זום: שיפור אבטחת השיחות בתחומים הרגישים במיוחד
בין אם משתמשים בפלטפורמה של זום לצורך למידה היברידית או עבור פגישות בנושאים שונים – חייבים לשים לב לתכונות האבטחה שמאחורי הקלעים. מדריך מאת סגן נשיא החברה
ישראל דיפנס
| 17/06/2021
קרדיט תמונה: חברת ״זום״
אבטחה היא נושא קריטי בכל ענף במשק כשזה נוגע לשיתוף פעולה שקוף ובטוח, בייחוד בשימוש בפלטפורמות וירטואליות. כדי להוציא את המקסימום מהתפעול היומיומי של כל ארגון, יש להכיר מקרוב את אפשרויות האבטחה שפועלות להן ברקע ברגע שלוחצים על כפתור התחלת המפגש. נכון, יש בפלטפורמה סט רחב וגדול של אמצעי אבטחה שטובים ויעילים לכולם, אבל, יש כמה תחומים בהם צריך לשים לב במיוחד לאמצעי אבטחה ספציפיים לעיסוק.
בקרות כלליות בפגישה
בעוד שכמעט כל ענף בתעשייה משתמש בזום באופן הספציפי המתאים לו, פגישות זום מגיעות עם סמל אבטחה ושלל אמצעי ניטור ובקרה בפגישה המסייעים למשתמשים להגן על הפגישות שלהם מפני אורחים שלא הוזמנו. באפשרויות אלה יכולים מארחים לנהל את שיתוף המסך, לנעול את הפגישה, להגדיר אימות דו-שלבי, להסיר משתתפים מפריעים, להשבית וידאו או להשתיק משתתפים, להשעות את פעילויות המשתתפים, לכבות את אופציית העברת הקבצים, להשבית את האופציה לצ'אט פרטי ולדווח על משתמשים.
חינוך
מכיוון שבתי ספר וקמפוסים רבים מאמצים את מודל הלמידה ההיברידית, גם בעידן שאחרי הקורונה, מורים זקוקים לכלי האבטחה הנכונים כדי לוודא שכיתתם הווירטואלית לא תופרע על ידי גורמים חיצוניים, או תיפול קורבן למתיחות למיניהן. התכונות הבאות נועדו לעזור למורים ומנהלים לייעל את חוויית הלמידה הווירטואלית:
הודעה על פגישה בסיכון: כלי המזהה בצורה אקטיבית כל בעיה הקשורה בשמירה על פרטיות הפגישות, הסורק פוסטים בפלטפורמות מדיה חברתית ציבוריות ומשאבים מקוונים ציבוריים אחרים עבור קישורים בפגישות זום. אם קישור לכיתה פורסם ברשת, יישלח מייל למורה.
כלי להתנהגות נאותה בצ׳אט: כלי המזהה אוטומטית מילות מפתח ודפוסי טקסט ב-Zoom Chat ובצ'אט בכל פגישה ועוזר למנוע ממשתמשים לשתף הודעות לא רצויות, כמו אלה הכוללות שפה בלתי הולמת. חשוב לציין כי מדיניות זו מוגדרת על ידי מנהלי חשבונות ולא על ידי זום, וכי הכלי אינו שולח דוחות למנהלי החשבונות או לאף אחד אחר. כל מי שמעוניין בתכונה זו צריך לפנות למנהל הרלבנטי (CSM) כדי להפעיל אותה.
חדר המתנה: בהגדרות הפגישה תחת "אבטחה", ניתן לעבור לחדר ההמתנה, אשר ישלח את כולם לאזור ההמתנה הווירטואלי ממנו ניתן להכניס אותם לפגישה בנפרד או בבת אחת. למעשה, תכונת חדר ההמתנה מופעלת כברירת מחדל עבור משתמשי חינוך יסודי ותיכון.
בנוסף, זום מצייתת לחוק זכויות חינוך ופרטיות המשפחה האמריקאי, המסייע בהגנה על פרטיות המידע של התלמידים.
בריאות ורפואה
פרטיות המטופלים ורווחתם הם תמיד בראש סדר העדיפויות של ארגוני הבריאות. בין אם עורכים פגישות ייעוץ רפואי, או מתקשרים עם הקהילה הרפואית באופן וירטואלי, ישנן מספר תכונות וסטנדרטים שיעזרו לכל ארגון רפואי לשמור על פרטיות המטופלים:
הצפנת צ׳אט מתקדמת: מאפשרת תקשורת מאובטחת בה רק הנמען המיועד יכול לקרוא את ההודעה המאובטחת, מה שעוזר לצוותים הרפואיים לתאם ביניהם במהירות תוך שמירה על פרטיות הלקוח ואבטחת הנתונים שלו.
סיסמה לפגישה: המשתתפים נדרשים ליצור סיסמה ולשתף אותה עם מטופלים באמצעות מייל, כך שהם נדרשים להקליד את הסיסמה המאובטחת כדי שיוכלו להצטרף לפגישה - מה שמוסיף שכבת אבטחה נוספת לאינטראקציה.
בין אם מדובר במטפל יחיד, מרפאה קטנה או מערכת בריאות ארגונית - זום מסייע ללקוחות לאפשר תוכניות תואמות HIPPA(הסטנדרט האתי האמריקאי בעולם הרפואה) על ידי ביצוע הסכם שותפים עסקיים (BAA).
שירותים פיננסיים
אבטחת המידע של לקוחות חיונית לכל ארגון המספק שירותים פיננסיים. אמון הלקוחות - ולכן הכדאיות העסקית - תלוי באבטחה, ולכן כל ארגון בתחום המשתמש בזום צריך לנצל את תכונות ניהול הנתונים וההצפנה המתאימות ביותר:
בקרת ניתוב נתונים: למשתמשי זום יש אפשרות לבחור אילו מרכזי נתונים מעבדים את הנתונים שלהם במעבר, או, במילים אחרות, נתונים שעוברים באופן פעיל ממיקום אחד לאחר ברחבי האינטרנט. ניתן להצטרף או לצאת מכל מרכז נתונים אזורי ספציפי (למעט אזור ברירת המחדל שבו הוקצה חשבונך), וכך לשמור על שליטה רבה יותר על היעד אליו עובר המידע.
הצפנה מקצה לקצה: כאשר היא מופעלת, תכונה זו משתמשת באותה הצפנת AES GCM של 256 סיביות התומכת בפגישות זום סטנדרטיות כדי לסייע בהצפנת התקשורת בין כל משתתפי הפגישה. ההבדל היחיד הוא שמפתחות הצפנה ידועים רק למכשירים של משתתפי הפגישה. המשמעות היא שלאף גורם שלישי - כולל זום - אין גישה למפתחות הפרטיים של הפגישה.
ארכיון פגישות וסמינרים מקוונים: תכונה זו מאפשרת למנהלי חשבונות להקים מנגנון אוטומטי לאיסוף וארכיון של נתוני פגישות לפלטפורמה של צד שלישי לפי בחירתם ומכאן לעמוד בדרישות התאמה שונות (כמן FINRA). שלא כמו הקלטת ענן, השומרת קבצי וידאו, אודיו וצ'אט או תמלול בענן של זום, ממשק ה- API לארכיון אוסף סמינרים מקוונים ונתוני פגישות או מטא נתונים הדרושים להנחיות תאימות מסוימות, כמו גם קבצי שמע, וידאו וצ'ט אם הם הוגדרו כשיחת API.
מוסדות ממשלתיים
כמו ארגונים מודרניים רבים, מוסדות ממשלתיים צריכים לשתף פעולה בזמן אמת תוך הגנה על חילופי נתונים מכריעים. כך פותח Zoom for Government שתוכנן כדי לענות על הדרישות והצרכים המיוחדים של ממשלת ארה"ב - פיתוח המציע את אותה חוויה כמו פלטפורמת הזום הסטנדרטית, אך מתפקדת כפלטפורמה נפרדת שתוכננה לעמוד בתקני האבטחה הפדרליים.
אנשי צוות ומרכזי נתונים בארה״ב: זום לממשלה ממנף את תשתית GovCloud האמריקאית ומרכזי נתונים הממוקמים בארה"ב. הוא מנוהל על ידי אמריקאים בלבד. תכונה זו בלעדית לזום לממשלה.
תכונות פרטיות חוצות פלטפורמה: זום פרסמה מספר תכונות פרטיות המסייעות להעניק הן לזום עצמה והן לזום ללקוחות ממשלתיים יותר תובנות ושליטה בפרטיות הפגישות שלהם. תכונות אלה מסייעות בהגנה על פרטיות המידע החיוני המוחלף באמצעות זום, ביניהן מניעת משתתפים להצטרף באמצעות מספר מכשירים בו זמנית, או ממכשיר אחר לאחר הוצאתם מפגישה, אפשרות לדרוש ממשתמשים מאומתים להצטרף לפגישות ועוד.
אבטחת כוח העבודה ההיברידי
ניכר שבכל התעשיות שיתוף פעולה מאובטח הוא מהותי להצלחת הארגון. אבטחה חשובה מתמיד גם כאשר ארגונים מנווטים דרך השלב הבא של עולם העבודה ולומדים לתפעל את כוח העבודה ההיברידי. על ידי תמיכה בכוח העבודה ההיברידי בטכנולוגיה המיישמת תכונות אבטחה קלות לשימוש, ארגונים יוכלו ליצור גישה מציאותית וניתנת להרחבה לאבטחה שתתפתח ככל שהעסק יתנהל.
מאת: גרי סורנטינו, סגן CIO גלובלי בזום
בין אם משתמשים בפלטפורמה של זום לצורך למידה היברידית או עבור פגישות בנושאים שונים – חייבים לשים לב לתכונות האבטחה שמאחורי הקלעים. מדריך מאת סגן נשיא החברה
קרדיט תמונה: חברת ״זום״
אבטחה היא נושא קריטי בכל ענף במשק כשזה נוגע לשיתוף פעולה שקוף ובטוח, בייחוד בשימוש בפלטפורמות וירטואליות. כדי להוציא את המקסימום מהתפעול היומיומי של כל ארגון, יש להכיר מקרוב את אפשרויות האבטחה שפועלות להן ברקע ברגע שלוחצים על כפתור התחלת המפגש. נכון, יש בפלטפורמה סט רחב וגדול של אמצעי אבטחה שטובים ויעילים לכולם, אבל, יש כמה תחומים בהם צריך לשים לב במיוחד לאמצעי אבטחה ספציפיים לעיסוק.
בקרות כלליות בפגישה
בעוד שכמעט כל ענף בתעשייה משתמש בזום באופן הספציפי המתאים לו, פגישות זום מגיעות עם סמל אבטחה ושלל אמצעי ניטור ובקרה בפגישה המסייעים למשתמשים להגן על הפגישות שלהם מפני אורחים שלא הוזמנו. באפשרויות אלה יכולים מארחים לנהל את שיתוף המסך, לנעול את הפגישה, להגדיר אימות דו-שלבי, להסיר משתתפים מפריעים, להשבית וידאו או להשתיק משתתפים, להשעות את פעילויות המשתתפים, לכבות את אופציית העברת הקבצים, להשבית את האופציה לצ'אט פרטי ולדווח על משתמשים.
חינוך
מכיוון שבתי ספר וקמפוסים רבים מאמצים את מודל הלמידה ההיברידית, גם בעידן שאחרי הקורונה, מורים זקוקים לכלי האבטחה הנכונים כדי לוודא שכיתתם הווירטואלית לא תופרע על ידי גורמים חיצוניים, או תיפול קורבן למתיחות למיניהן. התכונות הבאות נועדו לעזור למורים ומנהלים לייעל את חוויית הלמידה הווירטואלית:
הודעה על פגישה בסיכון: כלי המזהה בצורה אקטיבית כל בעיה הקשורה בשמירה על פרטיות הפגישות, הסורק פוסטים בפלטפורמות מדיה חברתית ציבוריות ומשאבים מקוונים ציבוריים אחרים עבור קישורים בפגישות זום. אם קישור לכיתה פורסם ברשת, יישלח מייל למורה.
כלי להתנהגות נאותה בצ׳אט: כלי המזהה אוטומטית מילות מפתח ודפוסי טקסט ב-Zoom Chat ובצ'אט בכל פגישה ועוזר למנוע ממשתמשים לשתף הודעות לא רצויות, כמו אלה הכוללות שפה בלתי הולמת. חשוב לציין כי מדיניות זו מוגדרת על ידי מנהלי חשבונות ולא על ידי זום, וכי הכלי אינו שולח דוחות למנהלי החשבונות או לאף אחד אחר. כל מי שמעוניין בתכונה זו צריך לפנות למנהל הרלבנטי (CSM) כדי להפעיל אותה.
חדר המתנה: בהגדרות הפגישה תחת "אבטחה", ניתן לעבור לחדר ההמתנה, אשר ישלח את כולם לאזור ההמתנה הווירטואלי ממנו ניתן להכניס אותם לפגישה בנפרד או בבת אחת. למעשה, תכונת חדר ההמתנה מופעלת כברירת מחדל עבור משתמשי חינוך יסודי ותיכון.
בנוסף, זום מצייתת לחוק זכויות חינוך ופרטיות המשפחה האמריקאי, המסייע בהגנה על פרטיות המידע של התלמידים.
בריאות ורפואה
פרטיות המטופלים ורווחתם הם תמיד בראש סדר העדיפויות של ארגוני הבריאות. בין אם עורכים פגישות ייעוץ רפואי, או מתקשרים עם הקהילה הרפואית באופן וירטואלי, ישנן מספר תכונות וסטנדרטים שיעזרו לכל ארגון רפואי לשמור על פרטיות המטופלים:
הצפנת צ׳אט מתקדמת: מאפשרת תקשורת מאובטחת בה רק הנמען המיועד יכול לקרוא את ההודעה המאובטחת, מה שעוזר לצוותים הרפואיים לתאם ביניהם במהירות תוך שמירה על פרטיות הלקוח ואבטחת הנתונים שלו.
סיסמה לפגישה: המשתתפים נדרשים ליצור סיסמה ולשתף אותה עם מטופלים באמצעות מייל, כך שהם נדרשים להקליד את הסיסמה המאובטחת כדי שיוכלו להצטרף לפגישה - מה שמוסיף שכבת אבטחה נוספת לאינטראקציה.
בין אם מדובר במטפל יחיד, מרפאה קטנה או מערכת בריאות ארגונית - זום מסייע ללקוחות לאפשר תוכניות תואמות HIPPA(הסטנדרט האתי האמריקאי בעולם הרפואה) על ידי ביצוע הסכם שותפים עסקיים (BAA).
שירותים פיננסיים
אבטחת המידע של לקוחות חיונית לכל ארגון המספק שירותים פיננסיים. אמון הלקוחות - ולכן הכדאיות העסקית - תלוי באבטחה, ולכן כל ארגון בתחום המשתמש בזום צריך לנצל את תכונות ניהול הנתונים וההצפנה המתאימות ביותר:
בקרת ניתוב נתונים: למשתמשי זום יש אפשרות לבחור אילו מרכזי נתונים מעבדים את הנתונים שלהם במעבר, או, במילים אחרות, נתונים שעוברים באופן פעיל ממיקום אחד לאחר ברחבי האינטרנט. ניתן להצטרף או לצאת מכל מרכז נתונים אזורי ספציפי (למעט אזור ברירת המחדל שבו הוקצה חשבונך), וכך לשמור על שליטה רבה יותר על היעד אליו עובר המידע.
הצפנה מקצה לקצה: כאשר היא מופעלת, תכונה זו משתמשת באותה הצפנת AES GCM של 256 סיביות התומכת בפגישות זום סטנדרטיות כדי לסייע בהצפנת התקשורת בין כל משתתפי הפגישה. ההבדל היחיד הוא שמפתחות הצפנה ידועים רק למכשירים של משתתפי הפגישה. המשמעות היא שלאף גורם שלישי - כולל זום - אין גישה למפתחות הפרטיים של הפגישה.
ארכיון פגישות וסמינרים מקוונים: תכונה זו מאפשרת למנהלי חשבונות להקים מנגנון אוטומטי לאיסוף וארכיון של נתוני פגישות לפלטפורמה של צד שלישי לפי בחירתם ומכאן לעמוד בדרישות התאמה שונות (כמן FINRA). שלא כמו הקלטת ענן, השומרת קבצי וידאו, אודיו וצ'אט או תמלול בענן של זום, ממשק ה- API לארכיון אוסף סמינרים מקוונים ונתוני פגישות או מטא נתונים הדרושים להנחיות תאימות מסוימות, כמו גם קבצי שמע, וידאו וצ'ט אם הם הוגדרו כשיחת API.
מוסדות ממשלתיים
כמו ארגונים מודרניים רבים, מוסדות ממשלתיים צריכים לשתף פעולה בזמן אמת תוך הגנה על חילופי נתונים מכריעים. כך פותח Zoom for Government שתוכנן כדי לענות על הדרישות והצרכים המיוחדים של ממשלת ארה"ב - פיתוח המציע את אותה חוויה כמו פלטפורמת הזום הסטנדרטית, אך מתפקדת כפלטפורמה נפרדת שתוכננה לעמוד בתקני האבטחה הפדרליים.
אנשי צוות ומרכזי נתונים בארה״ב: זום לממשלה ממנף את תשתית GovCloud האמריקאית ומרכזי נתונים הממוקמים בארה"ב. הוא מנוהל על ידי אמריקאים בלבד. תכונה זו בלעדית לזום לממשלה.
תכונות פרטיות חוצות פלטפורמה: זום פרסמה מספר תכונות פרטיות המסייעות להעניק הן לזום עצמה והן לזום ללקוחות ממשלתיים יותר תובנות ושליטה בפרטיות הפגישות שלהם. תכונות אלה מסייעות בהגנה על פרטיות המידע החיוני המוחלף באמצעות זום, ביניהן מניעת משתתפים להצטרף באמצעות מספר מכשירים בו זמנית, או ממכשיר אחר לאחר הוצאתם מפגישה, אפשרות לדרוש ממשתמשים מאומתים להצטרף לפגישות ועוד.
אבטחת כוח העבודה ההיברידי
ניכר שבכל התעשיות שיתוף פעולה מאובטח הוא מהותי להצלחת הארגון. אבטחה חשובה מתמיד גם כאשר ארגונים מנווטים דרך השלב הבא של עולם העבודה ולומדים לתפעל את כוח העבודה ההיברידי. על ידי תמיכה בכוח העבודה ההיברידי בטכנולוגיה המיישמת תכונות אבטחה קלות לשימוש, ארגונים יוכלו ליצור גישה מציאותית וניתנת להרחבה לאבטחה שתתפתח ככל שהעסק יתנהל.
מאת: גרי סורנטינו, סגן CIO גלובלי בזום
