מיוחד: ראיון עומק עם הCIO של זום 

"ברגע שהבנו ששיתפנו נתונים עם פייסבוק דרך האפליקציות שלנו, עצרנו את זה באופן מיידי", אומר בשקיפות הארי ד. מוסלי, הCIO של זום

הארי מוסלי. צילום: ZOOM

הפלטפורמה שלה משמשת בחודשים האחרונים כאמצעי התקשורת המרכזי של מעל 300 מיליון בני אדם מידי יום, מהדודה בפתח תקוה, דרך העוסק הזעיר שעובד מהבית ועד חברות הענק וארגוני ממשל וחינוך. בראיון ראשון לעיתונות הישראלית, הארי מוסלי, ה-CIO של האגדה בהתהוות, מנסה להסביר איך זה קרה ואיך התגברו בדרך על לא מעט ביקורות שליליות שמקורן בחורי אבטחה וסוגיות של חדירה לפרטיות

בדצמבר היו לכם 10 מיליון משתתפים מדי יום בשיחות זום, במרץ המספרים קפצו ל -200 מיליון ובאפריל עברתם את ה- 300 מיליון. ברבעון הראשון של השנה רשמה זום הכנסות של 328.2 מיליון דולר, עלייה של 169 אחוזים לעומת השנה שעברה. האם יכולת לפני שנה להעריך סיטואציה כזו?

"אם הייתי אומר שניבאנו את זה, אשקר. לא, זה הפתיע אותנו מאוד. הקפיצה מעשרה מיליון ל-300 מיליון משתתפים בשיחות מדי יום, בפרק זמן קצר של מספר חודשים הדהימה גם אותנו. כלומר, בהחלט נרשמה כאן סיבה לחגיגה. זה קרה לנו בפרק זמן קצר ביותר וזה 'העיף לכולנו כאן את הגג'. 

"מאז הקמתה בשנת 2011 זום נמצאת בתחרות עזה ומתמדת לעתים מול חברות ענק ובכל זאת הפכנו לבחירה הראשונה עבור מיליוני משתתפים ברחבי העולם. ואל תטעה: מעורבת כאן כמות מטורפת של עבודת צוות, מיקוד עצום לבנות את חוויית המשתמש ואבטחה חכמה. היו לא מעט קשיים במסלול הזה וכיום נראה שאנו מאחוריהם״.

זום עדכנה את האבטחה שלה לפלטפורמה כמה וכמה פעמים מאז תחילת מגיפת הקורונה. באחרונה הצהרת שהוספתם 100 מאפייני אבטחה חדשים תוך 90 יום. האם תוכל לספר לנו על ההתקדמות?

"ב -1 באפריל 2020, לאחר ששמענו כמה וכמה תלונות מצד משתמשים הקשורות בנושאי אבטחה, קיבלנו החלטה מערכתית: עוזבים את כל ההתעסקות בתכונות חדשות שהיו בשלבי פיתוח מתקדמים ומתחייבים להתמקד בנושא אחד: טיפול באבטחה ובפרטיות של המשתמשים. 

"החלטנו על כניסה מיידית לתוכנית בת 90 יום שמיקדה את החברה מחדש והטמיעה את התחייבויות האבטחה והפרטיות לצמיתות ב- DNA של זום. במהלך 90 הימים הללו, כל משאבי ההנדסה והפיתוח שלנו התמקדו בנושאי האמון, הבטיחות והפרטיות, בצורה הכי יסודית ומקצועית שניתן. עם המשקל של  כל משאבי ההנדסה והמוצר שכוונו למשימה, הצלחנו במהלך התקופה להכניס מעל 100 תכונות חדשות לפלטפורמה, שמרבין ככולן, כאמור, ממוקדות אבטחה ושמירה על הפרטיות. 

"במהלך 90 הימים הלא קלים, השקנו את Zoom 5.0 שתומך בהצפנת GCM של AES 256 סיביות, אחד מתקני ההצפנה המאובטחים ביותר הנהוגים כיום. הוספנו אייקון אבטחה חדש בממשק המשתמש. האייקון מספק למארח של השיחה ולמשתתפים בה, גישה מיידית לבקרת האבטחה בפגישות, כולל יכולת לנעול אותן וליצור שיחה סגורה, לאפשר חדרי המתנה, את האפשרויות לנהל את היכולת של המשתתפים לשתף את המסך שלהם, להשתתף בצ'אט ולשנות את שמם, או להשתיק את עצמם.

"הוספנו את הכפתור ''דווח על משתמש". באמצעותו יוצר השיחה והמשתתפים יכולים כעת לדווח על משתמשים ועל אירועים חריגים של הפרעה, או פגיעה מכוונת בפגישה. הדיווחים מגיעים ישירות לצוות האבטחה המקצועי של זום, שסוקר כל שימוש לרעה אפשרי בפלטפורמה ונוקט מייד בפעולה מתאימה. בנוסף, עדכנו את הגדרות האבטחה כברירת מחדל לפגישות. 

"במקביל, ארגנו מחדש את ניתוב הנתונים של השיחות, כדי לתת למארחים שליטה רבה יותר על הנתונים שלהם. כיום, לקוחות בחשבונות בתשלום מאפשרים להם להתאים אישית את הגדרות מרכזי הנתונים דרכם זורמות השיחות שהם מנהלים. מנהלים ובעלי חשבונות של חשבונות בתשלום יכולים, ברמת החשבון, הקבוצה, המשתמש או מפגש, לבטל את הסכמתם לאזורים ספציפיים בהם ממוקמים מרכזי הנתונים. 

"בחודשים האחרונים אנו מבצעים סקירה מקיפה עם מומחים של צד שלישי להבטיח את האבטחה והפרטיות בפלטפורמה ואף עבדנו עם קבוצה של מומחי צד ג' כדי לבחון ולבצע שיפורים במוצרים, בפרקטיקות ובמדיניות שלנו. בין השאר התייעצנו עם המועצה המייעצת שלנו בה יושבים כמה ממומחי האבטחה המובילים בעולם. ביניהם, לאה קיסנר, אלכס סטמוס, לוטה אבטחה, בישופ פוקס, Trail of Bits, NCC, Praetorian, Crowdstrike, המרכז לדמוקרטיה וטכנולוגיה וארגונים אחרים שמזוהים עם ההגנה על הפרטיות. כולם תרמו מזמנם ומכישורהם.     

"פיתחנו גם מאגר מעקב באגים מרכזי (Central Bug Repository). מאגר זה לוקח דוחות אבטחה מ- HackerOne, Bugcrowd ו- [email protected] (האחרון שבהם אינו דורש NDA) שנבדקו באמצעות Praetorian. קבענו תהליך סקירה שוטף עם פגישות יומיות, ושיפרנו את התיאום שלנו עם חוקרי אבטחה ומעריכי צד ג'. שכרנו גם ראש אבטחת מידע נוסף ומהנדסי סייבר ואנו נמצאים בתהליך של גיוס מהנדסי אבטחה נוספים, כולם מוקדשים לטיפול בפגיעות הפרטיות. 

"בינתיים אנו מתמקדים בשיפור זמני התגובה שלנו. בסך הכל, תהליך השיפור הוא יציב וחזק. כיום, כשאנחנו מפתחים תכונות חדשות, אנו מוודאים שהצבנו מנגנונים שנועדו להבטיח שאבטחה ופרטיות יישארו בעדיפות בכל שלב בפיתוח המוצר שלנו״.

היה שלב שבו אמרתם שהשירות שלכם מוצפן מתחילתו ועד סופו. זה לא היה המקרה

"נכון. ההגדרה שלנו לא הייתה נכונה, אבל, תיקנו את העניין. צריך לקחת בחשבון שכל תוכן הווידיאו, השמע והצ'אט מוצפן כל זמן שהוא נמצא במערכת של זום. כאמור, Zoom 5.0 תומך ב- AES 256 סיביות, שנחשב לאחד מתקני ההצפנה המאובטחים ביותר. הוא מציב את זום כמובילה בתעשייה בכל הקשור לאבטחת הצפנה בתקשורת וידאו. במאי האחרון הודיעה זום על רכישת Keybase, שצוות מהנדסי האבטחה וההצפנה שלהם מיועד להאיץ את תוכניתה של זום לבניית הצפנה מקצה לקצה. 

"בינתיים, זיהינו דרך שתאזן בצורה טובה בין זכותם הלגיטימית של כל המשתמשים לפרטיות ובטיחות בפלטפורמה שלנו. זה יאפשר לנו להציע את E2EE (הצפנה מקצה לקצה) כתכונה מתקדמת לכל המשתמשים שלנו ברחבי העולם תוך שמירה על היכולת שלנו למנוע ולהילחם בגורמים מזיקים מבחוץ.

"כדי לאפשר זאת, המשתמשים יבצעו  תהליך חד פעמי שיבקש מהמשתמש מידע נוסף, כגון אימות מספר טלפון באמצעות הודעת טקסט. חברות מובילות רבות מבצעות צעדים דומים ביצירת חשבונות כדי להפחית את כמות החשבונות הפיקטיביים והפוגענים. אנו בטוחים כי על ידי יישום אימות מבוסס סיכונים זה, בשילוב עם הכלים שלנו - כולל פונקציית דיווח על משתמש החדשה - אנו יכולים למנוע תקלות בעתיד ".

הייתה ביקורת שקשורה לעובדה ששיתפתם את נתוני המשתמשים עם פייסבוק ללא רשות

"זה היה מצב מצער. ברגע שהבנו ששיתפנו נתונים על הכלים בהם השתמשו המשתתפים בשיחות עם פייסבוק דרך האפליקציות שלנו, עצרנו את זה באופן מיידי וגורף. תוך 24 שעות. אנחנו לא מוכרים נתונים. אין לנו שום תוכניות למכור נתונים לגורמים אחרים. מעולם לא הייתה תוכנית כזו  ולעולם גם לא תהיה.   

"יישמנו את הפיצ'ר של 'כניסה באמצעות פייסבוק' כדי לספק למשתמשים שלנו דרך נוחה ונוספת שבה יוכלו להיכנס לפלטפורמה שלנו. כשנודע לנו ש- SDK של פייסבוק אוסף מידע על מכשירים שלא לצורך, החלטנו להסיר אותו מיד. חשוב מכך, המידע שנאסף על ידי ה- SDK של פייסבוק לא כלל מידע ופעילויות הקשורות לפגישות, אלא מידע על מכשירים, כמו סוג מערכת ההפעלה של המשתמש וגרסתה. 

"זום עומדת בכל חוקי הפרטיות, הכללים והתקנות הרלוונטיים בתחומי השיפוט בהם היא פועלת, כולל ה- GDPR וה- CCPA. איננו משנים אף אחד מהנהלים שלנו. אנו מעדכנים את מדיניות הפרטיות שלנו כדי שתהיה ברורה יותר, מפורשת ושקופה יותר, באופן סדיר, רציף וכמובן יסודי.

"זום מתייחסת ברצינות רבה לפרטיות המשתמשים שלה. החברה אוספת רק את הנתונים מאנשים המשתמשים בפלטפורמת זום כדי לספק את השירות ולהבטיח שהוא מועבר בצורה יעילה תחת מגוון רחב של הגדרות בהן המשתמשים עשויים לפעול. "

באיזו מידה המגיפה שינתה את העסק שלך? בישראל, כמו במדינות אחרות, פלטפורמת זום נחשבת "הרשת החברתית של המגיפה". איך מגיעים ל'סטטוס' כזה?

"לפני שנתיים הצטרפתי לחברת הייטק קטנה שנקראה זום. היו לה אז 800 פלוס עובדים ברחבי העולם וזו הייתה חברה פרטית וצנועה שמוכרת יחסית בעיקר בקהילת הטכנולוגיה. ופתאום, שנתיים אחר כך, החברה מונה כמעט 3,000 עובדים ב18 משרדים שונים. כעת אנו פועלים במשהו כמו 226 מדינות וטריטוריות, יש לנו 17 מרכזי נתונים ברחבי העולם והונפקנו בבורסה.  

"עם פרוץ המגיפה, השימוש בזום התפשט כאש בשדה קוצים. היעילות, הקלות והנוחות בהן ניתן לערוך שיחות וידאו כשכולם בבית אומצו על ידי כולם. אנו תומכים במשתמשים שונים הכוללים סבתות בהסגר מצד אחד שמדברות כמה פעמים ביום עם הנכדים, סוכנויות ממשלתיות כמו הפרלמנט הבריטי, ארגון בן 700 שנה, ובמעל 100,000 בתי ספר ואינספור מוסדות אקדמיה ב- 25 מדינות ברחבי העולם – כולל ישראל. 

"יש לנו מטרה אחת והיא לוודא שהעובדים מהבית, החברות והארגונים שעובדים איתנו יוכלו להיות פרודוקטיביים ככל האפשר בתקופת המגיפה ולהקפיד על כך שאנשים יוכלו לקיים חיים מסוג כלשהו בזמן שהם עובדים. לקיים  מסיבות יום הולדת, לקחת שיעורי יוגה ופילאטיס , לחגוג את ליל הסדר בפסח ועוד. הנה, רק לפני מספר שבועות נרשמו מעל כ- 45,000 מכשירים ניידים ונייחים (כל מכשיר עם מספר צופים מרובה) לכינוס זום ענק שנערך לקראת יום השנה לפטירתו של הרבי מנחם נדל' שניאורסון. גם ראש ממשלת ישראל, בנימין נתניהו, משתמש כבד.

"זה היה מסע. מעולם לא חוויתי דבר כזה בחיי. כיום, פלטפורמת זום תופסת מקום מכובד ומרכזי אצל רבים בעולם. זום הפכה לחלק בלתי נפרד מחיי היומיום במהלך מגיפת הקורונה, כאשר למעלה מ -300 מיליון משתתפי המפגשים היומיים הסתמכו על זום בכדי להישאר מחוברים לעמיתיהם, אנשי קשר, משפחה וחברים תוך שמירה על הנחיות הריחוק החברתי.

"דו"ח שפורסם לאחרונה על ידי חברת Okta, אומר כי זום הפכה לכלי חשוב, לא רק בענייני עבודה, אלא גם כדרך מצוינת לשמור על מערכות יחסים והתחייבויות מחוץ לעבודה. כחלק מהמאמץ שלנו לתמוך בכל מי שעובד מהבית, הכרזנו לא מכבר על השקת קטגוריה חדשה: Zoom for Home - פתרון חומרה ותוכנה ייעודי לעריכת פגישות וידיאו ושיחות טלפון כמו גם לשתף תכנים באמצעות מעין לוח מחיק, בעזרת מסך מגע ייעודי. 

"קטגוריה זו משלבת את השיפורים בתוכנת זום עם חומרה תואמת לשדרוג חווית המשרד הביתי, ובכך ליצור שיחות וחוויה הדומה ביותר לדבר האמיתי״.

לאחר סיום המגיפה, האם זום תחזור להיות חברת שיחות וידיאו ארגונית? 

"במהלך מגיפת הקורונה אנו עובדים מסביב לשעון כדי להבטיח שעסקים, בתי ספר וארגונים אחרים ברחבי העולם יוכלו להישאר מחוברים וזמינים לפעולה. ככל שיותר סוגים חדשים של משתמשים מתחילים להשתמש בזום במהלך תקופה זו, כך גם אנו, מהצד שלנו, עשינו את מירב המאמצים כדי לוודא שאלו מבינים את המדיניות של זום, כמו גם את הדרכים הטובות ביותר להשתמש בפלטפורמה ולהגן על פגישותיהם. 

"ומילה אחרונה: זום מאובטחת בצורה ייסודית וזום בטוחה לשימוש. אני גאה מאוד בהישגים שלנו בהקשר זה. אני גאה מאוד במהירות שבה התחדשנו, בקנה המידה ובסוגי התכונות השונות (והמאובטחות) שהבאנו למרחב התקשורת המאוחדת”.

אולי יעניין אותך גם