Zoom Güvenlik Riskleri, Gizlilik ve GDPR Uyumluluğu

Güncel Haberler


Evde çalışma ve öğrenme, video konferansta bir patlamaya yol açtı ve Zoom büyük bir faydalanıcı oldu. Ancak gizlilik ve güvenlik konusundaki endişeler önemli soruları beraberinde getirir: Zoom güvenli midir ve hatta GDPR uyumlu mudur?

Güvenlikle ilgili endişeler, yakın zamanda, daha önceki güvenlik açıklarını düzeltmek için Zoom'un aldığı süre boyunca alınan çeşitli güvenlik açıklarının keşfi etrafında dönmektedir Gizlilikle ilgili endişeler, kullanıcı etrafında saydamlık eksikliğine veya Zoom tarafından tutulan toplantı verilerine ve başka kimin erişebileceğine odaklanır. Bu makaledeki gizlilik konularına odaklanacağız.

Veri saklama ve üçüncü taraf erişim endişeleri, Zoom iOS uygulamasının, iOS kullanıcısının Facebook hesabı olmasa bile Facebook'a veri aktardığına dair son keşifle karakterize edilir. Zoom gizlilik politikasında bunun olduğuna dair hiçbir belirti yoktu (Zoom bunu durdurdu, ancak iOS kullanıcılarının devam etmesini önlemek için en son uygulama sürümünü indirmeleri gerekecek).

Burada iki endişe var: şeffaflık eksikliği ve bilginin kullanıcı izni olmadan üçüncü bir tarafa dağıtılması. Fransız doğumlu, Londra merkezli bir avukat ve gizlilik avukatı Tara Taubman-Bassirian, "Bu GDPR'nin açık bir ihlalidir" dedi SecurityWeek . "Şeffaflığın olmaması nedeniyle toplantı sahibi, kayıt ve daha fazla yayın yapma gibi katılımcı tarafından bilinmeyen birçok özelliğe sahiptir."

Onay sorunu karmaşık bir sorundur ve çözülmesi gerekiyorsa Zoom tarafından dikkatli bir şekilde dikkate alınması gerekir. GDPR, kişisel veri toplama rızasının serbestçe verilmesi gerektiğini ve taraflar arasında güç dengesizliği varsa, özgür bir seçim olamayacağını ve elde edilen rızaların geçersiz olduğunu kabul eder. Bunun için zaten bir emsal var. Eylül 2019'da, İsveç'teki bir okula 22 öğrenciyi izlemek için yüz biyometrisi kullandığı için 20.000 dolar para cezası verildi . Ebeveynler rızalarını vermişlerdi, ancak veri koruma düzenleyicisi, “rıza, veri konusu [öğrenciler] ve denetleyici [okul] arasındaki açık dengesizlik göz önüne alındığında geçerli bir yasal dayanak değildi.

Aynı argümanın hem ofis çalışanları hem de okul çocukları için mevcut çalışmalardan ev ortamından kullanılma potansiyeli vardır. Telekonferansa yapılan her davet, güç dengesizliği ve az gerçekçi bir reddetme seçeneğine sahip bir talimattır. GDPR'nin rıza kurallarına aykırı olarak birçok COVID-19 teşvik telekonferansı gerçekleştiriliyor olabilir. Zoom kendisini veri denetleyicisi (ana bilgisayar) yerine veri işlemcisi olarak tanımlar. Bu argüman GDPR veri düzenleyicileri tarafından destekleniyorsa ve toplantı sahipleri toplantının kendi sunucularında kaydını tutarsa, GDPR kapsamındaki verilerden toplantı sahibinin sorumlu olduğu anlamına gelir. 

Bu, ana bilgisayarlar tarafından tanınamayan önemli bir özelliktir. Geçerli rıza daha da önemli hale gelir ve Taubman-Bassirian'ın "toplanan ve kaydedilen veriler bireyleri tanımlayabilen biyometri olduğundan daha yüksek standartta" olduğunu öne sürmelidir - ve bazı durumlarda çocukları da içerecektir.

Zoom, son birkaç haftadır ortaya çıkan sorunları çözmek için çaba gösteriyor gibi görünüyor. Çarşamba günü yayınlanan bir blogda "Her birine bakıyoruz ve onlara olabildiğince hızlı bir şekilde hitap ediyoruz. Onlardan öğrenmeye ve gelecekte daha iyisini yapmaya kararlıyız." Hemen kabul edilen bir açıklama, "kullanıcılarımızın verilerini satmıyoruz, geçmişte kullanıcı verilerini hiç satmadık ve ileriye dönük kullanıcı verilerini satmak gibi bir niyetimiz yok."

Blog, şirketin baskı altında olduğunu açıklıyor. Geçen yıl maksimum günlük toplantı katılımcısı sayısı 10 milyon civarındaysa, şu anda 200 milyondan fazladır ve şu anda 20 ülkede 90.000 okul bulunmaktadır. Ancak sorunlar, kullanımdaki mevcut dalgalanmadan önce var - genişleme tarafından yaratılmadı.

Zoom ayrıca platformun ticari kullanıcılar için tasarlandığını ve ev işçilerinin ve okulların akışının bir sürpriz olduğunu açıklıyor. Ancak gizlilik ve güvenlik ihtiyacı şirketler, evdeki bireysel çalışanlar ve okul çocukları arasında ayrım yapmaz - bu nedenle, bu argümanların hiçbirinin mevcut konular üzerinde bir etkisi yoktur. Gerçekten de, başka bir soru sormayı tercih ediyorlar çünkü tasarım veya temerrüde göre gizlilik eksikliğini gösteriyorlar - bu da GDPR kapsamında bir gereklilik.

Zoom'un üzerinde çalıştığı iyileştirmelerden biri şeffaflığını ve netliğini artırmaktır. Ayrı bir blogda, hizmetlerinin uçtan uca şifrelemesi olarak pazarladığı şeyin böyle bir şey olmadığını itiraf etti.

F-Secure baş danışmanı Jarosław Kamiński, ilgisini açıklıyor. Kullanılan şifreleme, Zoom sunucusu ile katılımcı arasındaki iletişimin şifreli olduğu ve ortadaki bir adam saldırısına duyarlı olmadığı anlamına gelir. "E2E," diye devam etti ", iletişimin tüm zaman boyunca şifreli olduğu ve satıcı tarafından erişilemediği anlamına gelir. Uçtan uca şifreleme olmadan, bir satıcının iletişimi durdurma / kaydetme teknik özelliği vardır." Bu satıcının bunu yaptığı anlamına gelmez; ancak Zoom bunu yapmadığını belirtmez.

Zoom ayrıca yeni bir şeffaflık raporu da sunuyor. Bu çok hoş geldiniz. Firma, "Veri, kayıt veya içerik talepleriyle ilgili bilgileri detaylandıran bir şeffaflık raporu hazırlamak" olduğunu söylüyor. 'İçerik' kelimesine dikkat edin. Bir güncellenmiş gizlilik politikası Yakınlaştırma her zaman bazı toplantılarının içeriğe erişimi olacak bu yüzden - 27 Mart markaların yayınlanan o Yakınlaştırma bulut konak dilek kaydedilecek tüm toplantıların kayıtları içerecek temizleyin. Söylemediği şey, başka hiçbir toplantının içeriğini saklamadığıdır. Uçtan uca şifreleme kullanmadığından, her şeyi kesip saklayabildiğini biliyoruz. İçeriğinde olup olmadığını ya da sakladığı içeriği ne kadar süreyle sakladığını bilmiyoruz.

Zoom, hükümetin içeriğe erişimi için ulusal yasalara uyduğunu açıkça belirttiğinden, bu başka bir soruyu gündeme getiriyor. Ancak Zoom küresel olarak faaliyet gösteriyor, yani BULUT Yasası aracılığıyla ABD hükümeti yabancı verilere erişebilecek. Muhtemelen hassas ticari bilgiler dışında, içerik gizli yabancı hükümet verileri bile içerebilir. 

27 Mart'ta İngiltere Başbakanı Boris Johnson , saatler önce "ilk dijital kabineye başkanlık ettiğini" tweetledi . Paylaştığı ekran görüntüsü, Zoom üzerinde tutulduğunu netleştirir ve hatta Zoom toplantısı kimlik numarasını gösterir. Kimlik numarasının açıklanması, toplantı sona erdiğinden ve üçüncü taraflar tarafından 'zum bombardımanı' yapma şansı olmadığı için hemen görünebileceği için burada önemli değildir. 

Zoom toplantısını kullanan İngiltere hükümeti risk oluşturuyor

F-Secure kıdemli araştırmacı Andy Patel 'zoombombing'i açıkladı. "Bir Zoom toplantı kimliği, tahmin edilebilecek ya da zorla zorlanabilecek nispeten kısa bir sayısal dizedir. Potansiyel toplantılara bir URL oluşturarak (URL'yi sentezleyerek - genellikle yalnızca müşteri adıyla genişletilmiş Zoom URL'si kimliğiyle eklenir), birisi bulup davet edilmemeleri bile şifre korumalı olmayan toplantılara katılabilirler" diye anlattı SecurityWeek . "Ekstra bir bonus olarak, bazı insanlar Zoom toplantılarından kimliğini içeren ekran görüntüleri gönderiyorlar, bu yüzden insanlar bunları bulduğunda hepsi açık toplantıya gidiyor."

Ancak, mevcut örneğimizde, ana bilgisayarın (Boris Johnson veya Kabin Ofisi) gelecekteki referans için Zoom tarafından saklanmasını isteyip istemediğini veya Zoom'un varsayılan olarak bir kopyasını saklayıp saklamadığını bilmiyoruz. Her iki durumda da, ABD istihbarat teşkilatları artık toplantıda söylenen her şeye erişim talep edebilir.

İngiltere'nin siber muhafızlarının, özellikle de Bakanlar Kurulu ve NCSC'nin, başbakanın dijitalleşmesine izin vermeden önce Zoom'un gizliliğini ve güvenliğini sağlamasını beklemek doğal olurdu. SecurityWeek her iki ofisten de açıklama talebinde bulundu, ancak hiçbir şey alamadı. Kabine Ofisi sorularımızı cevaplamadı, ancak ilgisiz iki yorum yaptı, "Ulusal Siber Güvenlik Merkezi rehberliği Zoom'un bu tür toplantılar için kullanılmaması için bir güvenlik nedeni olmadığını gösteriyor." Ayrıca, "MoD [MoD'nin Zoom kullanımını yasaklamış olduğuna dair yanlış raporlara atıfta bulunarak], resmi düzeydeki işletmeler için hükümetlerarası toplantılar yapmak için Zoom'u kullanıyor. Bunu gözden geçirme planı yok."

Bunun anlamı, NCSC'nin Zoom'u incelemesi ve yeterli bulmasıdır. Bu muhtemelen görünmüyor, çünkü NCSC tarafından sağlanan tek yorum şu ana kadar parayı Kabine Ofisine sıkıca aktarıyor: "Kabine Ofisi Zoom'a yanıtı yönlendiriyor, bu yüzden bir açıklama için iletişime geçmenizi tavsiye ederim [e-posta adresleri] aracılığıyla basın ofisi ile. "

NCSC, Zoom üzerinde kendi testlerini gerçekleştirmiş olsun ya da olmasın, yine de Zoom'un yeterince GDPR (ya da İngiltere'nin GDPR Veri Koruma Yasası uygulaması) uyumlu olup olmadığını merak etmek için yeterli gizlilik sorunları (geçmiş ve şimdiki) görünüyor. Burada SecurityWeek Bilgi Komiseri Ofisi'nden bir yorum istedi.

Cevap şuydu: "" Koronavirüs pandemisi video konferans araçlarının insanların iletişim kurması için değerli bir yol olarak kullanılmasına yol açtı. Bu tür herhangi bir teknoloji, kullanıcılara verilerinin nasıl işleneceği konusunda şeffaf olmalı ve kullanıcılara seçim ve kontrol sağlamalıdır. Bu aşamada video konferans uygulamalarıyla ilgili ortaya çıkan çeşitli endişeleri düşünüyoruz. "

Zoom'a özel bir referans yoktur, ancak dikkate alınan video konferans araçları listesinde yüksek olduğunu varsayabiliriz. Diğer Avrupa veri işleme düzenleyicilerinin de benzer bir şey yapmaları muhtemeldir. Yüzeyde, Zoom'un cevap vermesi gereken bir durum var gibi görünüyor - ancak Zoom ana bilgisayarları, özellikle geçerli rıza sorunu ile ilgili olarak kendi denetleyicilerini kendi veri denetleyicileri olarak görmelidir.

Zoom'un araştırılması gerekip gerekmediği veya ihlal edildiği tespit edildiğinde para cezası verilip verilmeyeceği farklı bir sorudur. Crypsis Group Direktörü Brittany Roush, SecurityWeek'e verdiği demeçte , "kritik bir hizmette kritik hizmetlerin devam etmesini sağlamak için bu tür bir esnekliğe sahip olmanın dişleri CCPA ve GDPR'den almadığını söyledi. Herhangi bir şey varsa, düzenleyici kurumların temel işlevlerini yerine getirdiğini gösterir - bu da şirketlerin tüketici verilerini korumasını sağlamaktır ... Birçok yönden, CCPA ve GDPR, güvenlik standartlarını düşüren HIPAA'dan bir sayfa almalıdır. pandeminin kritik sağlık taleplerini yönetmek için telehealth ... mükemmel çözümler tasarlamak için yanımızda lüksümüz yok. "

İlgili : Truva Atı Zoom Uygulamaları Uzak Çalışanları Hedefliyor 

İlgili : Güvenlik Açığı, Saldırganların Yakınlaştırma Toplantılarına Katılmasına İzin Verdi 

İlgili : Zoom Conferencing Uygulaması İşletmeleri Saldırılara Maruz Bırakıyor 

İlgili : WebEx, Numaralandırma Saldırıları İle Gözetlemeye Yakınlaştırılan Yakınlaştırma Toplantıları

https://www.securityweek.com/zooms-security-and-privacy-woes-violated-gdpr-expert-says

Önceki Haber

İş, İhale, Ticaret..Kanunlarında önemli değişiklik yapan kanun tasarısı tam metni

Sonraki Haber

Zoom Davası Video Konferans Güvenliğini Gündeme Getiriyor

Yorumlar

Henüz yorum yapılmadı.

Yorum Yap