Við stöndum vörð um persónuupplýsingar þínar

Ýmsir hópar sem tengjast vali á fjarfundabúnaði hafa leitað til upplýsingatæknideildar Húss Norðurlanda. Þá hafa nokkrir fjölmiðlar fjallað um að öryggisstig Zoom sé ekki fullnægjandi og að þaðan séu upplýsingar seldar til þriðja aðila.

Þegar sagt er að þetta sé örugg lausn er mikilvægt að gera sér grein fyrir að Zoom-lausnin sem notuð er í norrænu samstarfi er ekki sú sama og sú sem einstaklingar nota. Það er því ekki hægt að fullyrða að ekki hafi verið fyrir hendi tölvuöryggisvandi hjá Zoom en okkar lausn er örugg.

Upplýsingatæknideild Húss Norðurlanda kaupir þjónustu Zoom af NORDUnet. Það er samstarfsstofnun fimm rannsóknar- og menntunarsamstarfneta á Norðurlöndum og norrænu ríkin eiga stofnunina. NORDUnet rekur samstarfsnet og rafræna innviði á heimsmælikvarða fyrir allan norræna rannsóknar- og menntundargeirann. Norræna ráðherranefndin og Norðurlandaráð finna varla hæfari samstarfsaðila á þessu sviði.

Við höfum safnað hér saman algengustu spurningunum til þess að bregðast við þessum áhyggjum. Einnig er hægt að hafa beint samband við upplýsingatæknideildina.

Allir þátttakendur í fjarfundi hafa aðgang að bæði hljóði og mynd. Fundarboðandinn getur veitt einstökum þátttakendum aðgang að því að taka upp fundinn á sína eigin tölvu og aðeins þar. Ekki er hægt að taka upp í „ský“ gegnum okkar lausn. Umferðin er dulkóðuð og er hvergi vistuð á vefþjón.

Almenna reglan er sú að allir sem vilja taka þátt þurfa að þekkja auðkenni fundarins. Það er yfirleitt 7-8 stafa tala en getur einnig innihaldið önnur tákn sem skilgreind eru af fundarboðanda.

Allir þátttakendur sjá hverjir aðrir taka þátt í fundinum. Þannig er einfalt fyrir fundarboðanda að sjá ef óboðinn þátttakandi birtist.

Zoom-bombing hefur það verið kallað þegar tölvuþrjótar giska á auðkenni fundar og reyna að koma sér inn á hann en eins og fram hefur komið er einfalt að sjá ef þetta gerist.

Ef óskað er eftir frekara öryggi er hægt að nota þá leið að vera með aðgangsorð og að fundarboðandinn hleypi hverjum og einum þátttakanda inn á fundinn. Zoom hefur útbúið nákvæmar leiðbeiningar þar sem því er lýst hvernig þetta er gert.

Já - umferðin á vafranum þínum og Zoom-notandi eru alltaf dulkóðaðir (með TLS 1.2 eða AES-256). Nánari upplýsingar í Zooms Encryption Whitepaper (krækja undir þessum kafla).

Það er sem sagt ekki fótur fyrir þeirri fullyrðingu að Zoom sé ekki með dulkóðun. Þó þarf að gera sér grein fyrir að ef hringt er inn á Zoom-fund úr gamaldags analog-síma þá er sú umferð líklega ekki dulkóðuð fyrr en hún er komin inn í innviði Zoom.

Það sama á við ef maður tengir sig við Zoom-fund gegnum lausnir þriðja alila, svo sem Skype, ZIP-síma, GSM-síma eða H.323 fjarfundabúnað. Í þeim tilvikum er það þriðji aðili sem tekur á hugsanlegri dulkóðun.

Fundarboðandi ákveður sjálfur hvort hann vilji leyfa þessa gerð af tengingu inn á fundinn. Aðeins er hægt að hleypa inn H.323 sem getur tengst fundinum dulkóðað.  Þátttakendur eiga þess kost að sjá hvers konar tengingu allir hinir þátttakendurnir eru með.

Norræna ráðherranefndin hefur gert samning við Zoom gegnum NORDUnet. Samningnum er fylgt eftir með gagnavinnslusamningi og samsvarandi samningar gilda gegnum alla birgjakeðjuna.

Samningarnir taka fyrir og fremst til upplýsinga sem birginn fer með fyrir notandann, það er stillingar varðandi stjórnendur og fundi ásamt spjalli og skrám sem deilt er af IM-notandanum og notendaupplýsingar sem veittar eru Zoom í tengslum við innskráningu notenda

Í samningunum er kveðið skýrt á um að ekki megi miðla upplýsingunum út fyrir birgjakeðjuna og að ekki megi nota þær í öðrum tilgangi.

Zoom geymir ákveðnar upplýsingar svo sem notendanafn, IP-tölu, OS-útgáfu og tímasetningar. Zoom deilir þessum upplýsingum ekki með neinum og fyrirtækið notar þær ekki heldur sjálft í markaðsstarfi.

Stefna Zoom fer ekki gegn þeim samningum sem gerðir hafa við við NORDUnet og þar með einnig við Norrænu ráðherranefndina. Stefna Zoom var endurskoðuð 29. mars 2020 einmitt til þess að ekki ríkti vafi um það hvaða upplýsingum er safnað og til hvers Zoom getur notað þær.

Nei - heiti funda eru hluti þeirra upplýsinga sem varðveittar eru í þar til gerðum netþjónagarði sem er rekinn sérstaklega í þessum tilgangi af NORDUnet í Kaupmannahöfn. Fundarboð eru send frá notanda til notanda.

Nei - þegar Zoom er notað hjá NORDUnet koma engar kreditkortaupplýsingar við sögu.

Nei - þær upplýsingar sem Zoom geymir (bæði vegna notkunar og ábyrgðar á gögnum) má ekki nota í öðrum tilgangi en upplýsingunum er safnað fyrir. Þeim má ekki miðla til annarra og ekki má nota þær í markaðsstarfi Zoom.

Allar gerðir þjónustu sem hægt er að tengjast gegnum vefslóðir geta orðið fyrir svokölluðu Spoofing - sem sagt að tölvuþrjótar búa til vefslóð sem er mjög lík þeirri réttu. Tilgangurinn er að fólk taki ekki eftir þessu og ýti á slóðina. Zoom er engin undantekning frá þessu. Ekki er hægt að kenna Zoom um þetta heldur á þetta almennt við um krækjur sem sendar eru með tölvupósti.

Ef maður er óviss um að muna eða þekkja aftur vefslóðina með fundarboðinu í hvert sinn er hægt að ræsa notandann sjálf/ur og afrita fundarauðkennið.

Nei - áður var Facebook-verkfærakassi hluti af IOS-notendum Zoom en í tengslum við uppfærslu hugbúnaðarins 27. mars 2020 var þetta tekið út. Enginn notenda Norrænu ráðherranefndarinnar hefur nokkurn tíma átt þess kosti að skrá sig ínn í Zoom með Facebook-aðgangi sínum.

Nei - en tilkynnt var um villu - svo kallað „UNC link issue“ - sem kannski og kannski ekki gerði þetta mögulegt fyrir aðra þátttakendur í fundinum. Þetta var lagað í hugbúnaðaruppfærslunni 1. apríl 2020.

Zoom er með þjónustu sem kallast „attention tracking“. Almennt er hún aftengd í Zoom-þjónustu NORDUnets. Þjónustan sýnir fundarboðanda hvort þátttakendur eru með Zoom-gluggann virkan meðan á skjádeilngu stendur. Fundarboðandi fær ekki aðrar upplýsingar úr tölvum þátttakendanna. Þessi þjónusta var aftengd í tengslum við hugbúnaðaruppfærslu 1. apríl 2020.

Já - að því marki sem hægt er að meta þetta þá eru Norræna ráðherranefndin og NORDUnet sannfærð.

Við getum ekki tryggt að ekki muni koma upp aðstæður sem geta valdið áhyggjum í framtíðinni. Eins og á við um alla samsvarandi vöru og þjónustu þá er nauðsynlegt að gæta alltaf að sér. Það sem skiptir máli er að við vinnum með birgjum sem eru með skynsamlega öryggisstefnu og bregðast hratt við vandamálum sem upp kunna að koma.

Hafið samband við Kasper Hartø sem ber ábyrgð á upplýsingatæknimálum okkar til að fá svar við frekari spurningum eða nánari upplýsingar