ktorom sú postavené. Rozdiely medzi uvedenými službami sú v ponúkanej funkcionalite. Napríklad zdieľanie obrazovky, limit na počet účastníkov alebo možnosť zúčastniť sa video-konferencie ako hosť bez registrácie. Pri službe Google Meet je vyžadované od hostí, aby sa prihlásili do Google účtu pokiaľ organizátor video-konferencie používa osobný účet. Pokiaľ organizátor využíva platený balíček G Suite, tak hostia sa dokážu zúčastniť video-konferencie aj bez prihlásenia do Google účtu. Google Meet aj Hangouts sú dostupné prostredníctvom webového prehliadača, čo predstavuje výhodu z hľadiska multiplatformovosti. Jedná sa o cloudové riešenie bez možnosti vlastného hostovania služby (dáta na vlastných serveroch). Z pohľadu bezpečnosti sú obe riešenia na takmer rovnako dobrej úrovni, avšak ani jedno nepodporuje end-to-end šifrovanie. Pri oboch riešeniach je potrebné brať do úvahy, že užívateľské dáta sú predmetom záujmu poskytovateľa služby – spoločnosti Google (sociálne inžinierstvo).


Skype for Business 

Ide o komerčný proprietárny video-konferenčný softvér s dlhou históriou, čomu zodpovedajú aj pokročilé funkcionality a integrácia s ostatnými produktami spoločnosti Microsoft. Softvér je súčasťou cloudového riešenia Office 365, ale môže byť nasadený aj vo vlastnej infraštruktúre (on-premise). Neponúka end-to-end šifrovanie a pri cloudovej verzii je oprávnené predpokladať, že užívateľské dáta budú predmetom záujmu poskytovateľa služby podobne ako pri Google Hangouts. Od roku 2019 už Skype for Business nie je súčasťou produktového portfólia pre niektorých zákazníkov spoločnosti Microsoft a koniec celkovej podpory pre produkt nastal v júly 2021. Nástupcom sa stal Microsoft Teams.


Microsoft Teams 

Ide o komerčný proprietárny softvér, ktorý ponúka nie len možnosť video hovoru ale aj ďalšie funkcie a možnosti spolupráce medzi užívateľmi (chat, zdieľanie obrazovky, spolupráca na dokumentoch). Softvér sa vyznačuje dobrou integráciou s ostatnými produktami spoločnosti Microsoft. MS Teams je dostupný buď bezplatne, alebo ako platená verzia v rámci balíka Microsoft Office 365 (MS O365) ako cloudová služba SaaS. Bezplatná verzia MS Teams poskytuje možnosť video hovorov prostredníctvom serverov Microsoftu pre 50 účastníkov, pri platených verziách môže byť počet účastníkov vyšší. V oboch prípadoch je možná účasť na video-konferencii aj bez nutnosti registrácie (hosťovský účet). Pri využívaní bezplatnej verzie je citeľná snaha poskytovateľa služby presvedčiť užívateľa k predplateniu služieb MS O365. Softvér ponúka možnosť pripojiť sa prostredníctvom webového prehliadača. Dostupná je aj možnosť používať viacfaktorovú autentifikáciu (2FA). Používa štandardné šifrovanie prostredníctvom protokolov TLS, mTLS a SRTP, ale neponúka možnosť E2EE end-to-end šifrovania, čo ho diskvalifikuje v scenároch, kde si užívatelia potrebujú vymieňať citlivé informácie. MS Teams podobne ako konkurenčný softvér zaznamenala v posledných rokoch niekoľko vážnych zraniteľnosti, ktoré boli v rámci manažmentu zraniteľností v krátkom období opravené. MS Teams predstavuje dobre použiteľné riešenie na komunikáciu a spoluprácu v organizáciách, avšak je potrebné zvážiť vyššie popísané nedostatky softvéru/služby. Microsoft už v minulosti vyvolal niekoľkokrát pochybnosti o súkromí užívateľských dát. Technická podpora spoločnosti Microsoft nás počas prípravy tejto analýzy informovala, že spoločnosť pracuje na koncepte, kedy by mala mať organizácia možnosť použiť vlastné šifrovacie kľúče, čo by mohlo zvýšiť dôvernosť prenášaných dát.


Cisco Webex 

Webex od spoločnosti Cisco je komerčné proprietárne video-konferenčné riešenie s možnosťou použitia aj bezplatnej verzie. Serverová časť produktu beží v infraštruktúre poskytovateľa služby, jedná sa teda o cloudovú službu. Nasadenie serverovej časti on-premise (na vašich   serveroch) už nie je možné, nakoľko Cisco Webex Meetings Server oznámil end-of-life, teda koniec predaja a podpory produktu, ktorý mohol byť nasadený vo vlastnej infraštruktúre. Z informácií pojednávajúcich o bezpečnosti produktu a modelovaní rizík zverejnených výrobcom vyplýva, že spoločnosť má seriózny záujem na bezpečnosti produktu.   Softvér používa štandardné auditovateľné kryptografické algoritmy a protokoly, pri ktorých momentálne nie sú verejne známe žiadne bezpečnostné zraniteľnosti. Webex sa teší vysokej popularite a býva častokrát vnímaný ako alternatíva k Zoom-u. Okrem video-konferencie ponúka aj chat, plánovanie, kreslenie a zdieľanie obrazovky, čo zvyšuje jeho použiteľnosť pre bežného používateľa v prostredí danej organizácie. Veľmi dobré ohlasy sú aj na spoľahlivosť samotného produktu. Produkt Webex má v rámci manažmentu zraniteľností vlastnú „Bug Bounty“ iniciatívu, čo je  vlastne platforma v rámci aplikácie slúžiaca na nahlasovanie bezpečnostných chýb nájdených dobrovoľníkmi pri používaní.

 

 

Zhrnutie  

Väčšina analyzovaných služieb je vhodná na bežnú prácu, ako výučby študentov z domu alebo pracovné porady kolegov, na ktorých nebudú komunikované citlivé informácie a kde bezpodmienečné zachovanie ich dôvernosti, ako aj niektorých časti súkromia nebudú vnímané ako determinujúci faktor. V situácii kedy užívatelia budú pracovať z prostredia domova a budú musieť komunikovať a vymieňať si informácie, môže nastať situácia, že si budú potrebovať vymeniť aj informácie citlivej povahy. 

 

Pre tento scenár odporúčame výber video-konferenčného riešenia spĺňajúceho nasledovne kritéria:

  • end-to-end šifrovanie (E2EE) - zaručuje zachovanie dôvernosti dát medzi účastníkmi,
  • viacfaktorová autentifikácia (2FA) - zaručuje dodatočnú formu zabezpečenia pri prihlasovaní,
  • možnosť lokálneho hostingu (on-premise) - možnosť mať pod kontrolou infraštruktúru, na ktorej beží serverová časť softvéru a taktiež metadáta vznikajúce pri prevádzke služby.


Doplnkovými kritériami môžu byť užívateľská prívetivosť a multiplatformovosť, preferujúc možnosť pripojiť sa do video-konferencie prostredníctvom webového prehliadača.

 

Odporúčame prikloniť sa k niektorému uvedených poskytovateľov cloudových služieb Cisco Webex - využívajúc natívnu aplikáciu pre MS Windows s end-to-end šifrovaním


Pre teoretický scenár, v ktorom by vzdelávacie inštitúcie alebo samosprávy mohli použiť niektoré z video-konferenčných riešení na diaľkovú výučbu si dokážeme predstaviť riešenie s nasledujúcimi vlastnosťami:

  • Bezplatné riešenie – odstránenie vstupnej bariéry vo forme obstarávacích nákladov.
  • Je v Cloude – vyriešia sa tým starosti s vlastnou infraštruktúrou (potrebný hardware, nasadzovanie, administrácia) a personálom.
  • Multiplaformovosť – možnosť zúčastniť sa video-konferencie prostredníctvom webového prehliadača, aby bolo možné pripojiť sa z akéhokoľvek zariadenia, resp. operačného systému.
  • Riadenie prístupu do video-konferencie – správca udalosti má mať možnosť riadiť prístup do video-konferencie. 

 

Z vyššie uvedených požiadaviek nám vyplývajú tieto konkrétne riešenia:

  • Cisco Webex
  • Zoom (v platenej verzii) 
  • Microsoft Teams

  

Pri službách od spoločností Google alebo Amazon vnímame potrebu registrácie u týchto spoločností ako určitú vstupnú bariéru. Za spomenutie stojí aj skutočnosť, že niektoré prestížne zahraničné univerzity (Harvard) sa rozhodli používať Zoom ako štandardný prostriedok na vzdialenú výučbu. Jeho používanie povolilo aj mesto New York pre svoje školy po tom, ako došlo k oprave bezpečnostných chýb, ktoré boli objavené začiatkom roku.

 

Bezpečnosť aplikácií sa však môže v čase meniť, preto je potrebné neustále sledovať trendy v oblasti bezpečnostných rizík týchto aplikácií. V prípade, že ste si nie istý bezpečnosťou aplikácie, ktorú používate alebo máte podozrenie na porušenie ochrany osobných údajov, bezodkladne kontaktuje Zodpovednú osobu (DPO) vo vašej organizácii alebo manažéra informačnej bezpečnosti (MIB).

  

Tento článok, nie je originálnym článkom autora, ide o výťah najzaujímavejších informácii z analýzy CSIRT.SK  "ANALÝZA VYBRANÝCH VIDEO-KONFERENČNÝCH RIEŠENÍ"

Celú analýzu nájdete na tomto odkaze: https://www.csirt.gov.sk/doc/Video-konferencie1.0.pdf