Отчет генерального директора: 90 дней прошло, что ждет Zoom в будущем?

В течение первых нескольких месяцев 2020 года команда Zoom работала не покладая рук, чтобы справиться с колоссальным притоком принципиально новых типов пользователей нашей платформы. Внезапный и внушительный рост спроса на наши ресурсы не был похож ни на что, с чем сталкивались другие компании. В конце марта мы поняли, что наша единственная миссия — предоставлять безотказные видеокоммуникации сотням миллионов участников конференций каждый день — должна стать шире. Теперь компании требовалось в равной степени сфокусироваться на безопасности и конфиденциальности. Именно в этих направлениях нам нужно было прилагать больше усилий. 

Первого апреля 2020 года мы дали публичное обещание внести ряд усовершенствований в области безопасности и конфиденциальности нашей платформы. Выпущенная в тот день 90-дневная программа позволила нам переориентироваться на семь обязательств в области безопасности и конфиденциальности, ставших неотъемлемой частью философии компании Zoom. Сегодня я расскажу о том, как обстоят дела по каждому из обязательств, а также поделюсь с вами предстоящими планами. 

Обязательство №1. С 1 апреля приостановить расширение набора функций и перевести все инженерные ресурсы на решение важнейших вопросов, связанных с доверием, безопасностью и конфиденциальностью.

Отчет об успехах. Мы на 90 дней прекратили разработку всех функций, не связанных с конфиденциальностью или безопасностью. Благодаря тому, что все наши инженеры и специалисты по продукции упорно работали над поставленными задачами, нам удалось реализовать более 100 функций и проектов, среди которых:

• Zoom 5.0
  • Перевод всех конференций на 256-разрядное шифрование AES в режиме GCM (для всех пользователей — платных и бесплатных) Подробности по ссылке https://support.zoom.us/hc/ru/articles/360043555772
  • Обновления пользовательского интерфейса — значок «Безопасность», зеленый щит шифрования и выбор расположения центра обработки данных по клику
  • Функция «Сообщить о пользователе»
  • Параметры конференций по умолчанию — пароль, зал ожидания и ограниченная демонстрация экрана
  • Прочие функции — возможность для организатора отключить вход с нескольких устройств, согласие на включение звука, истечение срока хранения записей в облаке, усовершенствованные элементы управления в Zoom Team Chat и многое другое.
• Покупка стартапа Keybase и начало разработки системы сквозного шифрования (для всех пользователей — платных и бесплатных)
• Предоставление клиентам возможности выбора центра обработки данных Zoom, который будет использоваться для обработки определенных данных клиента при проведении конференции или вебинара с помощью платной учетной записи. 

На будущее у нас реализованы механизмы, позволяющие убедиться в том, что безопасность и конфиденциальность будут оставаться приоритетными направлениями на каждом этапе развития наших продуктов и функций.

• Этап проектирования: требования безопасности, оценка рисков, моделирование угроз. 
• Этап сборки: руководства по написанию безопасного кода, сканирование с функцией самообслуживания, инструменты непрерывной интеграции и развертывания.
• Этап тестирования: тестирование безопасности, автоматизированное исполнение тестов, веб-инструменты тестирования.
• Этап предварительного развертывания: надежное конфигурирование, мониторинг целостности, проверка требований
• Этап производства: мониторинг безопасности и работоспособности системы, а также ландшафта угроз. 

Обязательство №2. Провести комплексную проверку с привлечением независимых экспертов и типичных пользователей, чтобы убедиться в безопасности и конфиденциальности всех новых сценариев использования.

Отчет об успехах. Мы привлекли группу сторонних экспертов для анализа и усовершенствования наших продуктов, методик и политик, в том числе экспертную группу совета CISO, Лею Кисснер (Lea Kissner), Алекса Стамоса (Alex Stamos), компании Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology и прочие организации, работающие в сфере конфиденциальности, безопасности и инклюзивности. Все вышеперечисленные стороны внесли неоценимый вклад, и мы очень благодарны им за поддержку. 

Обязательство №3. Подготовить отчет о прозрачности, в котором будет приведена информация по запросам данных, записей или контента.

Отчет об успехах. Мы добились существенного прогресса в вопросах определения структуры и подхода к формированию отчета о прозрачности, в котором будет приведена информация, связанная с получаемыми компанией Zoom запросами на предоставление данных, записей и контента. Позднее в этом году мы планируем предоставить фискальные данные за второй квартал в первом отчете. За это время нами было выпущено руководство по реагированию на запросы со стороны государственных органов. Кроме того, мы обновили политики конфиденциальности, чтобы их было проще понимать, и добавили отдельное заявление о праве на конфиденциальность согласно положениям Закона штата Калифорния о защите конфиденциальности потребителей. Эти документы можно найти по адресу zoom.us/ru-ru/privacy-and-legal.html.

Обязательство №4. Усовершенствовать существующую премиальную программу по выявлению ошибок.

Отчет об успехах. Мы разработали центральный архив ошибок и сопутствующие рабочие процессы. Арив принимает отчеты об уязвимостях из таких источников, как HackerOne, Bugcrowd и security@zoom.us (последний не требует подписания соглашения о неразглашении), с расстановкой приоритетов при рассмотрении через Praetorian. Мы внедрили непрерывный процесс анализа с ежедневными совещаниями и усовершенствовали координацию с инженерами-исследователями проблем безопасности и сторонними экспертами. Мы также наняли руководителя отдела уязвимостей и премиальной программы по выявлению ошибок и несколько дополнительных инженеров по безопасности приложений, а сейчас расширяем штат инженеров, специализирующихся на устранении уязвимостей. Кроме того, мы постарались уменьшить наше время реагирования. В целом, наша премиальная программа по выявлению ошибок работает как положено и будет укрепляться по мере реализации наших рекрутинговых целей. Мы благодарим компанию Luta Security за оказанную помощь в этом процессе.

Обязательство №5. Создать совет директоров по вопросам информационной безопасности в партнерстве с представителями других компаний отрасли для поддержания непрерывного диалога о рекомендациях в сфере безопасности и конфиденциальности.

Отчет об успехах. Мы создали совет CISO, в который вошли 36 CISO из различных отраслей, в том числе из компаний SentinelOne, HSBC, Sanofi и Университета штата Аризона. За прошедшие три месяца совет под руководством помощника CIO компании Zoom Гэри Соррентино (Gary Sorrentino) провел четыре заседания и рассмотрел такие важные вопросы, как выбор регионального центра обработки данных, шифрование, аутентификация конференций и такие функции, как «Сообщить о пользователе», «Секретные коды» и «Залы ожидания». Создание совета оказалось очень успешной идеей, поэтому мы расширим эту программу с помощью круглых столов CISO — интерактивных дискуссий между клиентами — CISO и нашими руководителями групп безопасности, призванных разъяснить меры, которые были приняты компанией Zoom и будут приняты в будущем для безопасности и конфиденциальности платформы. Дополнительную информацию заинтересованные CISO и CIO могут узнать у своих специалистов по работе с клиентами Zoom.  

Обязательство №6. Запустить серию тестов на проникновение методом белого ящика для дальнейшего выявления и устранения проблем.

Отчет об успехах. Компания Zoom привлекла несколько организаций для проведения анализа платформы, среди них — Trail of Bits, NCC Group и Bishop Fox. Проводимые ими работы охватывали следующие аспекты:

• Производственная среда Zoom — как публичные, так и совмещенные центры обработки данных: 
  • облачная конфигурация;
  • пространство внешних IP-адресов;
  • внутренняя производственная сеть.

• Основное интернет-приложение Zoom и корпоративная сеть Zoom:
  • внутренняя сеть;
  • внешний периметр.
• Общедоступный API для распространенных клиентов:
  • мобильные клиенты;
  • клиенты для ПК.

В качестве основы программы безопасности компания Zoom полагается на непрерывное независимое тестирование на проникновение методом белого ящика. 

Обязательство №7. Проводить еженедельные вебинары по средам для информирования сообщества о новостях в сфере обеспечения конфиденциальности и безопасности.

Отчет об успехах. Всего с 1 апреля мы провели 13 вебинаров по средам, включая сегодняшний. Эти виртуальные мероприятия проходили с участием нескольких наших директоров и консультантов, которые отвечали на вопросы посетителей в прямом эфире. Кроме того, каждую среду мы делились выводами и записями вебинаров в нашем блоге. Мы продолжим проводить эти вебинары. Следующий из них состоится 15 июля, а затем мы перейдем на ежемесячную основу. 

Прочие важные обновления

Мы предприняли несколько важных шагов:

• С 1 апреля мы расширили и изменили руководящий состав компании, как указано ниже. 
  • Велчами Санкарлингам (Velchamy Sankarlingam) — президент по инженерным разработкам и продукции. 
  • Джейсон Ли — директор по вопросам информационной безопасности.
  • Дэмьен Хупер-Кемпбелл — директор по мультикультурализму и недискриминации.
  • Апарна Бава была назначена операционным директором и теперь руководит мероприятиями в сфере обеспечения безопасности компании Zoom.
  • Линн Холанд, заместитель генерального юрисконсульта и директор по надзору за нормативно-правовым соответствием и вопросам этики, также была переведена на должность руководителя службы защиты информации.
  • Г. Р. Макмастер — новый участник совета директоров Zoom.
  • Джош Калмер (Josh Kallmer) — руководитель по глобальной государственной политике и связям с правительством. 
  • Джинни Ли (Ginny Lee), первый помощник главного юрисконсульта по вопросам конфиденциальности. 
  • Мара Дейвис, первый помощник главного юрисконсульта, соответствие требованиям и этика.
  • Руководитель отдела уязвимостей и премиальной программы по выявлению ошибок, вступает в должность с 13 июля.
  • Энди Грант, руководитель отдела наступательной безопасности, вступает в должность с 13 июля.
• Zoom Phone был добавлен в сервис Zoom для государственных учреждений, который уже утвержден со стороны Федеральной программы управления рисками и авторизацией (FedRAMP) США.
• Мы по-прежнему стремимся значительно расширить группу инженеров, размещенных на территории США, для более эффективного использования новых офисов в Финиксе, шт. Аризона, и Питтсбурге, шт. Пенсильвания.

Что будет дальше?

Этот период принес нашей компании значимые изменения и позволил сделать безопасность и конфиденциальность нашей платформы основным приоритетом деятельности в стремлении быть достойными доверия, оказанного нашими клиентами. Я очень горжусь той ролью, которую сервис Zoom сыграл в объединении мира во время кризиса, и достижениями нашего коллектива за последние 90 дней в сфере укрепления безопасности нашей платформы. 

Но мы не можем и не будем останавливаться на достигнутом. Конфиденциальность и безопасность стали постоянными приоритетами для компании Zoom, и этот 90-дневный период был всего лишь первым, хоть и плодотворным, этапом. В этом отчете я представил информацию о новых процессах и людях, которые помогут Zoom стать самой безотказной и надежной платформой видеокоммуникаций в мире.

Я хочу поблагодарить наших клиентов за поддержку, терпение и доверие. Основная ценность нашей компании — это забота, и мы надеемся, что за прошедшие 90 дней мы подкрепили эту ценность делом, и продолжим доказывать наше стремление будущими действиями.

Загрузить сводку по основным обновлениям в формате PDF

Примечание редактора. Эта запись была обновлена 6 ноября 2020 года: уточнены формулировки относительно установки настроек маршрутизации данных. 

Примечание редактора. Эта запись блога была отредактирована 20.04.2023 г.: добавлена наиболее актуальная информация о нашей функции управления маршрутизацией данных.