Kopš Latvijā izsludinātā ārkārtas stāvokļa, arvien vairāk organizācijas pārslēdzās attālinātā darba režīmā, līdz ar to pieaugusi arī telekonferenču rīku izmantošana. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV) veikusi šobrīd populārāko telekonferenču rīku analīzi un izstrādājusi būtiskākos ieteikumus attālinātās saziņas rīku lietotājiem, lai novērstu iespējamos apdraudējumus.
Cert.lv norāda, ka analizēti šobrīd populārākie telekonferenču rīki, tādi kā “Cisco WebEx Teams”, “Zoom”, “Microsoft Teams” un citi. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija pēc veiktās izpētes secināts – visiem tirgū pieejamajiem risinājumiem ir konstatētas dažādas ievainojamības un trūkumi. Cert.lv akcentēts, ka neeksistē universāls, absolūti drošs risinājums, kas būtu vienlaicīgi lietotājam draudzīgs, nodrošinātu pilnu konfidencialitāti, un operatīvi ieviešams bez papildu resursiem ārkārtas situācijā.
Tāpat Cert.lv uzsver - ja kompānijai vai organizācijai jau ir kāds iekšējs risinājums, kas veiksmīgi integrēts infrastruktūrā un tiek ilgstoši lietots, tad to nevajadzētu pēkšņi mainīt. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija akcentē, ka jauna, organizācijai mazpazīstama risinājuma ieviešana var radīt tehnoloģiju nesaderības problēmas, pakļaut infrastruktūru jauniem riskiem un radīt spriedzi lietotājiem, kuriem nāksies apgūt jaunu rīku, kas sākotnēji var arī nedarboties, kā gaidīts.
Savukārt, kas attiecas uz plaši apspriesto telekonferenču rīku “Zoom”, Cert.lv akcentē, ka svarīgi saprast – jo populārāks kļūst kāds produkts, jo lielāku uzmanību tam pievērsīs gan informācijas tehnoloģiju drošības eksperti, gan mediji un sabiedrība. Tam gan ir arī pozitīvs aspekts – tas nodrošina izstrādātājam pastiprinātu atgriezenisko saiti un iespēju pilnveidot savu produktu un procesus. Institūcija norāda, ka patreiz tiek novērots, ka “Zoom” izstrādātāji salīdzinoši efektīvi reaģē uz identificētajiem trūkumiem, publicējot atjauninājumus īsā laika posmā.
Ja iepriekš nav bijusi nepieciešamība izmantot kādu attālinātās saziņas rīku, izvēloties risinājumu, Cert.lv iesaka, pirmkārt, ņemt vērā vajadzīgā rīka funkcionalitāti. Izvērtēt, vai būs nepieciešama videokonferences funkcija, vai būs nepieciešama tekstuālu paziņojumu funkcija, vai plānota failu apmaiņa. Institūcija aicina izvēlēties risinājumu tikai ar tām funkcijām, kas būs nepieciešamas, tādejādi samazinot potenciālos riskus, nevis izvēlēties rīku ar plašu funkciju klāstu, vadoties pēc principa “ja nu noderēs”.
Tāpat jāņem vērā, ka visiem tirgū pieejamajiem risinājumiem ir konstatētas dažādas ievainojamības un trūkumi, tāpēc būtiski, cik ātri izstrādātājs reaģē uz atklātajām nepilnībām un tās novērš. Savukārt, ja mākoņservisa vietā tiek izvēlēts pašu uzturēts pakalpojums, tad jārēķinās, ka būs nepieciešama atbilstošas infrastruktūras sagatavošana, zinoša komanda un regulārs darbs, lai nodrošinātu projekta atbilstošu, nepārtrauktu un drošu uzturēšanu. Cert.lv norāda - ja nav iespējams ieguldīt atbilstošus resursus - laiku un līdzekļus produkta uzturēšanā, tad drošāk izmantot ārēju risinājumu.
Savukārt, lai novērstu iespējamos apdraudējumus neatkarīgi no izvēlētā telekonferenču rīka, Cert.lv iesaka sekot līdzi izlaistajiem atjaunojumiem un pārliecināties, ka tie tiek uzinstalēti laicīgi, kā arī pārliecināties, ka pārlūkprogrammu paplašinājumi un mobilās lietotnes ir drošākas par desktop programmām, jo tiek izmantota "sandboxing" tehnoloģija, kas ierobežo datus, kurus aplikācija varētu savākt.
Tāpat Cert.lv uzsver, ka, aicinot pievienoties sarunas biedrus videokonferencei, drošāk ir nevis sūtīt URL (ar kuru jebkurš varētu ielogoties), bet dot pieejas konkrētam lietotājam. Institūcija akcentē, ka parasti vienkāršākais veids, kā to panākt, ir palūgt visus sarunas biedrus piereģistrēties tajā pašā platformā. Savukārt, ja runa ir par korporatīvu vidi vai valsts sektoru - vislabāk autentifikācijai izmantot pašiem savu infrastruktūru – šī opcija saucas par "Single Sign-On (SSO)" un to atbalsta gan telekonferences rīks “Zoom”, gan arī citi līdzīgie risinājumi. Šajā gadījumā personu dati paliek organizācijas pārvaldībā.
Ja tomēr ir jāreģistrējas videokonferenču risinājumā, kas parasti jāizdara vismaz administratoram, tad šos kontus CERT.LV iesaka pasargāt ar multifaktoru autentifikāciju (MFA), nevis paļauties tikai uz vienu paroli. Tāpat daļu ar privātumu saistītu bažu rada sociālo tīklu un citu platformu izmantošana autentifikācijai, kurā tiek nodots pārāk daudz privāto datu. Lai novērstu šo apdraudējumu, institūcija aicina veidot kontu tieši lietotnē.
Informācijas tehnoloģiju drošības incidentu novēršanas institūcija pauž, ka daļai no risinājumiem ir pieejamas versijas, kuras organizācijas var uzturēt savā infrastruktūrā ("self-hosted", "on-premises", "private cloud"). Šajā gadījumā tiek minimizēta datu apstrāde trešās puses serverī.
Cert.lv uzsver, ka būtiski ir atcerēties, ka, izmantojot jebkuru šāda veida produktu, var veikt publiska satura sarunas, bet apmaiņa ar klasificētu informāciju nav pieļaujama. Tomēr, ja ir satraukums par datiem uz konkrētās iekārtas, tad papildu drošībai konferencēm iespējams izmantot atsevišķu iekārtu vai virtuālo mašīnu.