Informationssäkerhet.se använder cookies. Genom att klicka på "Jag förstår" samtycker du till att cookies används. Läs mer om cookies.
Den ökade användningen av videokonferenssystem med anledning av covid-19 leder till att fler sårbarheter i sådana tjänster upptäcks. I en av de mer populära tjänsterna, Zoom, har flera sårbarheter nyligen uppmärksammats och MSB vill därför ge följande rekommendationer.
Uppdatering: Zoom har nu släppt patchar till alla versioner där uppmärksammade sårbarheter ska vara lagade.
MSB:s rekommendationer gäller dock fortfarande och kan utgöra en grund för verksamhetens riskanalys i val av videkonferenstjänst.
1. Gör inte konferenserna offentliga. Det finns två sätt att undvika detta: a) sätt lösenord till mötet, eller b) låt användare vänta ”utanför” för att bli insläppta.
2. Posta/dela inte länkar till Zoom-möten offentligt, exempelvis på sociala medier. Skicka istället länken direkt till mottagaren.
3. Begränsa möjligheten att dela skärm så att endast värden kan göra detta genom inställningen ”Host only”.
4. Håll Zoom uppdaterad med den senaste programvaran.
5. Koppla enbart upp mot zoom-länkar som avslutas med zoom[.]us eller zoom[.]com
Var också medveten om att samtalen i Zoom inte krypteras ände-till-ände. Informationen är därför okrypterad när den passerar Zooms servrar. Likaså är val av krypteringsalgoritm och nyckelhanteringen omdiskuterad och tjänsten bör inte användas för överföring av känslig information. Liksom för alla videokonferenssystem bör organisationen göra en riskanalys innan tjänsten används.
För tekniska detaljer, läs mer på Cert.se: https://www.cert.se/2020/04/rekommendationer-kring-anvandning-av-videokonferenstjansten-zoom
Övriga råd och rekommendationer:
MSB:s tidigare råd för informationssäkerhet och distansarbete.
MSB:s samlade stöd för distansarbete.
Publicerad: 2020-04-06 Uppdaterad: 2020-04-06 Skribent: Redaktionen Innehållsansvarig: Redaktionen