我们围绕法律领域中的Zoom,与律师事务所,客户和安全顾问进行最全面的分析。

在接下来的几个月和几年中,毫无疑问,Zoom将被用作商学院的一个引人入胜的案例研究,该公司必须在一夜之间扩展规模,并成为隔离世界的宠儿,面临所有挑战。这如何帮助试图在锁定中寻求轻松外部沟通能力的律师与不需要CISO和不需要的客户之间取得平衡的律师事务所?一点也不。因此,难怪有些公司已经决定彻底​​禁止Zoom进行客户沟通。但是许多人继续使用它,并且客户端图片远非黑白。首先,我们与领先的安全专家进行了交谈,他们警告不要设置先例,使客户支配公司使用的技术。

缺陷,安全问题和补丁

过去几周来出现的安全漏洞和批评来自于事实,正如最初声称的那样,Zoom的加密并未做到端到端。其默认设置意味着会议具有通用ID,很容易被坏演员到上传色情内容的人发现并“放大”;据称它在没有通知用户的情况下将数据传递给了Facebook等第三方(导致集体诉讼);担心Zoom通话可能会受到中国监视。

也发表在喜欢的 darkreading.com 据称,Zoom聊天可用于发布通用命名约定(UNC)格式的链接,可用于捕获用户名和密码哈希,一位网络专家说:“这是利用Zoom Windows客户端的示例使用UNC路径注入来公开用于SMBRelay攻击的凭据。”

另一位研究人员指出,由于Zoom绕过了Mac OS安装程序的特定安全功能,该漏洞的存在,该公司首席执行官Eric S Yuan表示,实际上是要减少从Mac加入会议所需的点击次数。

Zoom在4月23日发布了Zoom 5.0,其中包括更好的加密和新的隐私控制,这是其90天提高安全标准计划的一部分。新版本允许主持人报告可疑用户并引入一个等候室,这意味着必须让参与者参加会议。现在所有会议都需要密码。

Zoom 5.0现在将使用AES 256位GCM加密标准,该标准虽然还不是端到端的,但却是一项重大改进。 Zoom还使客户经理能够控制其避免使用的数据区域。

这并没有改变事实,即Zoom的软件似乎是由中国的三家公司开发的。 Telecoms.com报道,在全部三款软件(均为阮软件)中,只有两家归Zoom所有。第三者(也称为美国视频软件技术)的所有权是未知的。 Telecoms.com还报告说:“目前,在中国有700名员工,这并不罕见,因为与美国相比,它可以节省薪水,尽管它确实使该公司能够承受来自中国政府的压力和影响。这种立场不会使美国当局感到安心。”

Zoom的发言人告诉我们: “阮氏是Zoom用来命名我们在中国的子公司的中文名称。因此,我们在中国的办事处归美国母公司的子公司所有–杭州阮氏,苏州阮氏,合肥阮氏。我们的工程师是通过这些子公司雇用的,所有这些都在我们的 filings.”

客户图片

现在说Zoom 5.0是否可以逆转损害还为时过早,但在撰写本文时,许多美国大公司已禁止其员工使用Zoom。据路透社报道,SpaceX的工作人员被告知要使用电子邮件,短信或电话代替Zoom。路透社还报道说,SpaceX最大的客户之一美国宇航局已禁止其员工使用Zoom,而BuzzFeed新闻报道称Google已禁止其员工使用Zoom。据彭博社报道,戴姆勒公司,爱立信AB公司,恩智浦半导体公司NV和美国银行等公司纷纷禁止或警告员工不要使用Zoom。

在英国,《卫报》于4月24日星期五报道说,由于担心受到中国的监视,英国国家网络安全中心已建议英国政府和议会不要将Zoom用于机密业务,尽管其他高级议会人士被告知Zoom是可以安全地用于公共事务。

在南美,Zoom的图片看起来暗淡。本地报纸El Mercurio 报告称智利银行已禁止该服务,智利国防部在日期为4月4日的措辞强烈的内部通讯中,由律解网 Insider看到并翻译说:“请勿使用Zoom来处理服务事宜,无论是公开,保留或机密,因为可能会破坏信息,从而暴露用户和服务的数据。”

但是,上面的图片与我们最近与大型公司的隐私负责人进行的对话形成对比。

珍娜·富兰克林(Jenna Franklin)在金融机构桑坦德银行(Santander)负责隐私和数据,法律和法规事务的法律顾问时说:“我们正在试用Zoom。如果我们希望与提供者订立更固定的期限安排,那么使用Zoom显然会涉及一些隐私和安全问题。当然,至少需要密码。我不能代表律师事务所,但是,他们再次需要确保采取适当的隐私和数据安全措施。”

在本身使用WebEx和Microsoft Teams而不是Zoom的National Grid中,首席运营官Mo Ajaz告诉我们:“如果更改了设置,任何人都可以使用它。”

在英国媒体企业Ascential,集团法律总顾问Kent Dreadon告诉我们:“我们不在Ascential使用它,而是使用Fuze和Google Hangouts。”但补充说:“我不知道有任何政策阻止员工在客户或供应商想要使用Zoom来与客户或供应商通话时使用它。”

有趣的是,Dreadon尚未使用Zoom遇到任何Ascential的律师事务所。 他说:“大多数人仍选择从我所看到的内容而不是视频通话中选择普通的拨号类型功能;他们将继续以与以前相同的方式工作,而不是偏向视频通话,这肯定是我们在业务中看到的变化。 并不是说我们以前没有视频通话,但这已经成为人们激活视频/摄像机的规范。”

律师事务所的反应

毋庸置疑,尝试浏览所有内容都是一个雷区,有趣的是,Zoom的CIO Harry Moseley最近与美国多家律师事务所的CIO会面,以帮助他们解决面临的问题。

大多数律师事务所对Zoom的政策都非常谨慎,但是最近一家决定不使用视频会议应用程序进行客户交流的律师事务所是英国律师事务所Mishcon de Reya,该律师事务所经过四周的审查后告诉我们除非获得客户书面同意使用Zoom,否则现在的政策是必须使用其他通讯方式。

内德·斯特凡诺夫斯基(Ned Stevanovski)在对IT运营和安全负责人律解网 Insider的讲话中说:“我们在过去的四个星期里一直在研究Zoom,因为我们经常受到客户的邀请来使用它。我们已经对安全性进行了大量分析和研究,得出的结论是,除非客户理解风险并同意风险,否则不应使用此风险。”

他补充说:“如果客户坚持使用Zoom,我们有书面声明说风险在于他们。这不是我们的建议,如果我们使用它,他们需要了解风险。”

公司最担心的问题之一是Zoom在中国有很多开发人员,这对某些客户是一个危险信号。 5.0中强大的数据中心控制能否解决该问题还有待观察。

根据我们的数据,不使用Zoom的其他人包括Linklaters,它使用WebEx来进行客户呼叫(除非呼叫是由客户发起的,在这种情况下律师可以使用Zoom。)&Bird将WebEx用作其主要的交流平台,并且正在向悉尼的Microsoft Teams迈进。

然而,霍根·洛弗斯(Hogan Lovells),克利特·戈特利布(Cleary Gottlieb Steen)&汉密尔顿和德贝沃斯&普林普顿(Plimpton)就是其中一些律师说他们使用Zoom的公司。霍根·洛弗斯(Hogan Lovells)的发言人说:“我们在考虑客户安全性和保密性时,从您期望我们的所有角度非常仔细地研究了它。”在撰写本文时,Cleary或Debevoise均未返回我们的评论请求。

一家总部位于英国的国际律师事务所的首席信息官告诉我们:“在有关安全性的潜在负面报道和潜在破坏之后,Zoom显然开始以新的活力应对信息安全问题,并做出了重要的任命以在这一领域提供帮助。 

“法律公司现在正在与Zoom对话,以适应当前在安全方面的立场,但人们不禁会认为,如果在COVID危机开始之前他们拥有内部能力,他们就不必急于做出这一决策。 。”

Zoom的发言人表示:“ Zoom采取了分层保护措施,强大的网络安全保护以及适当的内部控制措施,以防止包括Zoom员工在内的未经授权的数据访问。 所有Zoom源代码都在美国存储和版本控制。 Zoom在中国的软件开发人员主要由我们在美国的工程团队管理,他们按照Zoom美国工程小组的设计和架构决定履行职责。 这些在中国的开发人员无权访问Zoom的生产环境,也无权或无权对我们的平台进行实质性更改,也无权访问任何会议内容。 而且,重要的是,在所有Zoom工程中,无论位于何处,我们的工程师都只能访问其特定功能所需的源代码。”

网络专家的观点

对于担心Zoom信息安全问题的律师事务所和客户,建议不要使事情变得过于复杂,而要从要防范的风险入手。

Kroll的网络风险总经理兼欧洲,中东和非洲地区主管Andrew Beckett说:“您自己进行风险评估。 “我持有的数据有什么风险,我应该采取哪些适当的保护措施?”

他补充说:他补充说:“如果您担心Zoombombing爆炸,有人打来电话并闪烁淫秽图像,或者有人加入您的电话并窃听正在讨论的内容,则可以采取简单的步骤并用密码保护会议将阻止大多数攻击。

“如果你’我真的很担心编码是什么样的,还有其他产品,例如WebEx,它们的问世时间更长,并且经过了用户社区和政府多年的测试,这些产品可能更强大。”

但是,我们与智利Tecnolex的全球知名信息安全和技术顾问Sebastian Carey进行了交谈,他明确表示:“目前,仅与Zoom合作不是一个好主意,因为您可能会遇到禁止使用该工具的客户公司。让他们邀请您使用他们喜欢的系统,而不要使用Zoom来讨论高度机密的IP问题。”

贝克特强调指出,让事情尽可能简单明了很重要,他说:“过分复杂的生活确实存在危险–您会在每封订婚信中说'您对我们使用Zoom进行内部讨论感到高兴吗?您是否愿意使用Zoom在我们和您的团队之间打客户电话?这将变得非常复杂。客户有可能决定您使用的技术以及发生的那一刻’re in trouble.”

凯里对此表示同意:“每个律师事务所都有使用Zoom进行内部会议的绝对权利,如果没有在这个虚拟空间中讨论其法律事务,客户也没有发言权。”

但是,他补充说:“我认为我们将不得不等待六个月才能看到安全社区对Zoom的看法。同时,即使您不在Microsoft 365云中,您也应该迅速实施Microsoft团队。第一步是使其安装并作为视频会议平台运行,因为它的安全性绝对惊人。这是您将要使用的工具,其功能远不止视频会议。”

安全社区完全对Zoom 5.0做出反应需要几天和几周的时间,与此同时,Zoom还提供了自动转录服务,该服务可以在您使用Otter.ai进行会议时转录您的Zoom会议。

但凯里补充说:“现在的问题是一种感知。无论Zoom做什么,只有时间会证明它们是否可以信任。对我而言,这并不是技术问题。看到他们的营销和软件开发实践发生真正变化的问题。他们正在努力纠正错误,这是一个很好的第一步,但是没有人能期望在90天之内重新获得我的信任,甚至不会每隔90分钟就把我淹没在安全补丁中。”

缩放步骤1-4  

1请您自己进行风险评估:您所持有,处理和共享的数据面临什么风险?有哪些适当的保护措施?
2做出一个令您的内部安全团队满意的决定。
3在聘用书中声明“我们将按照与所有客户数据相同的标准保护您的数据,并会采取适当的措施。”
4如果客户想要采取特殊措施,可能意味着他们必须支付保险费。