請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

理財

Zoom備受質疑 在家工作如何顧資安?台積電有祕技......

天下雜誌

發布於 2020年04月09日12:03 • 鍾張涵

因應疫情,台灣愈來愈多企業鼓勵員工在家工作(work from home),不料,風靡全球的通訊軟體Zoom,卻被強烈質疑有資安疑慮!

當在家工作、遠距會議、遠距教學即將成為未來趨勢,《天下雜誌》遍訪資安專家,為讀者釐清幾個重要爭議。

疑問一:政府要求各機關禁用,我們公司也該換視訊軟體?

答:不是只有Zoom有風險,所有視訊會議工具都有風險。

今年2月新冠病毒疫情擴大,讓Zoom的每日活躍使用人數年增幅達20倍,截至3月,每日會議參加人數更衝破2億,且全球前500大企業中,有逾半數使用Zoom。

但是,近期包括美國紐約大學、台灣各政府部門、甚至中華電信,都呼籲先暫停用Zoom。就連一家台積電供應商主管也對《天下》坦承,公司原先都用Zoom進行內部所有會議,包括主管會議,甚至原本打算董事會也用,但現在正重新評估。

「不過我們內部的Zoom會議室都有設帳號密碼,並設定金鑰,所以沒有機密外洩問題,」該主管說,「其實只要連線上網,這些本來就要注意啊!」

勤業眾信風險管理公司副總經理林彥良也告訴《天下》,「不是只有Zoom有風險,所有工具都有風險!但這正是企業重新盤點數位資源的機會,也讓一般民眾可以好好了解,自己要更數位化、更懂得自己做好資安防範。」

其實,Zoom不是唯一有漏洞要補強的公司,資策會資安所網駭科技研析中心主任田謹維表示,從2019年起,已被發掘且公佈的相關漏洞,就包括思科的網迅 (Cisco Webex)有3個高風險漏洞、Zoom有2個漏洞(1高風險及1中風險)、微軟Microsoft Teams也有1個高風險漏洞。

疑問二:如果每個視訊軟體都有風險,為什麼Zoom會成為爭議焦點?

答:創辦人來自中國、大部分研發團隊在中國。在台、在美都成政治議題。

最近Zoom在美國、台灣備受抨擊,部分政府部門也強調不使用,與該公司的中國背景有關。

Zoom的創辦人袁征來自山東,1987年畢業自山東科技大學。1997年,他飛到美國,進入視訊會議軟體公司Webex擔任工程師,但當Webex在2007年被思科收購後,袁征在2011年在美國創立Zoom。

8年後(2019年),Zoom在那斯達克掛牌,沒想到隔年就遇到新冠肺炎疫情,讓用戶數與股價同步暴增。截至4月7日,Zoom市值達315億美元(約台幣9468億元),超越中華電信(8339億元),逼近鴻海(9870億元)。

只是,Zoom大部分的研發團隊來自中國,日前又傳出誤將資料傳到中國,導致袁征出面澄清:正常狀況下,用戶連線會與地區伺服器配對,是因近日伺服器過於繁忙,才導致設定錯誤。

中資色彩太濃,中研院專家:沒有十足證據證明不安全

兩位中央研究院專家,資訊服務處呂紹勳、資訊科學所研究員陳伶志為此合作撰文指出,Zoom真正為人所擔心的地方,其實是其創辦人背景有強烈中國色彩,且其主要開發團隊皆在中國境內。但Zoom真的不能用嗎?

呂紹勳與陳伶志認為,去年Zoom曾被美國國土安全部採用作為視訊會議相關用途,該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全。

另一方面,Zoom曾被傳出會自動開啟鏡頭,但團隊在2019年7月便緊急進行程式修補,讓使用者在解除安裝Zoom時,能完全移除本地主機(Localhost)網頁伺服器;或者透過程式自動更新,刪除有安全疑慮的本地主機網頁伺服器。

因此,呂紹勳與陳伶志的結論是,「似乎沒有十足證據可證明Zoom是不安全的軟體,現階段與其爭論Zoom是否安全,不如強化使用者的使用習慣。」

陳伶志也在接受《天下》採訪時指出,「Zoom還是可以用,但是要小心用。」

長期投入線上教育的台大電機系教授葉丙成更在臉書發表長文直言,「在台灣,Zoom的資安問題,已經不是技術問題,而是政治問題。」

台大教授葉丙成:在台灣,Zoom是政治問題

葉丙成表示,「如果你有真正很機密的事情,我會勸你,別說Zoom,其他的視訊軟體通通都不該用。那才是真正的安全!」

針對線上會議代碼外流,導致駭客亂入的「Zoom Booming」問題, Zoom已在4月7日晚間對外公告,為加強單一帳號用戶的會議安全需求,現在所有單一會議室擁有者,如果要召開會議,將需要強制設定密碼。

這代表,未來使用免費Free Basic的用戶,以及第一層付費Single Pro用戶的帳戶,將被預設為:與會者必須透過密碼進入會議。

另外,Zoom也鼓勵主持人開啟等候室功能,一個一個手動批准與會者進入會議室。

疑問三:如果以後真的要「在家工作」,我到底該注意什麼?

答:企業強化「數位轉型」,個人增加資安及數位化能力。

勤業眾信的林彥良指出,在家工作應注意:網路環境安全、個人設備資安監控、外在設備資料保護、工作平台機密性。

他舉例,如果你是公司負責人或遠距會議主持人,要設定好會議室資訊、密碼、預設攝影機的啟動、禁止錄影等,且會議過程中,都不要涉及敏感性內容,加強公司的「數位轉型」。

若是一般民眾、會議參與者,則無論安裝任何工具軟體,都要擁有「資安及數位化能力」,也要不斷留意你所使用的軟體版本,有沒有最新風險或資安問題,要時常「更新到最新版本」。

資策會資安所:企業採3大視訊會議加密法

針對企業端,資策會資安所網駭科技研析中心主任田謹維指出,愈來愈多企業進行在家工作,建議可採取以下3步驟,加強防範:

一、加強連線加密:針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。

二、帳號強化密碼強度:帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援Google or Facebook Oauth、企業AD帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。

三、機密資料加密:由於視訊會議軟體的客戶端可能儲存許多機密資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。

展望未來「在家工作」趨勢,林彥良說,以前很多駭客很愛攻擊微軟、Adobe,現在因疫情而開始攻擊通訊軟體、email、遠距視訊工具等,「這時企業要懂得使用機器對機器(M2M)通訊加密,個人也要學會在安裝軟體和在家辦公時,不要透露敏感個資、設定多重密碼等,這些數位轉型能力,變得更重要!」

效法台積電,採取相對安全的「復古式遠距會議」

當然,如要保險起見,企業也可效法台積電,採用最不高科技、也相對最安全的「復古式遠距會議」。

「台積不用Zoom,」一位台積供應商主管笑著說,台灣大公司很傳統、很不數位,過去一直不用外部軟體,「台積對這方面(軟體使用)更是特別嚴格,我們過往一定是進台積公司實體開會,現在因為疫情緊急,才改成電話會議。」

該供應商透露,公司現在是把文件郵寄或送去給台積電,然後雙方用電話擴音、各自看著手上的紙本討論,「聲音歸聲音,人的影像或文件都沒看到,就說現在請翻到第幾頁、第幾頁。」

台積發言體系表示,公司的確沒有用Zoom,但印出紙本遠距開會,並不是公司的制式做法。

林彥良指出,對台積這類資安至上的高科技業,因業務內容和資料機密等級高,所以視訊會議在疫情期間沒辦法做到全體在家辦公。

雖然印出來的成本比較高、往返時間也較久,如果成本可支應、時間可配合,不一定不好,「把資料印出來寄送也要考量保密要求,不少高科技公司會要求用兩個信封、要蓋章,只能專人送到該當事人手中等等。」

林彥良認為,企業要在家工作,最困難的其實還是業務及資料做機密分級後,以及怎麼管理遠距後的員工行為。

機密等級較低的,像台積這類高科技公司會依據產品和業務分級,看哪些仍可用網路或電子傳輸進行工作。

許多公司會針對員工使用的終端裝置設定「邊界」,由公司配給員工筆電、手機,並限制這些終端的功能(手機無法上網、筆電設定安控並記錄操作行為)。

「在這個環境裡,連線看見的資料都無法落到遠端(資料不落地),不離開公司環境,也就是說,即使是你手上拿著公司發的NB,仍設定成可以看到資料,但無法存取、下載,有些筆電還可設定螢幕會曝光、無法拍攝。所有操作行為、畫面停留時間等,也都會被記錄,」林彥良說。

【FBI公告的5大Zoom安全使用守則】

美國聯邦調查局(FBI)也公告建議,個人使用視訊會議可採取以下5步驟,防止駭客入侵:

一、將會議設為不公開:在Zoom會議室中,有兩個選項可以將會議設為不公開:要求輸入會議密碼,或使用「等候室」功能並控制來賓進入權限。(編按:Zoom已在最新更新中,強制使用密碼)

二、勿在不受限制的公開社群貼文中,共享視訊會議連結:而是只直接提供給特定人會議網址。

三、管理「螢幕共享」選項:在Zoom中,把「螢幕共享」更改為「僅限主持人(Host Only)」。

四、確保你使用的是最新版「遠端連線/會議應用程式」:Zoom會陸續更新軟體,在安全更新中,將會議軟體默認為「添加密碼」,並關掉讓人可隨機加入會議的功能。

五、確保自己公司的遠距工作方針或指南,都有滿足資安要求。

 

【延伸閱讀】

蒸完口罩還可以蒸食物嗎?電鍋蒸口罩該知道的7件事

若你來自中間階級,不妨學學上層階級的一種心態

自稱台灣防疫學徒,紐西蘭如何成功控制疫情
 

●更多內容,請見天下雜誌695期《2020打掉重練

0 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0