בעיות פרטיות ואבטחה בתוכנת זום – האם לעבור למתחרים?
בזמן משבר הקורונה כולם גילו כי זום היא תוכנה מצוינת לצורך עבודה מרחוק ● אלא שיש בה פגמים מהותיים מבחינת פרטיות ואבטחה ● בזום פועלים לאבטחה מוקפדת ברבה, אבל אחרי כל הבעיות, האם ניתן לבטוח בתוכנה שוב?
זום היא תוכנה מצוינת כדי לאפשר עבודה מרחוק, אבל במהלך משבר הקורונה התגלו בה פגמים מהותיים מבחינת הפרטיות והאבטחה. כך, פגיעות "עין חקרנית" שהתגלו בה (ובוובקס של סיסקו) אפשרו לזרים להיכנס לשיחות זום ללא שהוזמנו, שתי פגיעויות קריטיות בתוכנה הוצעו למכירה על ידי האקרים תמורת חצי מיליון דולר ומשתמש מקליפורניה הגיש בקשה לתביעה ייצוגית נגד החברה, בטענה כי היא משתפת נתוני משתמשים עם חברות כמו פייסבוק ללא הסכמתם. זום תיקנה את מרבית הפגיעויות הללו והשיקה באפריל את גרסה 5.0, וככלל, החברה טוענת כי היא פועלת כדי להפוך את התוכנה למאובטחת יותר. אבל אחרי כל הבעיות, האם ניתן לבטוח בה שוב?
התשובה לשאלה האם ניתן לבטוח בזום תלויה בדרך בה היא מגיבה לבעיות הפרטיות והאבטחה שהתפרסמו במהלך השבועות האחרונים. על אף שבוצעו שגיאות גדולות, נראה כי החברה הגיבה כראוי. היא ביצעה שינויים כדי לשפר את הגדרות הפרטיות והאבטחה בכל החשבונות, ועשתה אף מעבר לכך בתחומים נקודתיים, כמו חינוך. החברה גם גייסה לעזרה דמויות בולטות בעולם אבטחת המידע, וקיימה מועצת CISO כדי לסייע להם למזער את בעיות האבטחה והפרטיות שעוד נותרו. במקביל, הם תקשרו את הדברים בצורה ישירה ושקופה. לא בטוח שכל הבעיות יתוקנו במהירות, אבל הפעולות האלה מסייעות לרכוש את אמוננו. בצד השני של הדברים יש לשאול מהי החלופה? אין הבטחה שאם כולם יעברו לפלטפורמה אחרת לא יתרחשו בעיות דומות או אפילו גרועות יותר.
המייסד של זום ציין בפוסט כי האפליקציה נועדה לשימוש ארגוני, ולכן לא נבנתה במקור מתוך מחשבה על פרטיות המשתמש. מה המשמעות של הדברים? האם זהו הסבר מתקבל?
יש בכך מן האמת, מכיוון שישנן דרישות פרטיות שונות לארגונים לעומת לקוחות פרטיים. לדוגמה, לישיבת הנהלה בה דנים במידע סודי יש דרישות פרטיות שונות לגמרי מאשר למפגש של "חוג קריאה". עם זאת, זום מעולם לא התחילה מנקודה טובה במיוחד. חלק מהבעיה נובעת מהעובדה שזום עברה בזמן קצר מאוד מ-10 מיליון שיחות ביום ליותר מ-200 מיליון. הפלטפורמה נועדה להיות קלה וישירה מאוד לשימוש, מצב בו לעיתים קרובות צריך להתפשר על אבטחה ופרטיות. במקרה זה, חלק מהפשרות היו לגבי הדרך בה הוטמעו הגדרות ברירת מחדל. בחשבונות חינמיים, קביעת ההגדרות הושארה בידי המשתמשים עצמם, בעוד שבסביבה ארגונית האחריות לכך נופלת על אנשי ה-IT. לשמחתנו, זום ביצעה מאז את השינויים הנדרשים בהגדרות ברירת המחדל, והפכה את כל השיחות למאובטחות ופרטיות יותר.
מה המצב עם השירותים המתחרים?
בעבור חברה שרוצה לבצע שיחות וידיאו חיות, מבלי לוותר על אבטחה ופרטיות, מה הדרך המומלצת להמשך? האם שירותי שיחות וידיאו, כגון סיגנל, נקיים לחלוטין מבעיות אבטחה?
לסיגנל יש היסטוריה מוכחת בכל הנוגע לפרטיות ואבטחה. האפליקציה נבנתה תוך חשיבה על עקרונות נכונים של אבטחה ופרטיות.
אלא שאי אפשר להבין מכך כי שירותים ואפליקציות כגון סיגנל הם נקיים מחולשות או מבעיות אבטחה. לדוגמה, בעוד שהפרוטוקול של Signal הוא מאוד מאובטח ואמין, גרסת שולחן העבודה של האפליקציה היא אפליקציית אלקטרון. המשמעות היא שיש קוד נוסף, בנוסף לקוד הנייטיב של סיגנל, אשר עלול להכיל באגים.
בשורה התחתונה, כל שירות שאתה משתמש בו עלול להכיל פרצות. מה שחשוב הוא שהחברה שמפתחת את השירותים מטפלת באבטחה ובפרטיות כחלק בלתי נפרד מתהליך התכנון והבנייה. כדי להשיג זאת, חברות צריכות להתחיל מהפעלה של תכנית אבטחה מוגדרת וברורה. המשמעות היא שכל החלקים בעסק יהיו מודעים לאבטחה: מפיתוח הקונספט, דרך התכנון, הבחינה ועד ההטמעה.
ראינו כי Zoom מתחילה רק עכשיו לשלב חשיבה אבטחתית בפעילות העסקית שלה, ובעוד אנו מברכים על המאמץ, היא הייתה צריכה להיות שם כבר מההתחלה.
הכותב הוא חוקר בכיר בחברת אבטחת הסייבר סופוס
הפתרון של אמזון ציים נחשב מאובטח https://aws.amazon.com/chime/?chime-blog-posts.sort-by=item.additionalFields.createdDate&chime-blog-posts.sort-order=desc