Podsumowanie roku: Co nasz program Bug Bounty 2023 oznacza dla bezpieczeństwa Zoom
Program Bug Bounty firmy Zoom zachęca do wykrywania i odpowiedzialnego ujawniania luk w zabezpieczeniach. Oto przegląd najważniejszych wydarzeń minionego roku.
Aktualizacja: April 29, 2024
Opublikowano September 25, 2023
Certyfikacje i standardy firm zewnętrznych są integralną częścią programu bezpieczeństwa Zoom. Chociaż ostatnio rozszerzyliśmy naszą listę uznanych w branży certyfikatów i standardów o ISO/IEC 27001:2013, SOC 2 + HITRUST i Common Criteria, dodajemy do tej listy również UK Cyber Essentials Plus. Osiągnięcie to uzupełniamy także przez nasze wysiłki nad dostosowaniem się do kryteriów oceny technologii cyfrowej (DTAC) Narodowej Służby Zdrowia (NHS) i DCB0129.
UK Cyber Essentials Plus
Cyber Essentials Plus to wspierany przez rząd Wielkiej Brytanii oraz uznany w branży program certyfikacji, którego celem jest pomoc organizacjom w wykazaniu bezpieczeństwa operacyjnego przed typowymi zagrożeniami cybernetycznymi.
Uzyskanie przez platformę Zoom certyfikatu Cyber Essentials Plus świadczy o naszym zaangażowaniu w Wielkiej Brytanii poprzez opracowanie programu bezpieczeństwa, który ułatwia lokalnym klientom ocenę naszych systemów informatycznych.
Zgodność z wymogami NHS
Aby wesprzeć Narodową Służbę Zdrowia (NHS) w pracy nad zapewnieniem pacjentom skutecznej i bezpiecznej opieki cyfrowej, oferujemy zgodność z DTAC i DCB0129 dzięki zestawowi narzędzi DSP.
Dzięki tym inicjatywom mamy nadzieję wesprzeć personel NHS narzędziami, których potrzebują, aby zapewnić skuteczną opiekę cyfrową i chronić kluczowe dane pacjentów.
Niezależnie od tego, czy nasi użytkownicy wykorzystują platformę Zoom do wirtualnego nauczania i uczenia się, umawiania teleporad z lekarzem czy też do kontaktowania się z obywatelami jako organizacja rządowa, zaprojektowaliśmy unikalne funkcje bezpieczeństwa i prywatności, które pomagają chronić ważne informacje. Chociaż te funkcje są przeznaczone dla każdego klienta platformy Zoom, który ma możliwość ich włączenia, są one pomocne dla użytkowników z Wielkiej Brytanii, którzy chcą mieć lepszą kontrolę nad swoimi danymi, na przykład:
Kontrola routingu danych: Właściciele kont i administratorzy kont płatnych mogą dostosować, które centra danych przetwarzają dane przesyłane z ich spotkań i webinarów, czyli innymi słowy, dane, które aktywnie przemieszczają się z jednej lokalizacji do drugiej przez Internet. Można wybrać lub odrzucić konkretny region centrum danych (poza domyślnym regionem, w którym przeprowadzono konfigurację konta użytkownika – w tym celu oferujemy opcję europejską) na potrzeby transferu danych, co zapewnia większą kontrolę nad tym, gdzie przenoszone są dane. Rezygnacja z regionów centrum danych może ograniczyć opcje dla uczestników dołączających z tych regionów.
Szyfrowanie end-to-end (E2EE): Po włączeniu funkcja ta używa tego samego 256-bitowego szyfrowania AES-GCM, które obsługuje standardowe spotkania Zoom Meetings, aby pomóc w szyfrowaniu komunikacji między wszystkimi uczestnikami spotkania za pomocą klienta Zoom. Różnica polega na tym, że klucze kryptograficzne są znane tylko urządzeniom uczestników spotkania. Gwarantuje to, że żadna strona trzecia – w tym Zoom – nie ma dostępu do prywatnych kluczy spotkania. Nasza oferta E2EE zostanie również rozszerzona w tym roku na Zoom Phone w przypadku indywidualnych połączeń telefonicznych w ramach konta, które odbywają się za pośrednictwem klienta Zoom.
Zaawansowane szyfrowanie czatu: Ta funkcja Zoom Team Chat pozwala na bezpieczną komunikację, gdzie tylko zamierzony odbiorca może przeczytać zabezpieczoną wiadomość. Po włączeniu tej funkcji przez administratorów konta użytkownicy mogą ją zastosować podczas komunikacji dotyczącej szczególnie wrażliwych informacjach w czacie indywidualnym lub czacie grupowym. Gdy włączone jest zaawansowane szyfrowanie czatu, dane magazynowane są szyfrowane przez klucze generowane i obsługiwane na urządzeniach uczestników czatu. Przesyłane dane czatu są jednak szyfrowane podczas ich przesyłania przy użyciu szyfrowania Transport Layer Security (TLS).
Aby sprostać rosnącym potrzebom naszej globalnej bazy klientów, platforma Zoom stworzyła programy, które wykorzystują wiedzę i umiejętności z całego świata, aby informować o innowacjach w zakresie bezpieczeństwa i identyfikacji potencjalnych zagrożeń. Są to m.in. następujące programy:
Rada CISO: Aby wspierać strategiczny mechanizm pozyskiwania informacji zwrotnych na temat nadchodzących innowacji w zakresie bezpieczeństwa i prywatności, organizujemy regularne spotkania rady CISO, która składa się z kilkudziesięciu CISO z różnych branż na całym świecie i której przewodniczy nasz zastępca CIO, Gary Sorrentino. Te interaktywne dyskusje między klientami CISO a liderami naszych zespołów ds. bezpieczeństwa pomagają w informowaniu o środkach, które podejmujemy, aby dalej rozwijać bezpieczeństwo i prywatność naszej platformy.
Wzmocnienie naszego programu Bug Bounty: Podczas gdy zespół ds. bezpieczeństwa Zoom rutynowo testuje nasze rozwiązania i infrastrukturę, rozszerzamy te testy, korzystając ze społeczności hakerów – „białych kapeluszy” – i budując wykwalifikowany, globalny zespół badaczy zajmujących się bezpieczeństwem na całym świecie za pośrednictwem platformy „Private Bug Bounty” HackerOne. Od stycznia 2022 r. platforma Zoom zrekrutowała ponad 800 badaczy ds. bezpieczeństwa na platformie HackerOne. Ich wspólna praca zaowocowała złożeniem licznych raportów o błędach i nagród.
Nasze zaangażowanie w przestrzeganie tych brytyjskich standardów, a także ciągła ewolucja naszych produktów i programów, pomaga wykazać nasze zaangażowanie w ochronę danych i bezpieczeństwo użytkowników.
Nasze środowisko ujednoliconej komunikacji jest tworzone z myślą o bezpieczeństwie, a bezpieczeństwo i prywatność naszych użytkowników pomagają wyznaczać kierunek nowym aktualizacjom platformy. Chcemy być platformą, której użytkownicy mogą ufać – prowadząc tu interakcje online, wymianę informacji i działalność biznesową.
Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.