Безопасность при использовании видеоконференций

Продукты из этой статьи:

SberJazz

SberJazz для образования

Пользоваться видео-конференц-связью (ВКС) удобно: можно в любой момент созвониться с сотрудниками или коллегами, где бы они ни находились. Благодаря широкому функционалу сервисы для ВКС одинаково хорошо подходят для решения рабочих вопросов, дистанционного обучения и личного общения. Есть специальные программы для образовательных учреждений, бизнеса, оказания медицинских услуг на расстоянии и других целей.

Однако при общении онлайн важно помнить о защите от взлома и утечки данных. Посмотрим, какие риски существуют при использовании сервисов ВКС и как решить проблему информационной безопасности при организации видеоконференций.

Возможные риски ВКС

Угрозы безопасности при использовании сервисов видеоконференций можно условно разделить на две категории:

• утечка данных во время конференции;
• действия хакеров.

Информацию могут украсть не только злоумышленники, но и участники встречи.

Утечка данных на конференции

Зачастую угрозу безопасности представляют сами пользователи сервиса ВКС.

Пример — кража контента, который использовался во время видеозвонка. Существуют бесплатные программы для записи экрана встречи, с помощью которых записать конференцию может любой участник без разрешения организатора. Если пользователь выкладывает такую запись в интернет, то все слайды, файлы и изображения становятся достоянием общественности.

Другой пример — утечка конфиденциальных данных, которые случайно попали в кадр во время сеанса ВКС. Допустим, главный бухгалтер фирмы подключается к видеовстрече, а за его спиной — стикеры с паролями от 1С и распечатка зарплатной ведомости. Ещё одна частая ситуация: участник запускает демонстрацию экрана, чтобы показать коллегам презентацию, и все видят открытый чат с личной перепиской.

Проблемы, связанные с действиями хакеров, могут возникнуть по разным причинам, например:

• обман пользователей мошенниками;
• несанкционированный доступ из-за неверных настроек безопасности конференции;
• программные уязвимости.

От вида кибератаки зависит выбор способов и инструментов, которые помогают защищать данные участников ВКС.

Обман пользователей

Чтобы получить доступ к данным конференции или персональной информации пользователей, мошенники используют фишинговые ссылки. Это поддельные сайты и приложения, копирующие официальный ресурс сервиса ВКС. Обычно подменный сайт несильно отличается от оригинала, например в адресе содержится http вместо https, что не всегда можно заметить.

Данные, которые пользователь вводит на фишинговом ресурсе, попадают к хакерам. Так происходит утечка телефонных номеров, email-адресов, платёжных реквизитов, логинов и паролей.

Несанкционированный доступ к ВКС

Иногда мошенникам даже не нужно разрабатывать поддельные страницы. Достаточно найти в сети данные для подключения к онлайн-звонку. Если организаторы не защищают доступ к встрече паролем и не проверяют список участников, то попасть на чужую конференцию может любой пользователь по ссылке.

Бывают разные виды мошенничества. Кто-то копирует конфиденциальную информацию, озвученную на встрече, для последующей продажи. Например, хакеры могут продать вашим конкурентам бизнес-идею, маркетинговую стратегию, список клиентов и другие данные, которые являются вашей коммерческой тайной.

Кто-то шантажирует пользователей оглаской личных данных, полученных в ходе видеозвонка. Некоторые злоумышленники получают контакты сотрудников или партнёров компании и используют их в других мошеннических схемах.

Кто-то занимается зумбомбингом — видом онлайн-хулиганства, когда злоумышленники врываются в групповой видеозвонок и включают демонстрацию экрана с неподобающим контентом. Зумбомберы могут сорвать любую конференцию, например испортить важные переговоры и подорвать репутацию вашей компании в глазах клиентов или инвесторов.

Программные уязвимости

Взлом возможен на разных уровнях. Например, хакеры могут:

• найти уязвимость в коде самой программы для ВКС;
• взломать сервер, выдающий ключи шифрования;
• перехватить данные при передаче сигнала между устройствами пользователей и серверами.

Также распространены случаи внедрения вредоносного кода в инсталлятор программы для видеозвонков. В этой ситуации пользователь скачивает официальное приложение на свой смартфон или компьютер, запускает его, а злоумышленник получает доступ к устройству и всем данным, содержащимся на нём.

Методы защиты

Чтобы не попасться на удочку мошенников, стоит внимательно относиться к программам, которые вы устанавливаете на компьютер или телефон:

• загружайте файлы для установки программы только с официальных ресурсов;
• используйте последнюю версию ПО, так как разработчики регулярно обновляют сервисы и улучшают их безопасность;
• надёжно защищайте ваши учётные записи: используйте разные пароли в разных сервисах, включайте двухфакторную аутентификацию;
• используйте антивирусное ПО на всех устройствах.

Чтобы бороться с угрозами, связанными с поведением пользователей во время сеанса видео-конференц-связи, придерживайтесь правил онлайн-гигиены:

• готовьтесь к видеозвонкам: отрегулируйте камеру так, чтобы в кадр не попадало ничего лишнего; при необходимости используйте функцию замены фона;
• перед демонстрацией экрана уберите личные фотографии с рабочего стола, закройте мессенджеры, почту и файлы с конфиденциальной информацией;
• защищайте контент логотипами и водяными знаками, указывайте авторство на всех материалах, которые демонстрируете на онлайн-встрече.

Для решения проблемы несанкционированного доступа следуйте этим рекомендациям:

• используйте пароль для подключения к конференции и сообщайте его участникам по защищённым каналам связи: например, в личной переписке. Не размещайте ссылку и пароль вместе в открытом доступе;
• если вы проводите регулярные встречи для широкой аудитории и не хотите защищать доступ паролем, то постоянно меняйте ссылку приглашения;
• используйте функцию зала ожидания — тогда участники не смогут подключиться к звонку без разрешения организатора.

Чтобы защититься от хакеров, нужно правильно выбрать сервис для видеоконференций. При выборе ПО нужно смотреть не только на тарифы и функции, но и на надёжность системы с точки зрения безопасности. Сервис для ВКС должен защищать все передаваемые данные, использовать шифрование звонков и современные протоколы защиты информации.

Безопасные сервисы для ВКС

Webinar

Это российское ПО для проведения видеоконференций с высокой степенью защиты персональных данных пользователей. Сервис включает:

• защиту передачи аудио и видео по технологии WebRTC;
• шифрование данных с помощью протоколов TLS, DTLS, AES-128, AES-256;
• дополнительное шифрование контента протоколом SRTP;
• защиту от DDoS-атак.

TrueConf

Решение встраивается во внутреннюю IT-инфраструктуру вашей компании. Сервер разворачивается в закрытой сети и работает автономно, что снижает риск взлома и утечки данных. Для усиления защиты используются PIN-коды для конференций, обязательная авторизация, шифрование медиаданных и другие методы.

SberJazz

СберДжаз — это сервис безопасных видеоконференций для обучения и бизнеса. Платформа предоставляет полный контроль аудио- и видеосвязи, а технологии защиты данных отвечают банковским стандартам.

Возможности SberJazz:

• защита медиаконтента при демонстрации экрана;
• гибкие настройки доступа: опция «Только для авторизованных пользователей», зал ожидания, управление микрофонами и камерами участников звонка;
• аудит событий на видеоконференции: выгрузка данных и подробный анализ в системе управления информационной безопасностью и событиями безопасности (SIEM).

Сервис защищает пользователей от утечки данных во время конференции. Организаторы контролируют подключение каждого участника — риск того, что конфиденциальная информация попадёт к конкурентам, минимальный. Контент можно защитить водяными знаками — никто не присвоит себе ваше авторство.

SberJazz также защищает от утечки данных на программном уровне. Это реализовано с помощью:

• защищённых RTCP‑видеопротоколов;
• защиты облачной версии платформы;
• SRTP‑шифрования, интеграции с DLP-системами.

Платформа SberJazz известна как надёжный и удобный инструмент для онлайн-общения. Ее выбирают крупные российские компании и образовательные учреждения, в том числе УралГУФК и МГУ имени М. В. Ломоносова.

Продукты из этой статьи:

SberJazz

SberJazz для образования