Vi verner om dine persondata

IT-avdelingen ved Nordens hus har mottatt bekymringsmeldinger fra flere hold knyttet til valg av løsning for videomøter. Det har også vært en rekke skriverier i ulike medier om dårlig sikkerhetsnivå og salg av data til tredjepart fra Zoom.

Når man så sier at dette er en trygg løsning så er det er viktig å forstå at Zoom-løsningen som brukes innen det nordiske samarbeidet ikke er den samme som for private brukere. Man kan således ikke si at det ikke har vært datasikkerhetsproblemer med Zoom, men vår løsning er trygg.

IT-avdelingen ved Nordens hus kjøper Zoom-tjenesten av NORDUnet. De er et samarbeidsorgan for de fem nasjonale forskning- og utdannelsesnettverk i Norden og er eid av de nordiske landene. NORDUnet opererer nettverk og E-infrastruktur i verdensklasse for hele den nordiske forskning- og utdannelsessektoren. Det er således vanskelig for Nordisk ministerråd og Nordisk råd å finne en mer kompetent samarbeidspartner innenfor dette området.

For å svare på bekymringene har vi samlet de vanligste spørsmålene her. Det er også mulig å kontakte IT-avdelingen direkte.

Alle deltagerne i et videomøte har adgang til lyd og bilde. Møteverten kan gi den enkelte deltager adgang til å gjøre opptak av møtet på sin egen PC og bare der. I vår løsning er det ikke mulig å gjøre opptak til «cloud». Trafikken er kryptert og blir ikke lagret på noen server noe sted.

Som standard mål alle som vil delta kjenne til møtets ID. Det er typisk et tall på 7-8 sifre, men kan også inneholde andre tegn som defineres av møteverten.

Alle deltakere kan se hvem de andre deltakerne er. Det er således enkelt for møteverten å se hvis det dukker opp deltakere som ikke skal være der.

Zoom-bombing er en betegnelse for hackere som gjetter på møtets ID og prøver å komme seg inn, men det er som nevnt enkelt å oppdage.

Ønsker man ytterligere sikkerhet kan man bruke muligheten for å sette et passord og at møteverten lukker hver enkelt deltager inn i møtet. Zoom har gjort en utførlig beskrivelse av hvordan man går frem her:

Ja - trafikken fra din nettleser og Zoom-klient er alltid kryptert (med TLS 1.2 eller AES-256). Se detaljer i Zooms Encryption Whitepaper (lenke under dette avsnitt).

Det er altså ikke belegg for påstandene om at Zoom ikke har kryptering. Man skal likevel være oppmerksom på, at hvis man ringer inn i et Zoom-møte fra en gammeldags analog telefon, så er trafikken naturlig nok ikke kryptert, før den er innenfor den infrastruktur som ligger i Zoom.

Det samme gjelder hvis man kobler seg til et Zoom-møte via tredjepartsløsninger som f.eks. Skype, ZIP-telefoner, GSM-telefoner eller H.323 videokonferanseutstyr. I disse tilfellene er det tredjepartsløsningen som eventuelt håndterer krypteringen.

En møtevert kan selv avgjøre om man vil tillate denne type forbindelser i møtet. Det er bare mulig å slippe inn H.323 som kan knytte seg kryptert til møte.  Det er mulig for alle deltagere å se hvilken type tilknytning alle andre deltakere har.

Nordisk ministerråd har gjennom NORDUnet inngått avtale om Zoom. Avtalen er fulgt av en databehandleravtale og det er tilsvarende avtaler gjennom hele leverandørkjeden.

Avtalene handler primært om de data leverandøren behandler for brukerne, altså konfigurasjoner vedrørende administratorer og møte samt chat og filer som deles i IM-klienten og brukeropplysninger som gis til Zoom i forbindelse med brukernes login.

Avtalene slår fast at dataene ikke må deles med noen utenfor leverandørkjeden og at de ikke må brukes til noe annet formål.

Zoom samler in en rekke data så som brukernavn, IP-adress, OS-versjon og tidspunkter. Zoom deler ikke dataene med noen og bruker dem heller ikke selv til markedsføring.

Zoom´s politikk strider ikke mot de avtaler som er inngått med NORDUnet og deri gjennom også med Nordisk ministerråd. Zooms politikk ble oppdatert 29. mars 2020 nettopp for at det ikke skulle herske noen tvil om hvilke data som blir samlet inn og hva Zoom kan bruke dem til.

Nei - møtetitler er en del av de data som oppbevares på en dedikert serverpark som drives av NORDUnet til formålet i København. Møteinnkallelser blir sendt fra klient til klient.

Nei - når man benytter Zoom hos NORDUnet inngår det ingen kreditkortdata.

Nei - Data som Zoom samler inn (både som databehandler og som dataansvarlig) må ikke brukes til andre formål, enn de er innsamlet til. De må ikke deles med andre og de må ikke brukes til markedsføring fra Zoom selv.

Enhver type av tjenester som skal tilkobles via en URL kan utsettes for såkalt Spoofing – altså at hackere lager en URL som ligger tett på den riktige. Målet er at man ikke oppdager dette og trykker på lenken. Zoom er intet unntak her. Det er ikke noe man kan laste Zoom for, men en generell egenskap ved lenker som sendes med e-post.

Er man nervøs for om man kan huske eller gjenkjenne URL-invitasjonen for hver gang, kan man i stedet starte klienten selv og lime inn møte-ID´en i den.

Nei- tidligere har Zoom brukt et Facebook-toolkit som en del av deres IOS-klienter, men i forbindelse med en software-oppdatering 27. mars 2020 er dette fjernet. Ingen av Nordisk ministerråds brukere har noen gang hatt mulighet til å logge inn i Zoom med Facebook-credentials.

Nei - men det er rapportert en feil - det såkalte "UNC link issue" - som kanskje/kanskje ikke muliggjorde dette for andre konferansedeltakere. Dette er blitt rettet ved en software-oppdatering 1. april 2020.

Zoom har en funksjon som kalles «attention tracking». Den er som utgangspunkt deaktivert i NORDUnets Zoom-tjeneste. Funksjonen gir møteverter en indikator på om deltagere har Zoom-vinduet aktivt under skjermdeling. Møteverten kan ikke få andre opplysninger fra deltagernes PC. Den er blitt deaktivert i forbindelse med en software-oppdatering 1. april 2020.

Ja - så langt det er mulig å vurdere er Nordisk ministerråd og NORDUnet overbevist om dette.

Vi kan ikke garantere at det ikke vil oppstå situasjoner som kan skape bekymringer i fremtiden. Som med alle tilsvarende produkter eller tjenester må man alltid være påpasselig. Det viktige er at vi samarbeider med leverandører som har en fornuftig sikkerhetskultur og som raskt reagerer på de problemer som måtte oppstå.

For ytterligere spørsmål eller informasjon ta kontakt med vår IT-ansvarlig Kasper Hartø.