網路研討會重點回顧 - 90 天安全性計畫進度報告：7 月 1 日

隨著 90 天安全性計畫結束，本週的「大小事問袁征」著重於自安全性計畫開始以來我們獲得的進展以及未來的展望，包括我們已經完成的重要更新、在 90 天安全性計畫中我們對客戶做出的承諾所呈現的狀態，以及關於 Zoom·CISO 委員會的更新。

Zoom 執行長袁征與營運長 Aparna Bawa、產品長 Oded Gal、資訊長兼 CISO 委員會副主席 Gary Sorrentino 和新任資訊安全長 Jason Lee 共同出席。

技術長 Brendan Ittelson、安全工程主管 Max Krohn 和法遵倫理長 Lynn Haaland 參加了問答階段。

產品更新

Oded 簡述我們在過去 90 天對於平台進行的主要更新，其中包括：

• 推出 Zoom 5.0： 我們在 4 月 27 日推出 Zoom 5.0，這個版本支援 AES 256 位元 GCM 加密，這是現今最安全的加密標準之一。5 月 30 日，全系統帳戶啟用 AES 256 位元 GCM 加密。
• 使用者介面的新安全性圖示： 安全性圖示可供主持人和聯席主持人立即存取會議的重要安全性控制項，包括鎖定會議和啟用等候室的功能，以及管理與會者分享畫面、參與聊天以及自行重新命名或取消靜音的功能所用的選項。
• 「檢舉使用者」功能： 主持人/聯席主持人可以向 Zoom 的「信任與安全」團隊檢舉使用者和會議中斷事件，這個團隊將審查平台的任何潛在濫用並採取適當的動作。
• 已更新會議的預設安全性設定： 對於免費/基礎版和單一專業版帳戶，將預設啟動密碼、等候室和僅主持人畫面分享功能。免費/基礎版帳戶使用者對於會議強制執行密碼。
• 自訂資料路由：為了讓主持人能夠更充分控制資料，我們在 4 月 18 日對於付費帳戶的客戶實施了資料路由選項，以便這些客戶能夠自訂資料中心設定。付費帳戶的 Zoom 管理員和帳戶擁有者可在帳戶、群組、使用者或會議層級，為資料的傳輸選擇或取消選擇特定資料中心地區。

對於未來開發新功能的過程，我們已經建立機制，確保安全性和隱私權在我們產品和功能開發的每個階段都是優先事項。

CISO 委員會嘉賓更新

Gary 接著採訪 CISO 委員會的兩位成員：PwC 全球和美國資訊技術長 James Shira，以及 Ralph Lauren 全球基礎設施安全長、隱私長兼資深副總裁 Cy Fenton，請他們對於委員會的工作和會議提供一些背景和脈絡。該階段的一些重點內容如下：

Cy，您為什麼選擇加入 Zoom 的 CISO 委員會？

「這是很簡單就做出的決定。Zoom 已經成為我們對於終端使用者提供服務的工具組必要的核心和重要部份。在新冠肺炎大流行之前，我們使用 Zoom 做為大型會議的工具，而現在，我們幾乎每天都要多次使用 Zoom 進行幾乎每一場會議。Zoom 是我們的超級重要供應商，Zoom 能夠提供意見，而且我們能夠獲得關於路線圖的更多知識，這確實是重要的機會。」

James，您對於 90 天的歷程有什麼想法？

「我曾經參與許多大型企業的安全轉型，我認為必須體認的重點是這是一段歷程。我認為，Zoom 相當特別的一點是，使這段歷程在現實世界的公開場合發生。因此，我認為進展相當順利。」

介紹 Zoom 資訊安全長 Jason Lee

袁征介紹 Zoom 新任資訊安全長 Jason Lee。Lee 擁有 20 年資歷的資訊安全和關鍵任務服務營運知識。他最近曾擔任 Salesforce 安全營運資深副總裁，負責確保這家全球組織為客戶和員工 (包括公司級別的網路和系統安全性以及威懾安全團隊) 提供關鍵的端對端安全操作。

Jason 表示：「我對於與 Zoom 的這個優質團隊合作感到相當振奮。最近關於安全的進展令人印象深刻，我對未來前景感到振奮。」

回顧我們的 90 天安全性計畫承諾

Zoom 的營運長 Aparna Bawa 重點回顧了我們在 90 天安全計畫中向客戶做出的承諾，其中包括：

• 從 4 月 1 日起凍結功能，並轉移我們所有工程資源以專注於處理最大的信任、安全和隱私權問題。
• 承諾與第三方專家和代表使用者進行全面審查，深入瞭解並確保我們所有新使用案例的安全性和隱私權。
• 準備透明度報告，詳盡說明與資料、記錄或內容請求有關的資訊。
• 強化我們的錯誤賞金計劃。
• 成立 CISO 委員會。
• 進行一系列同時的白箱滲透測試，藉以進一步發現並解決問題。
• 每週三舉行每週一次的網路研討會，向我們的社群提供隱私權和安全性更新。

如需這些承諾的狀態有關的詳細資訊，請參閱我們的網路日誌 (其中詳細介紹我們在 90 天安全性計畫中的歷程) 和自從 2020 年 7 月 1 日以來主要更新的 PDF 摘要。

問答

執行 Zoom 的 90 天安全性計畫最困難的事情是什麼？您身為領導者學習到了什麼？

袁征解釋道，Zoom 最初是專為商業用途而設計的，想要滿足第一次使用的使用者在隱私權、安全性和獨特使用情況的需求是一大挑戰。他還解釋說，他瞭解只要傾聽客戶的意見、保持透明度並致力於打造最佳平台，Zoom 就能克服一切困難。

Zoom 的 90 天安全性計畫結束是否表示 Zoom 將重啓非安全性功能的發佈？

Zoom 致力於著重處理安全性。我們也將恢復已凍結 90 天的非安全性功能，並打造與人們現在和未來的工作方式保持一致的新功能和產品。

能否在群組層級設定法定安全性設定，而非在帳戶層級設定？

是的。可以在帳戶、群組或使用者層級進行這些設定。

身為資訊安全長，對於終端使用者進行安全性最佳做法教育的最佳方法是什麼？

客座資訊安全長 Cy Fenton 解釋道，在公司層級對員工進行安全教育的最佳方法是，擬定穩健的安全性教育計畫，並透過探討員工面臨的安全風險、防範風險的方式以及安全性對於日常工作流程的影響，藉以確保員工瞭解安全的重要性。

Zoom 為什麼要發佈政府要求指南？

Aparna 解釋道，Zoom 由於致力於維持開放和透明的營運方式而推出本指南。我們將此視為政府與 Zoom 互動的藍圖，其中包括相關的聯絡資訊，以及 Zoom 解決各種政府要求所採取的準則和程序。

Zoom 的一般安全方法是什麼？

Jason 解釋道，他將運用業界標準和公開框架來建構 Zoom 的安全性做法，藉以明確展現 Zoom 安全性做法的功用和成熟度。

系統管理員能否查看使用者擁有那些用戶端版本？

系統管理員可以進入儀表板的「使用者管理」部份，按一下右上角的齒輪檢視顯示用戶端版本的附加列。業務計畫或同等計畫的管理員可以進入 Zoom 儀表板，其中有圖形顯示用戶端版本在帳戶中分佈的情況。這些管理員也可以進入會議標籤，深入研究任何會議中繼資料，檢視與會者正在使用的用戶端版本。

隨著愈來愈多公司改採雲端服務，評估供應商及其網路安全性責任的最佳方法是什麼？

Jason 解釋道，他觀察特定供應商在目前和過去的創新，以及組織的領導團隊所具備的素質。他也向其他資訊安全長詢問本身在組織中獲得的體驗。Cy 補充表示，組織必須明確瞭解如何處理問題和挑戰。

感謝您的支持

謝謝您參加本週研討會，也謝謝每一位提問的朋友！Zoom 努力成為全世界最安全的企業通訊平台，真心感謝您一路以來的支持。

若您錯過了本週的研討會時間，可以到這裡收看影片：