Skip to main content

Her er DKCERTs sikkerhedsvurdering af Zoom

DKCERT har vurderet sikkerheden i den version af Zoom, som universiteterne anvender. Her er konklusioner og anbefalinger.
By
Mon, 05/04/2020 - 07:53
Image
Videomøde
Foto: Colourbox.

Sikkerheden i Zoom er naturligvis til debat i en tid, hvor fjernundervisning anvendes i stor stil.

Der kommer mange spørgsmål til dette område, og derfor har vi samlet dem i en FAQ, der løbende opdateres i takt med, at der komme nye svar.

En af de mere omfattende henvendelser om vurderingen af sikkerheden i Zoom kommer fra Aarhus Universitets (AU) databeskyttelsesrådgiver, som har kontaktet DKCERT, der er en del af DeiC. Et spørgsmål, der kræver et detaljeret svar.

”Vurderingen skal bruges til AU’s egen risikovurdering af Zoom for at afklare om sikkerheden i tjenesten er tilstrækkelig til, at AU kan bruge den i eksamenssituationer, hvor brugen af fortrolige oplysninger eller følsomme personoplysninger er sandsynlig,” fortæller Morten Eeg Ejrnæs Nielsen, der er projektleder i DKCERT.

Det er i denne sammenhæng vigtigt, at DeiC’s løsning kører uden om Zooms kommercielle cloud-miljø og i stedet på servere i Københavnsområdet, hvor trafikken er krypteret og intet bliver lagret. Derudover har DeiC deaktiveret den funktion, som gør det muligt at optage video og lyd til 'skyen'.

Det forhindrer eksempelvis, at Zoom-medarbejdere med en administratorrolle kan få adgang til lyd og billede fra videomøder og se detaljer om, hvor, hvem og hvordan brugere tilgår tjenesten, hvilket Zoom har fået massiv kritik for at tillade.

Kritik i medierne

Zoom har fået en del kritik i medierne af sikkerheden i tjenesten, både i forhold til kryptering, og i forhold til Zooms egen indsamling af data, blandt andet gennem et Facebook toolkit. Zoom har selv i et blog-indlæg været ude og sige, at de ikke har gjort det godt nok i forhold til sikkerheden, men at de fremadrettet vil rette op på dette.

Du kan læse bloggen her.

De har derfor fjernet deres Facebook toolkit, de har opdateret deres privatlivspolitik, de har fjernet visse features, som ikke var hensigtsmæssige i forhold til beskyttelse af personoplysninger og de har implementeret en bedre kryptering.

Zooms egen indsamling af personoplysninger sker alene med henblik på levering af tjenesten og ikke med henblik på salg af personoplysningerne, hvilket efter opdateringen også er fremhævet i deres privatlivspolitik. Data kan kun bruges til andre formål, hvis brugeren giver specifik tilladelse hertil.

”Det hollandske Datatilsyn har lavet en konsekvensanalyse (DPIA) af en række online videomøde, og her har de umiddelbart kun fundet to ting, hvor Zoom muligvis adskiller sig negativt fra andre lignende produkter. Det er i forhold til personlige reklamer, som kun kan vises, hvis der indsamles personoplysninger, og i forhold til den geografiske lokation af behandlingen af personoplysningerne,” siger Morten Eeg Ejrnæs Nielsen.

Du kan finde konsekvensanalysen på originalsproget her (PDF) eller i en engelsk oversættelse her (LinkedIn).

Web eller klient?

De personlige reklamer er kun noget der vises, hvis man bruger website/browser-versionen af Zoom, så denne behandling kan helt elimineres, hvis man alene bruger de klienter, som Zoom har udviklet til både Windows og OS computere, samt til Android og IOS mobile enheder.

Det andet problem, med at data behandles i USA, er ikke et problem med den løsning som DeiC udbyder i samarbejde med NORDUnet, da dette sker via en installation, hvor behandlingen af personoplysninger alene sker hos NORDUnet, eller hos NORDUnets underdatabehandler AWS i Stockholm, og dermed slet ikke kommer ind i Zooms eget kommercielle cloud-miljø.

Yderligere er muligheden for at gemme optagelser i skyen låst for brugere af DeiC’s, så den slags oplysninger kun kan gemmes lokalt, og er derfor ikke tilgængelig for andre på nogen måde.

Det kan se ud som om, at data sendes til USA, men dette skulle alene være møde-ID’et, som går til Zooms infrastruktur, hvor det bliver genkendt som et møde, der skal afvikles i DeiCs og NORDUnets installation, hvorefter brugerne ledes tilbage til denne og mødet afvikles.

Trafikken i Zoom er krypteret, hvis man alene benytter Zooms klienter, hvilket også fremgår af Zooms Encryption Whitepaper. Læs det her.

”På baggrund af ovenstående gennemgang, hvoraf det fremgår at ved brugen af Zoom gennem DeiC og NORDUnet, hvor data ikke sendes til USA, så er data krypteret, og så kan data ikke lagres andre steder end lokalt, er det min konklusion, at Zoom godt kan bruges til behandlingen af følsomme personoplysninger, hvis organisationens egen risikovurdering også understøtter dette,” lyder konklusionen fra Morten Eeg Ejrnæs Nielsen.

Behandlingen af følsomme personoplysninger bør dog kun ske, hvis disse anbefalinger følges:

  • Brug kun den Zoom klient der tilbydes af DeiC gennem WAYF – det er ikke tilladt at bruge website versionen.
  • Kontroller at din Zoom installation er opdateret, gerne dagligt.
  • Brug altid “waiting room” feature, hvis det er muligt, da dette tillader større kontrol over, hvem der deltager i møderne.
  • Alle møder skal have et kodeord
  • Send kodeord til deltagerne via andre kanaler, som fx mail.
  • Brug aldrig dit personlige møde id, men vælg I stedet “one-time meeting id” eller ændre din opsætning så du har aktiveret ”generate automatically”

Læs mere: