Безопасность веб-конференций

[Carder]

Решения для веб-конференций (также обычно называемые инструментами для совместной работы в Интернете) часто предоставляют возможность проведения аудио / видеоконференций, чата в реальном времени, совместного использования рабочего стола и передачи файлов. Поскольку мы все чаще используем веб-конференции, чтобы оставаться на связи во время работы из дома, важно обеспечить безопасность, не создавая ненужных рисков для конфиденциальности, безопасности и юридических рисков. В этом документе содержатся инструкции как по выбору решения для веб-конференций, так и по безопасному использованию.

Выбор решения для веб-конференций​

При выборе решения для веб-конференций важно, чтобы организации задавали себе следующие вопросы.

Поставщик услуг находится в Австралии?​

Использование офшорных решений для веб-конференций создает дополнительные риски для бизнеса и безопасности. Например, законы в других странах могут быть изменены без предварительного уведомления, а иностранные поставщики услуг, работающие в Австралии, могут по-прежнему подчиняться законам другой страны. Кроме того, поставщики услуг, расположенные за рубежом, могут подвергаться законным и скрытым запросам на сбор данных и получать доступ к данным организации без их ведома.

Каков послужной список поставщика услуг?​

Действия поставщика услуг в ответ на проблемы с конфиденциальностью и инциденты кибербезопасности важны, равно как и то, насколько быстро они раскрывают и принимают эффективные меры для устранения уязвимостей безопасности в своем решении для веб-конференций. Ищите поставщика услуг, который активно и быстро взаимодействует со своими клиентами, защищает права на конфиденциальность данных и активно решает проблемы кибербезопасности, такие как наличие программы раскрытия уязвимостей. Исследование исторической реакции поставщика услуг поможет определить, насколько серьезно они относятся к этим проблемам.

Соблюдаются ли требования конфиденциальности, безопасности и законодательства?​

Прежде чем соглашаться с условиями поставщика услуг, организациям следует обратиться за консультацией к юристу, защите конфиденциальности и безопасности. Примечательно, что условия должны включать в себя конкретные положения, касающиеся юридических требований, требований конфиденциальности и безопасности организаций. Без указания требований к конфиденциальности и безопасности организации могут быть не в состоянии проверить требования безопасности поставщика услуг или правильность использования их информации. В частности, следует обратить внимание на то, заявляет ли поставщик услуг право собственности на любые записанные разговоры и контент, метаданные или файлы, которые создаются или передаются при использовании его решения для веб-конференций. Наконец, при обращении за юридической консультацией организации с меньшей вероятностью непреднамеренно примут положения и условия, нарушающие финансовые правила или правила ответственности.

Какую информацию и метаданные собирает поставщик услуг?​

Информация и метаданные могут и часто будут собираться поставщиком услуг. Такая информация может включать в себя (но не ограничивается) имена, роли, организации, адреса электронной почты, имена и пароли зарегистрированных пользователей, а также информацию об используемых ими устройствах. Поскольку эта информация может быть конфиденциальной, организациям может потребоваться дать совет сотрудникам относительно соответствующего уровня информации, которую они должны раскрывать в процессе регистрации. Знание того, как эта информация будет использоваться поставщиком услуг, поможет информировать организации о конфиденциальности, безопасности и юридических рисках при использовании их решения для веб-конференций.

Использует ли поставщик услуг надежное шифрование?​

Поставщик услуг должен шифровать данные как в состоянии покоя (хранимых поставщиком услуг), так и во время передачи (передачи между различными устройствами). Это необходимо для того, чтобы гарантировать, что данные не могут быть прочитаны другими людьми, которым это не нужно. Одна вещь, на которую следует обратить особое внимание, - использовать ли решение для веб-конференций надежное шифрование, такое как Transport Layer Security (TLS), для защиты данных во время их передачи. Решения для веб-конференций, которые поддерживают исключительно TLS версий 1.2 и 1.3, по своей сути предлагают более надежную защиту данных, передаваемых через ненадежные сети, такие как Интернет.

Какова надежность и масштабируемость решения для веб-конференций поставщика услуг?​

По мере увеличения числа организаций и сотрудников, использующих решение для веб-конференций, оно может стать перегруженным. Таким образом, важно убедиться, что любое решение для веб-конференций будет надежным и доступным во времена повышенного спроса. Понимание возможностей решения для веб-конференций, таких как количество поддерживаемых одновременных подключений, гарантирует, что организации и их сотрудники смогут сотрудничать даже в периоды повышенного спроса.
Если существующее решение для веб-конференций не соответствует бизнес-требованиям в периоды повышенного спроса, организациям следует рассмотреть возможность увеличения емкости существующего решения или использования альтернативных методов передачи информации, прежде чем искать альтернативные решения, которые могут обеспечить дополнительную конфиденциальность, безопасность и правовые риски.

Использование решения для веб-конференций​

При использовании решения для веб-конференций важно, чтобы организации практиковали следующие действия.

Безопасная настройка решения для веб-конференций​

Изучите документацию поставщика услуг, чтобы узнать о функциях безопасности и рекомендуемых конфигурациях, связанных с их решением для веб-конференций. При этом обратите внимание, что параметры безопасности по умолчанию в решениях для веб-конференций, возможно, потребуется настроить в соответствии с требованиями безопасности организации. Кроме того, посоветуйте персоналу, использующему решение для веб-конференций на личных устройствах, убедиться, что они применили все исправления безопасности для своих устройств, и что их устройства защищены настолько, насколько это практически возможно.

Организуйте встречи безопасно​

При проведении собрания подумайте, как приглашения, ссылки на веб-сайты и учетные данные будут распространяться среди участников. Если вы разрешаете гостям, отправляйте сведения о встрече и учетные данные отдельно по электронной почте или через приложения для обмена зашифрованными сообщениями. Не делитесь ссылками на веб-сайты и не используйте учетные данные на общедоступных веб-сайтах или в социальных сетях. Наконец, не забывайте периодически обновлять учетные данные для доступа, например, раз в месяц или после того, как они были предоставлены любым гостям. Это снизит риск присоединения гостей к другим собраниям, на которые они не были приглашены.

Помните о неопознанных участниках​

Разрешить присоединяться к собранию только приглашенным участникам, а когда все участники присутствуют, рассмотрите возможность блокировки собрания, чтобы никто другой не мог присоединиться. Однако в некоторых случаях может оказаться невозможным идентифицировать отдельных участников, например, когда они присоединяются по телефону. В таких случаях обратите внимание на звуковые или визуальные уведомления, указывающие, что участники присоединяются к собранию, и попросите всех неизвестных участников назвать себя. Если неизвестные участники не могут идентифицировать себя надлежащим образом, их должен отключить организатор встречи.

Будьте в курсе окружения​

Использование личного места для встреч поможет сохранить конфиденциальность. Если личное местоположение невозможно, использование наушников может гарантировать, что при работе в общем месте только одобренные участники собрания будут слышать все обсуждения. Кроме того, отключение микрофона, когда вы не говорите активно, улучшает впечатление от встречи, устраняя нежелательные фоновые шумы, такие как звуки клавиатуры или петли звуковой обратной связи, и предотвращает случайную трансляцию частных или конфиденциальных дискуссий, которые могут происходить поблизости.
Наконец, с веб-камерами высокой четкости, которые стали нормой, участники могут непреднамеренно транслировать личные или конфиденциальные сведения в своем фоновом режиме. Если для встречи требуется видео, попробуйте расположить камеры так, чтобы они снимали только лица участников. В качестве альтернативы рассмотрите возможность использования функций размытия фона, если они доступны, учитывая, что они могут быть специфичными для определенных поставщиков услуг.

Будьте внимательны к разговорам​

Помните о потенциальной приватности или деликатности разговоров на рабочем месте и ограничьте обсуждения на собраниях теми, которые разрешены для проведения с использованием решения для веб-конференций. Также хорошей практикой является определение ожиданий до встречи, например, в отношении того, будет ли содержание встречи записано или опубликовано. Для организаций Содружества подумайте, какая конфиденциальность или классификация разрешены для обсуждения любых решений для веб-конференций.

Делитесь только тем, что требуется​

При совместном использовании содержимого экрана для собрания рекомендуется предоставлять общий доступ к отдельному приложению, а не ко всему экрану устройства. В качестве альтернативы решение для веб-конференций может иметь возможность выбрать для совместного использования только часть экрана устройства. Однако, если совместное использование экрана не требуется, отключите эту функцию или ограничьте ее использование только организатором собрания. По тем же причинам возможности записи и автоматической расшифровки звонков, субтитров для видео или обмена файлами могут создать риск непреднамеренного обмена большим количеством контента, чем предполагалось.