回顾疫情下的ZOOM,网络信息安全和隐私保护问题,才是企业未来的核心竞争力和发展动力
受疫情影响,ZOOM 两个月时间经历其他大公司数年的波折
据报道,过去两个月里,随着全球疫情爆发,ZOOM成了外国最火的应用,除了开会、办公、上课,还被用来唱k、组酒局……美国大学生甚至在上面相亲,ZOOM 的下载量猛增了几十倍。据公开资料显示,ZOOM日活量一度突破2亿,而这一数字在去年12月底还仅为1000万左右。
与此同时,ZOOM还被爆出大量负面新闻。关注网络安全的人纷纷指责ZOOM对用户数据处理不当或滥用,其技术设计上的漏洞被黑客利用后胡作非为更是广为诟病,在学校和大学都停课之后,又曝光说有人入侵了小学生的ZOOM虚拟教室,展示了少儿不宜的内容……
网络安全问题让ZOOM的负面报道如山洪爆发
据《华盛顿邮报》等多家外媒报道,ZOOM存在严重的隐私安全漏洞,最直观的负面结果是其造成了目前至少15000名用户视频记录被公开在网上,所有人都可以点击观看。
被曝光的用户视频
据美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson)爆料,由于ZOOM命名方式单一,且其部分视频存在在一个不受密码保护的云存储空间中,导致他可以搜索到15000个陌生人的视频。公开视频中包括许多企业的在线会议录像,其中甚至包含公司财务报表、员工姓名电话等信息,此外还有许多学校网课视频、私人间的亲密对话也被公开。
仿佛一夜之间,ZOOM从远程办公软件的人生赢家,变成了“流氓软件”。
3 月 26 日,据外媒报道,安装了ZOOM 的iOS 用户数据会被共享给Facebook,即使该用户并没有Facebook账号。3 月 28 日ZOOM 作出反应,称其删除了相关代码。
3 月 30 日,更大的安全隐患被曝光——黑客可通过一个新的漏洞,接管 ZOOM 用户的 Mac,包括窃听网络摄像头并入侵麦克风。也因此出现了会议中出现色情、暴力、种族言论等内容的画面。
4月8日,谷歌也以安全原因为由,禁用了员工笔记本上的视频会议软件ZOOM。事件持续发酵,多家企业先后宣布禁用ZOOM会议系统,美国NASA和FBI也对ZOOM采取了禁用措施。
ZOOM选择倾注所有资源去修复
随着网络安全事件的爆发,ZOOM的反应也不慢,一件接着一件努力做修补工作。
3 月 26 日,外媒报道安装了ZOOM 的iOS 用户数据会被共享给Facebook, 两天后, 28 日ZOOM作出反应称删除了相关代码,已停止向Facebook发送数据。
4月1日,ZOOM 在其官网博客上,对近期发生的事情进行了全网致歉,并宣布停止所有新功能的研发,宣布90天内不再发布新功能,集中精力解决平台的隐私和安全问题。随之而来的,是一大批新改进的推行:
4月3日,ZOOM 发起「漏洞赏金」计划,鼓励大家去发现漏洞。
4月5日,ZOOM设立一个虚拟的“等候室”,参会者需要经过会议主持的批准,才能加入视频会议;
ZOOM表示,针对Mac和Windows产品的安全漏洞推出了修复程序,同时还设置了密码,用户不再能仅仅通过一个视频编号,就进入或者闯入一场私人会议。
对于一些有争议的功能,ZOOM也选择了先搁置。比如说,ZOOM原本有一个注意力跟踪功能,该功能可以让会议主持者查看参会者是否开着ZOOM但在使用其他程序。在公众的强烈反对之后,ZOOM停用了该功能。
ZOOM赢在“便捷”,但人们最关注的的还是网络信息安全和隐私保护问题
ZOOM 之所以吸引人,部分是因为是它是一个中立的平台。任何人,甚至没有账号的人,都可以通过任何设备仅需点击文本或电子邮件中的链接加入会议。主持人可以录制视频和音频,生成文本转录,而且大家都可以轻松共享屏幕。同时,如果会议不超过40分钟,并且与会者不超过100人的话,就可以免费使用ZOOM;每月支付19.99美元的客户每次视频会议可以支持1000人参会。此外,这项技术还为用户提供了一种很讨人喜欢的柔焦模式以及数字背景菜单:包括北极光、金门大桥以及未开发的海滩等。这些全景图像使得家庭用户不必担心自己半裸的配偶和孩子会不会出现在网络摄像头的视野范围内。
用了ZOOM视频的这个功能,开会前不用再整理房间了
但是,3月24日,美国《消费者报告》(Consumer Reports由美国消费者联盟主办出版)对 ZOOM的隐私政策是怎么让它得以将视频聊天内容分享给广告跟踪公司的细节做了详细介绍。文章重点披露了主持人是如何不需要参会者许即可录制视频或制作和分享转录脚本的;主持人还可以浏览参会者在该app聊天功能上交换的文本。这份出版物还提到了ZOOM的参会者注意力跟踪(Attendee Attention Tracking)工具,如果用户点击计算机上面的其他窗口超过30秒的话,就会向主持人发出警告,说明此人也许在做别的事情了。ZOOM因其数据收集方式而受到批评,其中包括其收集和存储“云记录、即时消息、文件、白板中包含内容”的权利,以及使雇主能够远程监控工人的权利。
在冠状病毒病疫情期间,ZOOM被广泛用于在线教育,这引起了对学生数据隐私,尤其是对个人身份信息的担忧。根据美国联邦调查局的资料显示,学生的IP地址、浏览历史记录、学习进度和生物特征数据也可能会受到威胁。隐私专家还担心学校对ZOOM的使用可能会引发有关对学生进行未经授权的监视以及家庭教育权利和隐私权法案下可能侵犯学生权利的问题。虽然ZOOM称,视频服务符合美国《家庭教育权利和隐私权法案》,收集用户数据仅是为了“提供技术和运营支持”。
从历史上看,大型的线上服务提供商Facebook、Twitter等都曾被曝出过负面新闻,但是在短短几周内一次性就经历了这么多波折,单从其基本经受住了20倍的使用量激增来看,ZOOM已经算是技术过硬的了。
网络信息安全和隐私保护或已成为企业的核心竞争力和永续发展动力
ZOOM 的经历也许是众多互联网企业的一个缩影。除了新用户的大量涌入,以及新冠病毒大流行期间运营企业所遭遇的挑战以外,企业要面临的还有大量黑客的技术侵犯。伴随新冠疫情期间的网络攻击不断活跃,互联网威胁指数屡创新高,全球用户对个人隐私和数据安全问题的关注也急速升温,而业务涉及海量用户信息的企业的安全能力,尤其是围绕数据安全展开的安全体系建设、基于风险管理的内外部威胁防御、人员意识培训、技术能力培训等,已经不仅仅是企业合法合规问题,而是企业的核心竞争力和永续发展动力。
虽然网络安全和隐私保护没有绝对的安全,但是人们更愿意去选择能够提供此方面可靠性证明的产品或服务。抛开ZOOM的对与错,至少人们通过类似事件看到了互联网企业在网络安全和隐私保护方面是存在上升空间的。也许有人会问,为什么网络信息安全意识的提升总出现“亡羊补牢”?网络安全问题影响深远、广泛,危及人身、财产、隐私等,它像达摩克利斯之剑,时刻悬在每个网民的头顶上方。如果让用户没有安全感,那么再好的产品也会被用户拒之门外,这也许是众多网络产品和服务商最该协助用户拔掉的一根心中毒刺。
拥有数据的企业,数据是其核心竞争力,管理和控制数据流动,评估相关风险和应采取的安全措施,搭建安全体系是信息安全建设的发展趋势。网络信息安全,数据安全保护是一个系统性工程,SCA安全通信联盟在此建议,企业应该有以业务为中心的安全战略,提升以合规为基础的安全管理能力,构建以“人”为中心的安全治理体系,最终落地为以“数据”为中心的纵深防御体系。SCA可为您提供相应的咨询与培训服务,在此推荐了解个人数据隐私保护与管理体系 (PIMS, BS 10012:2017) 基础课程。
PS:本文出自SCA安全通信联盟,转载请注明出处。