Kopš Latvijas teritorijā stājās spēkā ārkārtas situācija un arvien vairāk organizācijas pārslēdzās attālinātā darba režīmā, CERT.LV regulāri saņem jautājumus saistībā ar telekonferenču rīku drošību un lūgumus ieteikt labāko risinājumu. Atsevišķā CERT.LV tehnisko ekspertu darba grupā tika analizēti šobrīd populārākie telekonferenču rīki, tādi kā Cisco WebEx Teams, Zoom, Microsoft Teams un citi, pēc tādiem parametriem kā funkcionalitātes iespējas, privātums un drošība, pēdējie atjauninājumi, bīstamākās ievainojamības, izcelsmes valsts utt. Pēc komunikācijas ar citu valstu CERT komandām, jāsecina, ka CERT.LV ir veicis šobrīd apjomīgāko pārskatu par minētajiem rīkiem. Pārskats ir pieejams CERT.LV galvenajiem sadarbības partneriem - atbildīgajiem par IT drošību valsts un pašvaldību iestādēs, kritiskās infrastruktūras uzņēmumos un pamata pakalpojumu sniedzēju organizācijās.
Svarīgākais secinājums pēc veiktās izpētes - visiem tirgū pieejamajiem risinājumiem ir konstatētas dažādas ievainojamības un trūkumi. Neeksistē universāls, absolūti drošs risinājums, kas būtu vienlaicīgi lietotājam draudzīgs, nodrošinātu pilnu konfidencialitāti, un operatīvi ieviešams bez papildu resursiem (finanšu, tehniskajiem un cilvēkresursiem) ārkārtas situācijā. Izmantojot kādu no minētajiem rīkiem, ir jāsaprot, ka tie nav paredzēti konfidenciālas vai sensitīvas informācijas apmaiņai, bet gan ikdienas darbu nodrošināšanai.
Vēlamies uzsvērt, ka, ja kompānijai vai organizācijai jau ir kāds iekšējs risinājums, kas ir veiksmīgi integrēts infrastruktūrā un tiek ilgstoši lietots, tad noteikti nevajadzētu pēkšņi kaut ko mainīt, sekojot dažādiem publiski izskanējušiem apgalvojumiem. Jauna, organizācijai mazpazīstama risinājuma ieviešana var radīt tehnoloģiju nesaderības problēmas, pakļaut infrastruktūru jauniem riskiem un radīt spriedzi lietotājiem, kuriem nāksies apgūt jaunu rīku, kas, iespējams, sākotnēji nedarbosies, kā gaidīts.
Kas attiecas uz šobrīd sabiedrībā un medijos plaši apspriesto telekonferenču rīku Zoom – ir svarīgi saprast, ka, jo populārāks kļūst kāds produkts, jo lielāku uzmanību tam pievērsīs gan informācijas tehnoloģiju drošības eksperti, gan mediji un sabiedrība. Bet tam ir arī pozitīvais aspekts – tas nodrošina izstrādātājam pastiprinātu atgriezenisko saiti un iespēju pilnveidot savu produktu un procesus. Patreiz tiek novērots, ka Zoom izstrādātāji salīdzinoši efektīvi reaģē uz identificētajiem trūkumiem, publicējot atjauninājumus īsā laika posmā.
Ja līdz šim nav bijusi nepieciešamība izmantot kādu attālinātās saziņas rīku, tad, izvēloties kādu risinājumu, jāņem vērā:
- kāda ir nepieciešamā rīka funkcionalitāte: vai būs nepieciešama videokonferences funkcija, vai būs nepieciešama tekstuālu paziņojumu funkcija, vai būs failu apmaiņa? Aicinām izvēlēties risinājumu tikai ar tām funkcijām, kas būs nepieciešamas, tādejādi samazinot potenciālos riskus, nevis meklējot rīku ar maksimāli plašu funkciju klāstu ar domu “ja nu noderēs”;
- ka visiem tirgū pieejamajiem risinājumiem ir konstatētas dažādas ievainojamības un trūkumi, un būtiski ir tas, cik ātri izstrādātājs reaģē uz atklātajām nepilnībām un tās novērš;
- ja mākoņservisa vietā tiek izvēlēts pašu uzturēts pakalpojums, tad jārēķinās ar to, ka būs nepieciešama atbilstošas infrastruktūras sagatavošana, zinoša komanda un regulārs darbs, lai nodrošinātu projekta atbilstošu nepārtrauktu un drošu uzturēšanu. Ja nav iespējams ieguldīt atbilstošus resursus (laiku, līdzekļus) produkta uzturēšanā, drošāk ir izmantot ārēju risinājumu;
- ka pirms produkta iegādes ir jāiepazīstas ar tā piedāvātajiem uzstādījumiem, kas ļauj nodrošināt papildu tiešsaistes sanāksmju drošību, piemēram, liedzot pieslēgties svešiem dalībniekiem, vai konferences organizētājam dodot iespēju atslēgt kādu no dalībniekiem vai ierobežot tā tiesības.
Darbiniekus, pirms izdarīt izvēli par labu vienam vai citam rīkam, aicinām sazināties ar savu IT departamentu un noskaidrot, vai organizācijas rīcībā jau nav kāds rīks, vai saņemt ieteikumus organizācijas drošības politikai un infrastruktūrai atbilstošāko rīku izvēlē.
Kā novērst apdraudējumus?
Neatkarīgi no izvēlētā risinājuma, iesakām pamata lietas:
- sekot līdzi izlaistajiem atjaunojumiem, pārliecināties, ka tie tiek uzinstalēti laicīgi;
- pārlūkprogrammu paplašinājumi un mobilās lietotnes ir drošākas par desktop programmām, jo tiek izmantota "sandboxing" tehnoloģija, kas ierobežo datus, kurus aplikācija varētu savākt;
- aicinot pievienoties sarunas biedrus videokonferencei, drošāk ir nevis sūtīt URL (ar kuru jebkurš varētu ielogoties), bet dot pieejas konkrētam lietotājam. Parasti vienkāršākais veids, kā to panākt, ir palūgt visus sarunas biedrus piereģistrēties tajā pašā platformā, bet, ja runa ir par korporatīvu vidi vai valsts sektoru - vislabāk autentifikācijai izmantot pašiem savu infrastruktūru, šī opcija saucas par "Single Sign-On (SSO)" un to atbalsta gan Zoom, gan arī visi pārējie līdzīgie risinājumi. Šajā gadījumā personu dati paliek organizācijas pārvaldībā.
- ja tomēr ir jāreģistrējas videokonferenču risinājumā (parasti vismaz administratoram tas ir jāizdara), tad šos kontus iesakām pasargāt ar multifaktoru autentifikāciju (MFA), nevis paļauties uz vienu pašu paroli;
- daļu ar privātumu saistītu bažu rada sociālo tīklu un citu platformu izmantošana autentifikācijai, kurā tiek nodots pārāk daudz privāto datu. Lai novērstu šo apdraudējumu, aicinām veidot kontu tieši lietotnē.
- Daļai no risinājumiem ir pieejamas versijas, kuras organizācijas var uzturēt savā infrastruktūrā ("self-hosted", "on-premises", "private cloud"). Šajā gadījumā tiek minimizēta datu apstrāde trešās puses serverī.
- jāatceras, ka, izmantojot jebkuru šādu produktu, var veikt publiska satura sarunas, bet nav pieļaujama apmaiņa ar klasificētu informāciju;
- ja ir satraukums par datiem uz konkrētās iekārtas, papildu drošībai konferencēm iespējams izmantot atsevišķu iekārtu vai virtuālo mašīnu.
CERT.LV turpina darbu pie telekonferenču rīku drošības pārskata pilnveidošanas, kā arī seko līdzi tālākai situācijas attīstībai šajā jomā.
Drossinternets.lv sadarbībā ar CERT.LV ir apkopojuši arī ieteikumus drošākai Zoom un Microsoft Teams platformu izmantošanai, ar ko aicinām iepazīties, organizējo attālinātās sapulces vai mācību stundas.
Kopš Latvijas teritorijā stājās spēkā ārkārtas situācija un arvien vairāk organizācijas pārslēdzās attālinātā darba režīmā, CERT.LV regulāri saņem jautājumus saistībā ar telekonferenču rīku drošību un lūgumus ieteikt labāko risinājumu. Atsevišķā CERT.LV tehnisko ekspertu darba grupā tika analizēti šobrīd populārākie telekonferenču rīki, tādi kā Cisco WebEx Teams, Zoom, Microsoft Teams un citi, pēc tādiem parametriem kā funkcionalitātes iespējas, privātums un drošība, pēdējie atjauninājumi, bīstamākās ievainojamības, izcelsmes valsts utt. Pēc komunikācijas ar citu valstu CERT komandām, jāsecina, ka CERT.LV ir veicis šobrīd apjomīgāko pārskatu par minētajiem rīkiem. Pārskats ir pieejams CERT.LV galvenajiem sadarbības partneriem - atbildīgajiem par IT drošību valsts un pašvaldību iestādēs, kritiskās infrastruktūras uzņēmumos un pamata pakalpojumu sniedzēju organizācijās.
Svarīgākais secinājums pēc veiktās izpētes - visiem tirgū pieejamajiem risinājumiem ir konstatētas dažādas ievainojamības un trūkumi. Neeksistē universāls, absolūti drošs risinājums, kas būtu vienlaicīgi lietotājam draudzīgs, nodrošinātu pilnu konfidencialitāti, un operatīvi ieviešams bez papildu resursiem (finanšu, tehniskajiem un cilvēkresursiem) ārkārtas situācijā. Izmantojot kādu no minētajiem rīkiem, ir jāsaprot, ka tie nav paredzēti konfidenciālas vai sensitīvas informācijas apmaiņai, bet gan ikdienas darbu nodrošināšanai.
Vēlamies uzsvērt, ka, ja kompānijai vai organizācijai jau ir kāds iekšējs risinājums, kas ir veiksmīgi integrēts infrastruktūrā un tiek ilgstoši lietots, tad noteikti nevajadzētu pēkšņi kaut ko mainīt, sekojot dažādiem publiski izskanējušiem apgalvojumiem. Jauna, organizācijai mazpazīstama risinājuma ieviešana var radīt tehnoloģiju nesaderības problēmas, pakļaut infrastruktūru jauniem riskiem un radīt spriedzi lietotājiem, kuriem nāksies apgūt jaunu rīku, kas, iespējams, sākotnēji nedarbosies, kā gaidīts.
Kas attiecas uz šobrīd sabiedrībā un medijos plaši apspriesto telekonferenču rīku Zoom – ir svarīgi saprast, ka, jo populārāks kļūst kāds produkts, jo lielāku uzmanību tam pievērsīs gan informācijas tehnoloģiju drošības eksperti, gan mediji un sabiedrība. Bet tam ir arī pozitīvais aspekts – tas nodrošina izstrādātājam pastiprinātu atgriezenisko saiti un iespēju pilnveidot savu produktu un procesus. Patreiz tiek novērots, ka Zoom izstrādātāji salīdzinoši efektīvi reaģē uz identificētajiem trūkumiem, publicējot atjauninājumus īsā laika posmā.
Ja līdz šim nav bijusi nepieciešamība izmantot kādu attālinātās saziņas rīku, tad, izvēloties kādu risinājumu, jāņem vērā:
Darbiniekus, pirms izdarīt izvēli par labu vienam vai citam rīkam, aicinām sazināties ar savu IT departamentu un noskaidrot, vai organizācijas rīcībā jau nav kāds rīks, vai saņemt ieteikumus organizācijas drošības politikai un infrastruktūrai atbilstošāko rīku izvēlē.
Kā novērst apdraudējumus?
Neatkarīgi no izvēlētā risinājuma, iesakām pamata lietas:
CERT.LV turpina darbu pie telekonferenču rīku drošības pārskata pilnveidošanas, kā arī seko līdzi tālākai situācijas attīstībai šajā jomā.
Drossinternets.lv sadarbībā ar CERT.LV ir apkopojuši arī ieteikumus drošākai Zoom un Microsoft Teams platformu izmantošanai, ar ko aicinām iepazīties, organizējo attālinātās sapulces vai mācību stundas.