Săptămâna aceasta, zoom tocmai a pierdut un proces colectiv de 85 de milioane de dolari pentru erori de securitate cibernetică, demonstrând astfel că până și cele mai importante și de încredere corporații pot fi afectate de o protecție deficitară. Dar, mai mult decât atât, experiența Zoom demonstrează importanța securității cibernetice pentru rezultatele unei companii. Prin urmare, lecția de securitate de la Zoom privind criptarea end-to-end demonstrează costurile pe care le implică întârzierea în materie de securitate cibernetică. Aparent, ransomware nu este singurul mod în care securitatea laxă poate costa o afacere daune de opt cifre.
Emil Sayegh, președinte și CEO al Ntirety, a explicat următoarele:
„Această mare tranzacție Zoom ar trebui să fie un semnal de alarmă nu numai pentru toți furnizorii de software și servicii, ci și pentru întreprinderile care le folosesc. Singurul răspuns este o strategie de securitate completă.”
Erorile din securitatea cibernetică a Zoom
Nimeni nu ar fi putut prevedea cât de curând programul de teleconferințe va deveni metoda preferată de derulare a afacerilor într-o economie afectată de pandemie.
Pentru a situa lucrurile într-o perspectivă, aproximativ 600.000 de persoane au descărcat aplicația pe 15 martie 2020, ziua în care solicitările de a rămâne acasă au început să se răspândească pe tot globul.
Ca urmare, zoom a raportat o creștere de 326% a vânzărilor în 2020, iar CEO-ul Eric Yuan a declarat în martie că afacerea se așteaptă în continuare la o creștere de 40% a vânzărilor în 2021.
Numărul tot mai mare de utilizatori ai platformei de videoconferințe a atras, de asemenea, atenția asupra securității, mulți oameni întrebându-se cât de sigur este programul. Platforma a fost acuzată de prezentarea defectuoasă a securității sale la sfârșitul lunii martie. Afirmațiile companiei cu privire la criptarea end-to-end s-au dovedit a fi inexacte, permițând Zoom să vadă datele conferinței.
Zoombombing-urile au devenit, de asemenea, o problemă. Farsorii au adăugat fotografii pornografice și alte tipuri de intruziuni în ședințele de conferință. Sesiunile școlare au devenit atât de frecvente pe platformă încât FBI a amenințat hackerii de teleconferințe cu închisoarea până în aprilie 2020. Zoombombing-urile au atras și atenția procurorului general din New York, Letitia James, care a investigat securitatea platformei.
În toiul acestei situații, compania a trebuit să dezactiveze o aplicație iOS care permitea schimbul de date analitice cu Facebook fără a informa consumatorii. Iar în California a fost intentat un proces colectiv ca urmare a încălcării confidențialității de către Zoom.
Eforturile Zoom pentru întărirea securității
Corporația a stabilit un plan pentru a răspunde preocupărilor utilizatorilor în materie de securitate în aprilie 2020, iar unele etape au fost finalizate până în luna iulie a aceluiași an. De asemenea, Zoom a implementat modificări în iulie 2020 pentru a verifica dacă există coduri de acces repetate greșit pentru a ține la distanță Zoombomberii. Până în octombrie anul trecut, platforma a început să implementeze în mod serios criptarea de la un capăt la altul, precum și o strategie de prioritizare a securității pentru utilizatorii săi în viitor.
Potrivit declarației unui purtător de cuvânt al companiei pentru Threatpost:
„Confidențialitatea și securitatea utilizatorilor noștri sunt priorități de top pentru Zoom și luăm în serios încrederea pe care utilizatorii noștri ne-o acordă. Suntem mândri de progresele pe care le-am făcut în platforma noastră și ne bucurăm să continuăm să inovăm menținând confidențialitatea și securitatea pe primul plan.”
Cu toate acestea, potrivit lui Richard Blech, CEO al XSOC, faptul că organizația nu dispunea deja de aceste măsuri de securitate este inacceptabil.
Richard Blech a precizat că:
„Zoom a avut responsabilitatea de a se asigura că platforma lor funcționează la cel mai înalt nivel de securitate”, a declarat Blech. „Dar, în schimb, au învățat din greșeli grație vulnerabilităților persistente ale platformei, amenințărilor și hackerilor. Lipsa lor de pregătire și, sincer, neglijența, este, din păcate, ceea ce a cauzat acest proces de confidențialitate, iar acum, ei vor trebui să suporte consecințele.”
Acordul Zoom: un pas în direcția cea bună?
Conform calculelor efectuate de Malwarebytes, o instanță a ordonat pe 31 iulie că Zoom va trebui să înființeze un fond de 85 de milioane de dolari pentru a plăti despăgubiri în numerar utilizatorilor din SUA, care vor fi cuprinse între 15 dolari pentru utilizatorii neabonațiși 25 de dolari pentru cei abonați. Potrivit deciziei, afacerea va trebui să plătească, de asemenea, 21 de milioane de dolari pentru cheltuieli de judecată.
După ce un judecător a constatat că a fost protejat de informațiile create de alți utilizatori în conformitate cu prevederile Legii privind decența comunicațiilor („Communications Decency Act”), Zoom nu a fost tras la răspundere pentru Zoombombings în cadrul procesului. Potrivit Reuters, judecătorul a concluzionat, de asemenea, că reclamanții nu au reușit să demonstreze că Zoom a folosit în mod abuziv datele fără a avea permisiunea lor.
Amenda în sine nu va afecta o firmă precum Zoom, care acum înoată în numerar și în creșterea numărului de abonați (85 de milioane de dolari reprezintă doar 4% din vânzările de 2,65 miliarde de dolari anticipate de Zoom pentru 2020). Totuși, trimite un avertisment important, potrivit lui Alexa Slinger, expert în gestionarea identității la OneLogin.
„Plata pentru breșele de date și atacurile de securitate cibernetică este, de asemenea, mai mică decât am văzut la alte companii, cum ar fi Equifax, Home Depot și Uber,”, a spus Slinger. Dar, după cum a subliniat Slinger, este încă o lecție pentru alte întreprinderi că o securitate inadecvată poate fi plătită scump în mai multe feluri.
“This story isn’t new, and despite the increasing level of breaches we hear about day in and day out, companies still under-invest in their cybersecurity framework,” she explained.
Acordul de 85 de milioane de dolari, potrivit lui Kevin Bocek, vicepreședintele Venafi pentru strategie de securitate și informații despre amenințări, va trimite un mesaj puternic echipelor de conducere din întreaga lume.
„O penalizare de acest calibru este dureroasă pentru orice afacere, chiar dacă este o afacere în cloud cu o creștere rapidă”, a spus Bocek. „Sancțiunea face ca consiliile de administrație, auditorii și directorii să fie atenți. Acesta este începutul schimbării, nu sfârșitul ei.”
Acest lucru, potrivit lui Bocek, arată că securitatea cibernetică trebuie tratată cu aceeași prioritate ca și creșterea veniturilor.
“This awareness is starting to make engineering teams account for protecting the business, not just CISO, and security teams,” he noted.
