“Drossinternets.lv” informēja, ka izplatītas kļūdas ir:
- telekonferenču sapulču rīkošana, nenodrošinot piekļuvi ar paroli,
- sapulces saites publicēšana sociālajos tīklos,
- nepiemērotu drošības iestatījumu izvēle,
- jaunāko lietotņu versiju neizmantošana.
Rezultātā aizvadītajā nedēļā kādai “Zoom” telekonferencei, kurā piedalījās prominenti Latvijas uzņēmēji un valsts institūciju pārstāvji, pieslēdzās neautorizētas personas, kas visiem sapulces dalībniekiem demonstrēja nelegāla satura materiālus. Šādi gadījumi jau nodēvēti par “Zoom bombing”.
“Drossinternets.lv” rīcībā ir arī informācija par līdzīgu gadījumu Norvēģijā - deviņus gadus vecas meitenes mācību nolūkos piedalījās videosapulcē, kurai negaidīti pieslēdzās vīrietis un ar savu nepiedienīgo rīcību šokēja meitenes. Tāpat “Drossinternets.lv” ir saņemts ziņojums par mācību stundu, kuras laikā klases biedri videokonferences platformā čatā pazemoja citu klasesbiedreni, rakstot rupjības un zīmējot uz ekrāna nepiedienīgus zīmējumus. To redzēja visi klases biedri un skolotāja. Ja skolotāja būtu izmantojusi atbilstošus drošības iestatījumus, liedzot citiem rakstīt čatā vai "pārņemt" ekrānu, nekas tāds nebūtu noticis.
“Pēdējā laikā aktualizējušās problēmas, kad sapulču un mācību norisi iztraucē “nelūgti” viesi vai skolēni demonstrē visatļautību. Visbiežāk problēmas rodas nevis rīku izstrādātāju vainas dēļ, bet gan nezinošu vai negodprātīgu lietotāju dēļ. Tāpēc, lai tehnoloģiju sniegtās iespējas attālinātās mācīšanās un strādāšanas laikā tiktu izmantotas bez starpgadījumiem, aicinām pedagogus un ikvienu, kas rīko sapulces tiešsaistē, pārliecināties, ka visi priekšnoteikumi drošai videokonferences organizēšanai ir ievēroti,” uzsvēra “Drossinternets.lv” vadītāja Maija Katkovska.
Savukārt “Cert.lv” vadītāja Baiba Kaškina norādīja: “Ikvienam digitālam risinājumam ir iespējamas ievainojamības un ir trūkumi. Nepastāv universāls, absolūti drošs risinājums, kas būtu vienlaicīgi lietotājam draudzīgs, nodrošinātu pilnu konfidencialitāti un būtu operatīvi ieviešams bez papildu finanšu, tehniskajiem un cilvēkresursiem ārkārtas situācijā.”
Runājot par “Zoom”, Kaškina uzsvēra, ka, jo populārāks kļūst kāds produkts, jo lielāku uzmanību tam pievērsīs gan informācijas tehnoloģiju drošības eksperti, gan mediji un sabiedrība. “Bet tam ir arī pozitīvais aspekts – tas nodrošina izstrādātājam pastiprinātu atgriezenisko saiti un iespēju pilnveidot savu produktu un procesus. Pašreiz tiek novērots, ka “Zoom” izstrādātāji salīdzinoši efektīvi reaģē uz identificētajiem trūkumiem, publicējot atjauninājumus īsā laika posmā,” norādīja Kaškina.
Lai palīdzētu skolu pedagogiem un ikvienam interesentam noorganizēt maksimāli drošas sapulces un mācību stundas un izvairīties no neaicinātu dalībnieku pievienošanās, ir sagatavoti ieteikumi drošākai “Zoom” un “Microsoft Teams” platformu izmantošanai. Papildu informāciju par drošību dažādu attālināto konferenču rīku izmantošanā var lasīt “Cert.lv” materiālā šeit.
Neatkarīgi no izvēlētā risinājuma, iesaka pamata lietas:
- sekot līdzi izlaistajiem atjaunojumiem, pārliecināties, ka tie tiek uzinstalēti laicīgi.
- Pārlūkprogrammu paplašinājumi un mobilās lietotnes ir drošākas par ''desktop'' programmām, jo tiek izmantota "sandboxing" tehnoloģija, kas ierobežo datus, kurus aplikācija varētu savākt.
- Aicinot pievienoties sarunas biedrus videokonferencei, drošāk ir nevis sūtīt URL (ar kuru jebkurš varētu ielogoties), bet dot pieejas konkrētam lietotājam. Parasti vienkāršākais veids, kā to panākt, ir palūgt visus sarunas biedrus piereģistrēties tajā pašā platformā, bet, ja runa ir par korporatīvu vidi vai valsts sektoru - vislabāk autentifikācijai izmantot pašiem savu infrastruktūru, šī opcija saucas par "Single Sign-On (SSO)" un to atbalsta gan “Zoom”, gan arī visi pārējie līdzīgie risinājumi. Šajā gadījumā personu dati paliek organizācijas pārvaldībā.
- Ja tomēr ir jāreģistrējas videokonferenču risinājumā (parasti vismaz administratoram tas ir jāizdara), tad šos kontus iesakām pasargāt ar multifaktoru autentifikāciju (MFA), nevis paļauties uz vienu pašu paroli.
- Daļu ar privātumu saistītu bažu rada sociālo tīklu un citu platformu izmantošana autentifikācijai, kurā tiek nodots pārāk daudz privāto datu. Lai novērstu šo apdraudējumu, aicina veidot kontu tieši lietotnē.
- Daļai no risinājumiem ir pieejamas versijas, kuras organizācijas var uzturēt savā infrastruktūrā ("self-hosted", "on-premises", "private cloud"). Šajā gadījumā tiek minimizēta datu apstrāde trešās puses serverī.
- Jāatceras, ka, izmantojot jebkuru šādu produktu, var veikt publiska satura sarunas, bet nav pieļaujama apmaiņa ar klasificētu informāciju.
- Ja ir satraukums par datiem uz konkrētās iekārtas, papildu drošībai konferencēm iespējams izmantot atsevišķu iekārtu vai virtuālo mašīnu.
