Итоги вебинара — отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 1 июля

Так как мы приближаемся к завершению нашего 90-дневного плана по укреплению безопасности, вебинар «Спросите Эрика» на этой неделе был посвящен результатам, которых нам удалось достичь с момента запуска плана по укреплению безопасности, и дальнейшим действиям, в том числе выполненным ключевым обновлениям, статусам обязательств, данных нами перед лицом клиентов в части 90-дневного плана по укреплению безопасности, и обновлениям, связанным с советом директоров по вопросам информационной безопасности компании Zoom.

К генеральному директору компании Zoom Эрику С. Юаню присоединились операционный директор Апарна Бава, Одед Галь, директор по продукции компании Zoom, Гэри Соррентино, помощник ИТ-директора и председатель совета директоров по вопросам информационной безопасности, а также новый директор по вопросам информационной безопасности Джейсон Ли.

К сеансу вопросов и ответов присоединились технический директор Брендан Иттелсон, Макс Крон, руководитель отдела инженерных разработок в области безопасности, и Линн Холанд, директор по надзору за нормативно-правовыми соответствиями и вопросами этики.

Обновления продуктов

Одед представил быструю сводку по ключевым обновлениям платформы, выпущенным за последние 90 дней, в число которых вошли следующие.

• Выпуск версии Zoom 5.0. 27 апреля мы выпустили версию Zoom 5.0 с поддержкой 256-разрядного шифрования AES GCM, одного их самых безопасных стандартов шифрования, используемых сегодня. Переход к 256-разрядному шифрованию AES GCM для учетных записей в рамках всей системы произошел 30 мая 2020 года.
• Новый значок «Безопасность» в интерфейсе пользователя. Значок «Безопасность» дает возможность организаторам и соорганизаторам получить доступ к важным элементам управления безопасностью в конференции, в том числе к возможностям блокировать конференцию и включать залы ожидания, а также позволяет управлять функциями участников — функцией демонстрации экрана, возможностью участвовать в чате, а также переименовывать себя и отключать свой звук.
• Функция «Сообщить о пользователе». Организаторы и соорганизаторы теперь могут сообщать о пользователях и происшествиях, связанных с вмешательствами в конференцию, группе доверия и безопасности Zoom, которая рассмотрит потенциальное ненадлежащее использование платформы и примет соответствующие меры.
• Обновлены настройки безопасности конференций по умолчанию. Код-пароли, залы ожидания и возможность демонстрации экрана только для организатора включены по умолчанию для бесплатных / базовых учетных записей и профессиональных учетных записей с одной лицензией. Для конференций, организуемых пользователями бесплатных / базовых учетных записей, были принудительно включены код-пароли.
• Настраиваемая маршрутизация данных. Чтобы дать организаторам лучший контроль над их данными, 18 апреля мы реализовали возможность маршрутизации данных. Эта функция доступна для клиентов с платными учетными записями и позволяет задать настройки центра обработки данных (ЦОД). Администраторы и владельцы платных учетных записей Zoom могут выбирать регионы (или отказываться от использования определенных регионов) ЦОД на уровне учетной записи, группы, пользователя или конференции.

Для разработки новых возможностей в будущем у нас реализованы механизмы, позволяющие убедиться в том, что безопасность и конфиденциальность будут оставаться приоритетными направлениями на каждом этапе развития наших продуктов и функций.

Обновления в совете директоров по вопросам информационной безопасности с участием гостей

Гэри побеседовал с двумя участниками совета директоров по вопросам информационной безопасности — Джеймсом Широй, ИТ-директором в мире и США, компания PwC, и Саем Фентоном, директором по вопросам безопасности и конфиденциальности и старшим вице-президентом по международной инфраструктуре, компания Ralph Lauren, чтобы раскрыть подробности о сфере полномочий и конференциях совета. Ниже вы найдете несколько цитат из этого интервью.

Сай, почему Вы решили войти в совет директоров по вопросам информационной безопасности Zoom?

«Это решение далось мне легко. Zoom стал основным и важнейшим элементом в нашем наборе инструментов для обслуживания конечных пользователей. До пандемии мы использовали Zoom в качестве инструмента для конференций; а сейчас применяем его по несколько раз в день практически для каждой конференции. Компания Zoom — наш очень важный поставщик услуг, и возможность внести свой вклад в его развитие и получить дополнительные знания о стратегическом плане были ключевой возможностью».

Джеймс, как вы считаете, как прошел 90-дневный план?

«Я участвовал в нескольких крупных процессах преобразования корпоративных систем безопасности, и, думаю, важно помнить о том, что это своего рода путь. На мой взгляд, уникальность случая Zoom заключается в том, что этот путь проходил в общедоступном пространстве, в реальном мире, в реальном времени. В таком ключе, я думаю, все прошло очень хорошо».

Представляем Джейсона Ли, директора по вопросам информационной безопасности

Эрик представил Джейсона Ли, нового директора по вопросам информационной безопасности компании Zoom. Ли имеет 20-летний опыт работы в сфере информационной безопасности и эксплуатации критически важных сервисов. Ранее он занимал должность старшего вице-президента по операциям безопасности в Salesforce. В его обязанности входила организация международной доставки критически важных многоцелевых операций безопасности клиентам и сотрудникам, в том числе безопасность корпоративной сети и систем и группа наступательной безопасности.

«Я невероятно рад присоединиться к талантливому коллективу Zoom, — говорит Джейсон. Последние достижения в области безопасности были очень впечатляющими, поэтому мне не терпится узнать, что ждет нас в будущем».

Рассмотрение обязательств в рамках 90-дневного плана по укреплению безопасности

Апарна Бава, операционный директор компании Zoom, перечислила обязательства, которые мы дали нашим клиентам в рамках 90-дневного плана по укреплению безопасности:

• С 1 апреля прекратить расширение функционала и перевести все инженерные ресурсы на решение важнейших вопросов в области обеспечения доверия, безопасности и конфиденциальности.
• Провести комплексную проверку с привлечением независимых экспертов и репрезентативных пользователей, чтобы убедиться в безопасности и конфиденциальности всех новых сценариев использования.
• Мы подготовим отчет о прозрачности, в котором будет приведена информация по запросам данных, записей или содержимого.
• Усовершенствовать существующую премиальную программу по выявлению ошибок.
• Организовать совет директоров по вопросам информационной безопасности.
• Запустить серию тестов на проникновение методом белого ящика для дальнейшего выявления и устранения проблем.
• Проводить еженедельные вебинары по средам для информирования сообщества о новостях в сфере обеспечения конфиденциальности и безопасности.

Для получения дополнительной информации о состоянии этих обязательств ознакомьтесь со статьей в нашем блоге, посвященной достижениям при исполнении 90-дневного плана по укреплению безопасности, и сводкой по основным обновлениям с 1 июля 2020 г. в формате PDF.

ВОПРОСЫ И ОТВЕТЫ

Что было самым сложным при исполнении 90-дневного плана по обеспечению безопасности, и что вы узнали, как руководитель?

Эрик объяснил, что сервис Zoom изначально был нацелен на корпоративных пользователей, поэтому удовлетворение потребностей новых пользователей в отношении конфиденциальности и безопасности, а также их уникальные сценарии использования поставили перед компанией крайне сложную задачу. Кроме того, за это время он понял, что Zoom может справиться с любой сложностью, пока компания прислушивается к клиентам, поддерживает прозрачность и стремится построить лучшую платформу из возможных.

Перезапустит ли Zoom процесс разработки функций, не связанных с безопасностью, после окончания 90-дневного плана по укреплению безопасности?

Безопасность является важнейшим приоритетом в деятельности компании Zoom. Мы продолжим работу над функциями, не связанными с безопасностью, которые оказались замороженными на 90 дней, а также займемся разработкой новых функций и продуктов, отвечающих деловым потребностям пользователей сейчас и в будущем.

Можно ли задать обязательные настройки безопасности на уровне группы, а не на уровне учетной записи?

Да. Их можно задать на уровне учетной записи, группы или пользователя.

Как директор по вопросам информационной безопасности может эффективно донести рекомендации в сфере обеспечения безопасности до конечных пользователей?

Приглашенный директор по вопросам информационной безопасности Сай Фентон объяснил, что наилучший способ донести меры обеспечения безопасности до сотрудников на корпоративном уровне — разработать надежную образовательную программу в сфере безопасности и убедиться, что сотрудники понимают важность обеспечения безопасности; для этого необходимо обсудить с ними риски в области безопасности, с которыми они сталкиваются, соответствующие меры защиты от этих рисков и роль безопасности в повседневных рабочих процессах.

Почему компания Zoom опубликовала руководство по обработке запросов со стороны государственных органов?

Апарна объяснила, что компания Zoom опубликовала это руководство в рамках непрерывного стремления к открытости и прозрачности рабочих методов компании. В представлении компании это план взаимодействия государственных органов с компанией Zoom, который включает соответствующую контактную информацию, а также критерии и процессы, используемые компанией Zoom для обработки различных запросов со стороны государственных органов.

Как можно в целом описать подход компании Zoom к безопасности?

Джейсон объяснил, что он оформит состояние безопасности Zoom с помощью отраслевых стандартов и общедоступных концепций, чтобы разъяснить обстоятельства, связанные с функциями и развитием состояния безопасности Zoom.

Могут ли системные администраторы увидеть версии клиентов, которые используют их пользователи?

Системные администраторы могут перейти в раздел управления пользователями в своих панелях управления и нажать на значок с шестеренкой в верхнем правом углу экрана, чтобы просмотреть дополнительный столбец, в котором отображаются версии клиентов. Администраторы на тарифных планах «Бизнес» или аналогичных могут перейти в панель управления Zoom, где находится график, который показывает распределение версий клиентов в их учетной записи. Они также могут перейти на вкладку конференций и открыть метаданные любой конференции, чтобы просмотреть версии клиентов, используемых участниками.

По мере того, как все больше компаний переходят на облачные сервисы, как можно лучше всего провести оценку поставщиков и привлечь их к ответственности за кибербезопасность?

Джейсон объяснил, что он проверяет текущий и исторический уровень инновационности определенного поставщика, а также уровень руководящего состава организации. Кроме того, он обращается к другим директорам по вопросам информационной безопасности по поводу их опыта работы с этой организацией. Сай добавил, что важно, чтобы организация была прозрачной при устранении проблем и решении сложных задач.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь: