op afstand werken
#stayhome is tegenwoordig niet alleen een populaire tag op sociale netwerken, maar ook de harde realiteit voor bedrijven die door de coronavirus-pandemie gedwongen zijn om hun personeel vanuit huis te laten werken. Persoonlijke vergaderingen zijn vervangen door videogesprekken. Maar zakelijke vergaderingen gaan over meer dan alleen het weer, dus kijk voordat u voor een videoconferentie-app kiest eerst even naar de bijbehorende mechanismes voor gegevensbescherming. Voor de duidelijkheid: we hebben geen laboratoriumtests uitgevoerd voor deze apps; we hebben openbaar toegankelijke informatiebronnen bestudeerd over bekende problemen over de meest gebruikte software.
Google Meet en Google Duo
Google biedt twee diensten voor videoconferenties: Meet en Duo. De eerste is een app die met andere Google-diensten integreert (de G Suite). Als uw bedrijf die gebruikt, dan zal Hangouts Meet daar goed bij passen.
Veiligheid — Google Meet
Onder de voordelen van Meet, aldus de vendor, vindt u een betrouwbare infrastructuur voor gegevensverwerking, encryptie (maar niet end-to-end) en een reeks beschermingstools, die allemaal standaard actief zijn. Zoals bij de meeste andere bedrijfsproducten voldoet G Suite, inclusief Google Meet, aan geavanceerde beveiligingsnormen en biedt het opties voor configuratie en beheer van toegangsrechten onder zijn features.
Veiligheid — Google Duo
De mobiele app Duo beschermt aan de andere kant gegevens met gebruik van end-to-end-encryptie. Dit is echter een applicatie die is ontworpen voor privégebruikers en niet voor bedrijven. De conferenties van deze app bieden ruimte voor 12 deelnemers.
Kwetsbaarheden en nadelen
In tegenstelling tot sommige berichten die ons er allemaal aan herinneren dat Google gebruikersgegevens verzamelt en daarom een dreiging kan vormen voor bedrijfsgeheimen, konden we geen concrete informatie vinden over de veiligheidsprestaties van deze apps. Dat betekent niet dat de diensten van Google risicoloos zijn, maar ze worden ondersteund door een zeer sterk beveiligingsteam dat problemen normaal gesproken oplost voor ze desastreuze gevolgen hebben.
Slack
In Slack kunt u meerdere chatruimtes voor teams creëren die allemaal in één venster worden weergegeven, plus kanalen binnen uw werkruimte die voor andere projecten bestemd zijn. Het aantal deelnemers aan videoconferenties is beperkt tot 15 deelnemers.
Veiligheid
Slack voldoet aan een reeks internationale veiligheidsnormen, inclusief SOC 2. De dienst kan worden ingesteld om met medische en financiële gegevens te werken en biedt bedrijven altijd de mogelijkheid om een regio voor dataopslag te selecteren. Om u aan te sluiten bij een Slack-werkruimte is er ook een uitnodiging of een e-mailadres met het bedrijfsdomein vereist.
Slack biedt zijn gebruikers ook flexibele tools voor risicomanagement, integratie met Data Loss Prevention-oplossingen (DLP) en tools voor het beheer van toegang tot gegevens. Beheerders kunnen bijvoorbeeld het gebruik van Slack vanaf persoonlijke apparaten en het kopiëren van informatie van de kanalen beperken.
Kwetsbaarheden en nadelen
Volgens de ontwikkelaars van Slack heeft een beperkt aantal bedrijven echt end-to-end-encryptie nodig, en de implementatie van die feature kan de functionaliteit beperken. Daarom heeft Slack blijkbaar geen plannen om end-to-end-encryptie toe te voegen.
Slack biedt ook de mogelijkheid om apps van derden te integreren, waarvan de veiligheid niet onder Slacks verantwoordelijkheden valt.
Onderzoekers hebben tevens serieuze kwetsbaarheden in Slack gevonden. Slack heeft het volgende opgelost: een bug die aanvallers gegevens liet stelen en een andere die de onderschepping van een gebruikerssessie mogelijk maakte.
Teams
Microsoft Teams integreert met Office 365, wat ook het belangrijkste voordeel is voor de zakelijke gebruiker. Als antwoord op de toegenomen vraag naar tools voor telewerken biedt Microsoft nu een gratis proefperiode van zes maanden aan voor Microsoft Teams, maar gratis gebruikers kunnen geen gebruikersinstellingen en richtlijnen wijzigen, wat een potentieel veiligheidsrisico vormt.
Veiligheid
Teams voldoet aan tal van internationale normen, kan ingesteld worden om met vertrouwelijke medische gegevens te werken en beschikt over flexibele opties voor veiligheidsbeheer. Bij sommige abonnementen kunnen er aanvullende tools zoals DLP of het scannen van uitgaande bestanden in Teams worden geïntegreerd. Onze oplossing voor het beschermen van MS Office 365 scant de gegevens die via Teams worden uitgewisseld om te voorkomen dat malware zich op het bedrijfsnetwerk verspreidt.
Gegevens die naar de server worden verzonden, of dat nu chats of videogesprekken zijn, zijn versleuteld, maar ook hier hebben we het <em>niet</em> over end-to-end-encryptie. Over opslag en verwerking gesproken: de informatie verlaat nooit de regio waarin uw bedrijf opereert.
Kwetsbaarheden
Het is een goed idee om kwetsbaarheden in Teams in de gaten te houden. Microsoft geeft normaal gesproken snel patches uit voor kwetsbaarheden, maar het is ook zo dat die zo nu en dan opduiken. Onderzoekers vonden onlangs bijvoorbeeld een kwetsbaarheid (inmiddels opgelost) die de overname van accounts mogelijk maakte.
Skype for Business
De cloud-versie van Skype for Business — de voorganger van Teams in Office 365 — begint langzaamaan tot het verleden te behoren, maar u kunt deze app nog altijd lokaal installeren. Sommige gebruikers vinden het handiger dan Teams, en Microsoft zal de lokale versie van Skype de komende jaren blijven ondersteunen.
Veiligheid
Skype for Business versleutelt informatie, maar niet end-to-end, en de bescherming van deze dienst is in te stellen. Het gebruikt ook lokale serversoftware, dus videogesprekken en andere gegevens zullen het bedrijfsnetwerk nooit verlaten, wat natuurlijk een pluspunt is.
Kwetsbaarheden en nadelen
Het product zal niet voor altijd ondersteund worden. Tenzij Microsoft zijn plannen wijzigt, zal de ondersteuning voor de applicatie in juli 2021 ten einde lopen, en de Skype for Business Server 2019 zal tot 14 oktober 2025 verlengde ondersteuning krijgen.
WebEx Meetings en WebEx Teams
Cisco WebEx Meetings is een videoconferentie-dienst met een smalle focus. Cisco WebEx Teams is een volledig uitgeruste coworking-dienst die onder andere videogesprekken ondersteunt. Wat betreft het thema van deze post zit het verschil van de app in de aanpak van de encryptie.
Veiligheid
Cisco WebEx Meetings omvat zowel diensten van bedrijfsklasse als end-to-end-encryptie. (De optie staat standaard uitgeschakeld, maar de provider zal deze op verzoek activeren. Door dit te doen wordt de functionaliteit ietwat beperkt, maar als uw werknemers veel met vertrouwelijke informatie werken tijdens vergaderingen, is dit absoluut het overwegen waard.) Cisco WebEx Teams biedt alleen end-to-end-encryptie voor correspondentie en documenten, terwijl video- en audiogesprekken bij Cisco’s servers worden gedecodeerd.
Kwetsbaarheden en nadelen
In maart dit jaar loste de vendor twee WebEx Meetings-kwetsbaarheden op die een dreiging vormden voor het op afstand uitvoeren van code. En begin vorig jaar werd er een ernstige bug gevonden in WebEx Teams client. Hierdoor werd de uitvoering van commando’s met de huidige gebruikersprivileges mogelijk gemaakt. Cisco staat echter bekend als een dienst die serieus omgaat met beveiliging en updatet zijn diensten dan ook regelmatig.
WhatsApp werd ontworpen voor sociale communicatie en niet voor bedrijven, maar de gratis app kan een uitkomst bieden voor videoconferenties van kleine bedrijven of teams. Het programma is niet geschikt voor grote bedrijven, want er kunnen slechts vier mensen tegelijkertijd deelnemen aan de videogesprekken.
Veiligheid
WhatsApp heeft het onbetwistbare voordeel van echte end-to-end-encryptie. Dat betekent dat noch derden noch werknemers van WhatsApp uw videogesprekken kunnen zien. Maar in tegenstelling tot bedrijfsapplicaties, biedt WhatsApp nauwelijks opties voor het veiligheidsbeheer van de chat en gesprekken, alleen datgene wat in de app is ingebouwd.
Kwetsbaarheden en nadelen
Vorig jaar nog verspreidden aanvallers Pegasus-spyware via videogesprekken op WhatsApp. De bug werd opgelost, maar houd er rekening mee dat de app niet is bedoeld om bedrijfszekere bescherming te bieden, dus gebruikers moeten op zijn minst het nieuws over cybersecurity goed volgen.
Zoom
Het cloud-gebaseerde videoconferentie-platform Zoom is al sinds het begin van de epidemie in het nieuws. De flexibele prijsstelling (met gratis conferenties van 40 minuten met maximaal 100 deelnemers) en gebruiksvriendelijkheid hebben enorm veel gebruikers getrokken, maar de kwetsbaarheden van het platform hebben ook veel aandacht gekregen.
Veiligheid
De dienst voldoet aan de internationale veiligheidsnorm SOC 2, biedt een apart serviceplan dat aan HIPAA voldoet voor zorgverleners en kent flexibele configuratie. Organisatoren van sessies kunnen deelnemers blokkeren, zelfs als ze de juiste hyperlink en het wachtwoord hebben, opnames uitschakelen en meer. Indien nodig kan Zoom zo worden ingesteld dat geen enkel soort verkeer het bedrijf verlaat.
Zoom is actief bezig geweest met het oplossen van gerapporteerde veiligheidsproblemen, en het bedrijf zegt dat het van plan is om prioriteit te geven aan de productveiligheid boven het toevoegen van nieuwe features.
Kwetsbaarheden en nadelen
Zoom zegt dat ze end-to-end-encryptie hebben geïmplementeerd, maar die bewering is niet helemaal gerechtvaardigd. Met end-to-end-encryptie kan niemand anders dan de verzender en ontvanger de verzonden gegevens lezen, terwijl Zoom videodata op zijn servers decodeert, en dat gebeurt ook niet altijd in het thuisland van uw bedrijf.
Er zijn kwetsbaarheden van verschillende ernst in Zoom-applicaties ontdekt. Bij de Windows- en macOS-clients van Zoom werd er al een bug gerapporteerd (inmiddels opgelost) waardoor hackers de accountgegevens van de computer konden stelen. Nog twee bugs in de macOS-app stellen aanvallers potentieel in staat om het volledige apparaat over te nemen.
Daarnaast is er sprake van veel meldingen van internettrollen die open conferenties bezoeken die niet met wachtwoorden zijn beschermd, om daar dubieuze berichten te versturen en schermen met schunnige content te delen. Over het algemeen kunt u dit probleem oplossen door uw conferentie goed in te stellen, maar Zoom beschikt voor de zekerheid ook over toegevoegde standaard wachtwoordbescherming.
Te midden van het nieuws over de problemen in Zoom, hebben grote spelers de dienst gekleineerd. Maar alle diensten kennen hun eigen kwetsbaarheden, en in het geval van Zoom bracht de enorme stijging in populariteit ook veel kritisch onderzoek met zich mee.
Kies de app die het beste op uw behoeften aansluit
De perfect beveiligde videoconferentie-app bestaat niet. Geen enkele app is trouwens volkomen veilig. Kies een dienst waarvan de nadelen niet problematisch zijn voor uw bedrijf. En denk erom: het kiezen van de juiste app is slechts de eerste stap.
- Neem de tijd om de dienst op juiste wijze in te stellen. Tolerante instellingen hebben tal van lekken mogelijk gemaakt.
- Update uw apps op tijd om kwetsbaarheden zo snel mogelijk te dichten.
- Zorg ervoor dat uw werknemers op zijn minst over de basisvaardigheden voor veilig gebruik van internet beschikken. Als dat nog niet het geval is, regel dan een training op afstand via ons ASAP-platform.
Tips