E-mötestjänsten Zoom med funktioner för chatt, personliga möten, videokonferens och webbinarium använder de flesta av oss väldigt frekvent just nu. Zoom har figurerat mycket i media den senaste tiden. Det har handlat om diverse säkerhetsfrågor, som t.ex. kryptering, trafik som har skickas via Kina, fenomenet zoom-bombning och zoomlösenord som säljs på nätet. Skriverierna hänvisar till största delen till den publika versionen av Zoom som bland annat används av många privatpersoner framför allt i USA.


Zoom på SU

SU köper tjänsten Zoom av Sunet (Swedish University Computer Network), som använder NORDUnet som leverantör av tjänsten. För SU så är Zoom inte en del av ”publika Zoom”. NORDUnets Zoomtjänst följer GDPR och övrig europeisk datalagstiftning och all data lagras och behandlas inom EU. 
NORDUnet har egen licens för Zoom och har installationen on-prem (On Premise) på egna servrar. Det är alltså en privat instans, ett privat moln, av Zoom för Sunets/NORDUnets kunder. Allt mötesdata stannar helt i NORDUnets installation. En viss mängd personuppgifter delas med Zoom/EU (Frankfurt). Personuppgifter delas inte med Zoom/US. 
Zoom på SU använder SWAMID för inloggning, dvs federerad inloggning. Det betyder att det inte lagras några lösenord i Zoomtjänsten.

  • Allt data från möten lagras i Stockholm/Köpenhamn (video, röst, chattar, delade bilder osv.).
  • Metadata runt möten lagras i Frankfurt (användarnamn, SSO-attribut som t.ex. anställd, student, IP-adress, nätverkskvalitet, geoinformation).
  • Licenstagande organisation, dvs. Stockholms universitet, samt licensieringstyp och antal licenser lagras hos Zoom i USA.

Zoom i nyheterna

Den publika Zoom-tjänsten har fått mycket uppmärksamhet i såväl dags- som fackpress. Dessa frågor har inte så stor bäring på SU, eftersom SU använder en annan typ av installation och inte den publika Zoomtjänsten.

Zoom-bombning

Zoom-bombning är ett handhavandeproblem och har inget med tjänstens integritet att göra. Det kan dock skapa mycket irritation och oro. Fenomenet handlar om att oinbjudna personer lyckas koppla upp till ett Zoom-möte och störa genom att skriva i chatten eller visa material med olämpligt innehåll.

Tänk på det här:

  • Sprid inte inbjudan till Zoom-mötet till större mängd personer än nödvändigt, det kan missbrukas.
  • Skydda ditt Zoom-möte med lösenord.
  • Om du arrangerar möten, aktivera möjligheten att ha väntrum för anslutande deltagare. På så sätt kontrollerar och godkänner du deltagare innan de ansluts till ett pågående möte.
  • Som mötesarrangör kan du välja att spärra ditt möte så att endast personer med universitetskonto kan ansluta. Gör gärna det om du inte har bjudit in externa deltagare. 
  • Överväg att använda funktionen för att låsa ett möte när förväntade deltagare har anslutit eller en angiven tidpunkt in på mötet. Då kan inte fler ansluta till det pågående mötet.
  • Om en person stör ett pågående möte, be mötesarrangören att slänga ut personen.
  • Slå av möjligheten för deltagare att dela bildskärm, chatta och byta sitt namn om du inte behöver ha dessa funktioner påslagna.

Zoom-lösenord till salu på dark web

Dessa nyheter handlade om den publika Zoom-tjänsten och om att användare återanvänder lösenord på flera platser. Lösenord från tidigare dataläckage från andra organisationer testades mot Zoomtjänsten och ett stort antal användarnamn och lösenord fungerade även på zoomtjänsten. 
SU använder federerad inloggning, vilket betyder att inga lösenord sparas i Zoomtjänsten.
Tänk på det här:

  • Använd alltid olika lösenord till olika tjänster på internet.
  • Blanda inte lösenord mellan privata konton och universitetskonton.
  • Om du har råkat ut för att ditt konto/lösenord på något ställe har hackats och missbrukats, byt lösenord.  
  • Lösenord bör vara unika och gärna långa (12 tecken eller mer). 
  • Aktivera tvåfaktorsautentisering där du har möjlighet att göra så, speciellt till tjänster som är viktiga för dig, t. ex. privat e-post som du använder för att återställa andra kontons lösenord.

Kryptering av trafik

Det har framförts kritik om krypteringen i Zoom. Skyddad kommunikation ska ha kryptering end-to-end, dvs. att endast de som deltar i mötet kan komma åt informationen i ett säkert videosamtal, inklusive både video och ljud. Hos Zoom är krypteringen i vissa fall bristfällig och räknas inte som riktig end-to-end. Krypteringen i Zoom görs mellan användaren och Zoom-servern.
När användare ansluter till Zoom-möten från enheter som inte använder Zooms normala kommunikationsprotokoll, t. ex. via telefonsamtal, så kan Zooms krypteringsfunktion inte användas direkt av telefonen eller enheten. För att hantera detta finns något som kallas Zoom-konnektorer. Konnektorer finns för telefoni, Skype, videokonferensrum osv. 

  • Om samtliga deltagare i ett möte använder Zoomklienter så är trafiken krypterad. 
  • Om någon deltagare ansluter via telefonsamtal, så krypteras trafiken inte mellan telefonen och aktuell konnektor.

Tänk på det här:

  • Zoom är inte ett lämpligt verktyg för att diskutera konfidentiella ärenden.
  • Om en användare ansluter till mötet via webklient, går kommunikationen till den användaren via datacenter i Frankfurt, det vill säga utanför SU:s egen Zoom-instans. I dagsläget är det 0,85 % av deltagarna som ansluter med webbklient.
     

Routing via Kina

När Zoom ökade sin kapacitet globalt för att möta den ökade användningen av tjänsten på grund av social isolering/distans, så dirigerades vissa Zoom-samtal via mobiltelefoner över Kinas Zoom-moln som hade stor kapacitet. Det handlade huvudsakligen om mobiltelefonsamtal i Nordamerika och om den publika versionen av Zoom.
Zoom har normalt en funktion där samtal stannar inom aktuell region. När belastningstoppar uppstår dirigeras trafik om till närmast tillgängliga datacenter med överkapacitet. Kina är normalt exkluderade ur listan av datacenter som får användas av västvärlden, pga. integritetskrav (GDPR mm.). Vid kapacitetsutbyggnaden för Zooms publika tjänst gjordes ett misstag, varför felet kunde uppstå. Felet korrigerades inom några timmar.
Detta är inget som har påverkat SU eftersom SU nyttjar NORDUnets lösning för Zoom-tjänsten.


UNC -länkar i chatt gjordes klickbara

Sårbarheten är åtgärdad i Zoom-klienten sedan den 1 april 2020. Det är därför viktigt att alltid använda den senaste versionen av Zoom-klienten, även på mobiltelefoner och andra enheter. 
Tänk på det här:

  • Använd samma resonemang som för e-post när du arbetar i Zoom. Klicka inte på okända länkar och bilder. 
  • Eskalering av privilegier via Zoom på macOS.
  • Sårbarheten är åtgärdad i Zoom-klienten sedan 1 april 2020.
  • Sårbarheten var allvarlig, men för att kunna missbruka den krävdes att en angripare redan hade brutit sig in på den aktuella datorn.

Frågor ställda inom SU


F: Sker delning av data utanför SU?

S: Användardata för tjänsten sparas i europeiska datacenter (Frankfurt). Allt mötesdata sparas på NORDUnets servrar i Stockholm och Köpenhamn.
Det finns funktionalitet för inspelning av möten i Zoom. Kontroll av var lagring av inspelning sparas styrs i inställningar i respektive instans. SU tillåter inte lagring i molnet av inspelade möten, utan dessa måste sparas lokalt.

F: Sparar IT-avdelningen någon information och i så fall, vilken information?

S: Ja, SU har sessionsinformation (brandväggsloggar), inloggningsdata och tidsinformation om chattar och liknande (hur många minuter video-samtal, hur många chattar). Endast metadata om tjänsten dock, inget innehåll från användningen. 
SU har också sju dagars chatt-data för IM (instant messaging) sparat (inte mötesdata, utan endast i chatt-kanalerna). Ansvariga har inte hittat något sätt att stänga av det. Endast SU kommer åt detta. 


F: Sker det någon övervakning genom Zoom?

S: Nej, det sker ingen övervakning genom Zoom. 
Det sker driftövervakning för tjänsten, dvs. att den är uppe och fungerar, men det sker ingen övervakning av hur tjänsten används, vilka som är anslutna, vad som sägs osv.


Vid eventuella frågor vänligen kontakta informationssäkerhetsfunktionen

Den här artikeln finns även översatt till engelska