Jak Zoom może pomóc Ci zachować bezpieczeństwo w cyberprzestrzeni

Cyberprzestępcy z roku na rok stają się coraz bardziej wyrafinowani i stosują wielowarstwowe, złożone ataki, których celem są osoby najbardziej podatne na zagrożenia. Hakerzy i oszuści infiltrują teraz swoje ofiary za pomocą skomplikowanych schematów mających na celu zaskoczenie ludzi i żerowanie na ich dobroci. Podczas gdy najlepsze praktyki, takie jak korzystanie z sieci prywatnych, unikalne hasła i blokowanie urządzeń są nadal wysoce zalecane, należy również wybrać narzędzia i dostawców oprogramowania, którzy wdrażają solidne i skuteczne środki, aby pomóc w zapewnieniu bezpieczeństwa danych. 

Miejsce pracy może być również narażone na zagrożenia, jeśli pracownicy nieświadomie pobiorą złośliwe oprogramowanie lub przypadkowo ujawnią prywatne dane niewłaściwym odbiorcom. Mając to na uwadze, przedstawiamy kilka wskazówek, które pomogą Ci zachować bezpieczeństwo w Internecie podczas korzystania z Zoom, a także wgląd w programy bezpieczeństwa, które wdrażamy w celu ochrony danych naszych klientów i pracowników. 

Niezależnie od tego, czy pobierasz aplikację Zoom Workplace po raz pierwszy, czy aktualizujesz ją do najnowszej wersji, należy upewnić się, że uzyskujesz do niej dostęp z renomowanego źródła, takiego jak portal internetowy Zoom, wewnątrz samej aplikacji lub pobierając ją z oficjalnego sklepu, takiego jak Apple App Store.

Jeśli otrzymasz wiadomość e-mail zachęcającą do pobrania najnowszej wersji Zoom Workplace, której się nie spodziewasz, sprawdź dokładnie domenę nadawcy (do kogo zostanie wysłana odpowiedź na tę wiadomość e-mail) i najedź kursorem na link do pobrania (bez klikania go), aby upewnić się, że jest to autentyczny link. Jeśli nie jest to oryginalna domena Zoom, taka jak zoom.com, zoom.us, nie klikaj żadnych linków.    

Poniżej znajdują się dwie wiadomości e-mail, które wyglądają na autentyczne, ale w rzeczywistości są fałszywe.

Gdy już upewnisz się, że pobierasz Zoom Workplace z autentycznego źródła, upewnij się, że aktualizujesz aplikację, aby uzyskać dostęp do najnowszych funkcji, naprawić wszelkie błędy i cieszyć się najlepszą jakością dźwięku i obrazu. 

Istnieje kilka kroków, które można podjąć, aby zachować prywatność wirtualnego wydarzenia i zapobiec uczestnictwu nieproszonych gości w spotkaniu lub webinarze. Na początek warto unikać używania osobistego identyfikatora spotkania (PMI) na każdym nowym spotkaniu. Osoby postronne mogą wtargnąć na kolejne spotkanie, jeśli mają dostęp do Twojego PMI ze starego spotkania. Zarezerwuj PMI na wewnętrzne spotkania z osobami, które znasz. 

Po rozpoczęciu spotkania zalecamy włączenie poczekalni, aby można było zatwierdzić każdą osobę próbującą wejść i uniemożliwić dołączenie niepożądanym gościom. Zezwalaj na dołączenie tylko zalogowanym użytkownikom i blokuj spotkanie po jego rozpoczęciu. Możesz także wymagać kodu spotkania, wyłączyć wideo i wyciszyć dźwięk, gdy uczestnicy się logują, aby uniknąć niechcianych lub nieodpowiednich rozmów. Zalecamy również ograniczenie funkcji udostępniania ekranu i dodawania notatek tylko do prowadzących lub określonych uczestników, więc pamiętaj o wyłączeniu opcji Udostępnij ekran, co spowoduje również wyłączenie wszelkich funkcji notatek.

Aby dowiedzieć się więcej o tym, jak zachować bezpieczeństwo w Zoom, odwiedź nasze Centrum bezpieczeństwa.

Większość osób wie już, jak ważne jest tworzenie złożonych haseł, które nie powtarzają się w różnych aplikacjach i urządzeniach. Aby dodać dodatkową warstwę ochrony, oferujemy integracje jednokrotnego logowania (SSO) i uwierzytelniania dwuskładnikowego, aby dostęp do aplikacji Zoom Workplace był płynny, bezpieczny i prosty. 

Nasza funkcja SSO umożliwia korzystanie z tych samych poświadczeń dla dostawcy tożsamości organizacji, dzięki czemu nie trzeba przechowywać oddzielnych nazw użytkownika i haseł. Uwierzytelnianie dwuskładnikowe rozszerza Twoje bezpieczeństwo jako dwuetapowy proces logowania, który wymaga przesłania jednorazowego kodu wygenerowanego z aplikacji mobilnej lub przesłanego w wiadomości tekstowej, oprócz głównego logowania Zoom.

Udostępnianie ekranu i zdalny dostęp do sterowania stały się one niezbędnymi narzędziami współpracy wraz z rozwojem pracy hybrydowej i zdalnej. W związku z tym należy wiedzieć, z której funkcji korzystać w danej sytuacji. Funkcja udostępniania ekranu umożliwia prezentującym wyświetlanie treści wizualnych, takich jak slajdy, prezentacje i materiały szkoleniowe, a także oferuje prowadzącym i uczestnikom możliwość dodawania notatek do udostępnionych ekranów. Zdalny dostęp do sterowania umożliwia jednemu uczestnikowi przejęcie kontroli nad ekranem innego uczestnika za jego zgodą. Funkcja ta jest zazwyczaj wykorzystywana w przypadku wsparcia technicznego, instalacji oprogramowania lub wspólnej edycji dokumentów.

Obie funkcje mają istotne znaczenie dla bezpieczeństwa. Udostępnianie ekranu wiąże się z ryzykiem przypadkowego ujawnienia poufnych informacji i potencjalnym zakłóceniem spotkania, jeśli uprawnienia nie są odpowiednio ograniczone. Dostęp do zdalnego sterowania niesie ze sobą poważniejsze zagrożenia, ponieważ zapewnia użytkownikom zewnętrznym pełny dostęp do funkcji komputera, takich jak sterowanie myszą i klawiaturą. Może to pozwolić na szkodliwe działania w przypadku przyznania dostępu osobom niegodnym zaufania.

Nikt nie planuje celowo udzielić dostępu atakującemu, lecz cyberprzestępcy stosują coraz bardziej wyszukane metody, w związku z czym istnieje ryzyko nieumyślnego przyznania uprawnień dostępu nieodpowiedniej osobie. Oto kilka zalecanych najlepszych praktyk, które pozwolą bezpiecznie korzystać z tych funkcji:

• Ogranicz udostępnianie ekranu do prowadzących i wyznaczonych uczestników, takich jak współprowadzący lub paneliści. Można wprowadzić ograniczenia domyślnie w ustawieniach lub dostosować te uprawnienia w razie potrzeby za pomocą funkcji dostępnych podczas spotkania. 
• Podczas udostępniania ekranu upewnij się, że poufne dokumenty i zakładki są zamknięte. Jeśli to możliwe, udostępniaj tylko konkretne aplikacje lub zakładki.

Wykonaj następujące kroki, aby zapobiec szkodliwym działaniom podczas udzielania zdalnego dostępu do komputera: 

• Unikaj niechcianych kontaktów: należy kierować prośby o pomoc do zaufanego źródła, a nie odwrotnie. Nie należy ani akceptować próśb od osób, których nie znamy lub z którymi nie skontaktowaliśmy się sami, ani też klikać otrzymanych od nich linków.
• Weryfikacja przede wszystkim: jeśli ktoś podaje się za autentycznego przedstawiciela jakiejś organizacji, należy niezależnie zweryfikować jego tożsamość. Sprawdź oficjalne dane kontaktowe (podane na stronie internetowej, a nie wskazane przez tę osobę) i skontaktuj się z nią bezpośrednio.
• Zachowaj podejrzliwość w przypadku pilności: oszuści często wykorzystują panikę, aby zmusić ofiarę do podjęcia pochopnej decyzji. Nie spiesz się, zadawaj pytania i nie pozwól nikomu wywrzeć na Tobie presji.
• Zapoznaj się z działaniem funkcji zdalnego sterowania: jeśli planujesz udzielić dostępu do zdalnego sterowania, musisz czuć się komfortowo, oddając komuś kontrolę nad swoim komputerem.. Zastanów się dobrze przed udzieleniem zgody, ponieważ na tym etapie nieuczciwi użytkownicy mogą podszyć się pod inne osoby, aby uzyskać dostęp do Twojego urządzenia.

Zoom posiada kilka wbudowanych funkcji, które pomagają zapewnić bezpieczny dostęp zdalny, w tym:

• Przegląd listy uczestników: jeśli organizujesz spotkanie Zoom z dużą grupą uczestników lub masz uczestników, którzy mogą nie być zalogowani na konto Zoom, przed spotkaniem dokładnie zapoznaj się z listą uczestników, aby określić, kto może poprosić o dostęp do zdalnego sterowania. 
• Wycofanie dostępu: jeśli podejrzewasz, że ktoś działa w złej wierze, natychmiast cofnij jego dostęp do zdalnego sterowania. Możesz to zrobić przez sterowniki spotkania Zoom, klikając ikonę zdalnego sterowania i wybierając opcję „Zatrzymaj zdalne sterowanie”.
• Zablokowanie spotkania: jeśli organizujesz spotkanie, zablokuj je, aby uniemożliwić dołączenie nowym uczestnikom.
• Wyłączenie zdalnego sterowania dla uczestników: jako prowadzący możesz wyłączyć funkcję zdalnego sterowania domyślnie dla wszystkich uczestników, gdy ta funkcja nie jest potrzebna. Jako gość spotkania możesz wybrać opcję „Zapobiegaj kontrolowaniu mojego ekranu przez użytkownika zewnętrznego” w ustawieniach konta. 

Nie zawsze będziesz wiedzieć, kim jest osoba, z którą rozmawiasz. Dlatego opracowaliśmy dodatkowe funkcje, które pozwalają zwiększyć zaufanie i przyczyniają się do poprawy bezpieczeństwa interakcji podczas komunikacji z innymi.

• Powiązanie domeny (dostępne dla kont płatnych z licencją Zoom Dla firm lub wyższą) – funkcja ta weryfikuje Twoją domenę i wyświetla ją na karcie profilu Zoom, dzięki czemu jest widoczna dla innych osób podczas rozmów na czacie zespołowym, spotkań i webinarów. Właściciele kont i administratorzy uprawnionych kont mogą włączyć tę funkcję na poziomie konta, aby zapewnić innym spokój ducha. Dzięki temu wszyscy użytkownicy platformy Zoom komunikujący się z innymi osobami (zarówno wewnątrz organizacji, jak i poza nią) mogą rozpoznać ich jako członków organizacji. Funkcja ta ułatwia identyfikację użytkowników w ramach własnej organizacji oraz potwierdzanie, że uczestnicy zewnętrzni korzystają z zweryfikowanych domen.
• Uwierzytelnianie Okta dla szyfrowania end-to-end firmy Zoom umożliwia organizacjom weryfikację tożsamości uczestników spotkań za pomocą platformy zarządzania tożsamością Okta. Jest to funkcja dostępna dla kont płatnych, która pomaga ograniczyć ryzyko związane z bezpieczeństwem poprzez potwierdzenie, że osoby dołączające do spotkań E2EE są tymi, za które się podają. Po dołączeniu do spotkania uczestnik może wyświetlić odznakę potwierdzającą jego zweryfikowaną tożsamość. Najedź kursorem na odznakę, aby wyświetlić dane danej osoby, takie jak adres e-mail i domena firmy powiązana z jej kontem Okta. Dowiedz się więcej o uwierzytelnianiu Okta.

Wszystkie te funkcje wspólnie utrudniają nieuczciwym osobom podszywanie się pod prawdziwych użytkowników lub organizacje in Zoom Team Chat, Meetings i Webinars. 

Dzięki naszej opcjonalnej funkcji szyfrowania end-to-end (E2EE) (obecnie dostępnej dla Zoom Meetings i Zoom Phone) klucze kryptograficzne są znane tylko urządzeniom uczestników. Włączenie tej funkcji dodaje dodatkową warstwę ochrony, aby ułatwić komunikację między różnymi rozwiązaniami Zoom. Niektóre funkcje Zoom są jednak ograniczone. 

Dowiedz się więcej na temat szyfrowania na platformie Zoom Workplace tutaj.

Co więcej, nasza nowa funkcja postkwantowego szyfrowania E2EE może pomóc w zapewnieniu bezpieczeństwa danych dziś i w przyszłości. Ta zaawansowana warstwa szyfrowania została zaprojektowana w celu ochrony Twoich bieżących danych Zoom Meetings, Zoom Phone i Zoom Rooms oraz zabezpieczenia ich przed potencjalnymi bezprecedensowymi zagrożeniami, które mogą wygenerować tylko komputery kwantowe.

Cyberbezpieczeństwo nie ogranicza się tylko do naszych zespołów IT lub zespołów bezpieczeństwa. Oczekujemy, że wszyscy pracownicy Zoom będą cyberświadomi i opracowaliśmy liczne inicjatywy i zasoby, aby edukować naszych pracowników w zakresie ochrony przed cyberzagrożeniami.

Nasze programy szkoleniowe w zakresie świadomości bezpieczeństwa wykraczają poza podstawy i są specjalnie zaprojektowane, aby tworzyć niezapomniane doświadczenia dla pracowników w celu wzmacniania ważnych umiejętności i wiedzy przez cały rok. Niektóre z tych działań obejmują:

• comiesięczne kampanie uświadamiające w zakresie cyberbezpieczeństwa oraz komunikaty na istotne i aktualne tematy;
• coroczne szkolenia z zakresu bezpieczeństwa informacji poruszające tematy takie jak phishing, reagowanie na incydenty, zasady, zagrożenia/ataki i inne; 
• uczenie się oparte na rolach dla wybranych pracowników, takich jak osoby z określonymi uprawnieniami, dostępem do pisania lub edytowania kodu;
• ciągłe symulacje phishingu z natychmiastową informacją zwrotną dla użytkownika, wzmocnieniem wiedzy i wbudowaną grywalizacją;
• mikroszkolenia specyficzne dla różnych tematów, certyfikatów i wymogów zgodności; 
• program ambasadorów świadomości bezpieczeństwa obejmujący członków zespołu z różnych działów, którzy omawiają bieżące kwestie bezpieczeństwa, zapewniają informacje zwrotne, rozpowszechniają informacje i przekazują wiadomości do swoich zespołów i działów.

Oprócz naszych wewnętrznych programów bezpieczeństwa pracowników, nadzorujemy również różne inicjatywy w naszych większych społecznościach, które pomagają nam ograniczać ryzyko, wspierać innowacje i nadal ulepszać nasze usługi, takie jak:

• Program Bug Bounty: współpracujemy z badaczami w zakresie bezpieczeństwa (i płacimy im!) za znajdowanie i prawidłowe zgłaszanie potencjalnych luk w zabezpieczeniach Zoom, abyśmy mogli je naprawić, zanim staną się publiczne.
• Analiza zagrożeń: wyszukujemy spotkania Zoom, które zostały przypadkowo opublikowane w miejscach publicznych, a następnie informujemy naszych klientów, jak chronić się przed atakami trolli internetowych (zoombombing).
• Zarządzanie lukami w zabezpieczeniach: stale skanujemy nasze systemy, aby zapewnić ich aktualność dzięki szybko reagującym aktualizacjom.
• Sponsoring HackerOne: sponsorujemy wydarzenia HackerOne, które dają nam możliwość współpracy z utalentowanymi etycznymi hakerami z całego świata i wspólnej pracy nad zwiększeniem bezpieczeństwa naszej platformy. 

Uzyskanie różnych certyfikatów i atestacji wymaga ciągłego zaangażowania w zapewnienie, że nasze produkty i usługi spełniają rygorystyczne standardy bezpieczeństwa i prywatności. Jesteśmy zaszczyceni, że nasze produkty zostały docenione przez wiele najbardziej znanych organizacji na świecie i uzyskały certyfikaty w takich obszarach jak: 

• prywatność i chmura obliczeniowa, 
• ramy prywatności danych,
• kontrola bezpieczeństwa i zgodności,
• standardy bezpieczeństwa wielu agencji rządowych na świecie,
• zgodność z PCI.

Poznaj pełną listę atestacji, certyfikatów i standardów Zoom.

Jak mówi przysłowie, praktyka czyni mistrza. Mając to na uwadze, stale rozwijamy nasze środki bezpieczeństwa i innowacje produktowe, aby umożliwić naszym pracownikom i klientom swobodniejszą komunikację i współpracę. Poprzez udostępnianie naszym pracownikom i klientom aktualnych zasobów i stałej edukacji dążymy do zapewnienia przyszłości z mniejszą liczbą cyberataków i bezpieczniejszym środowiskiem online. 

Bądź na bieżąco ze wszystkimi wiadomościami dotyczącymi bezpieczeństwa i prywatności w naszym Centrum zaufania.