Cosa devono considerare gli esperti di protezione dei dati con Zoom?
Negli ultimi due anni, l'uso delle videoconferenze, in particolare con il software Zoom, è aumentato in modo considerevole. Negli uffici e nelle aule scolastiche, è difficile offrire un'esperienza a distanza coinvolgente mantenendo una comunicazione efficace con i compagni di classe e di lavoro.
Per questo motivo, è spesso auspicabile l'utilizzo di servizi per videoconferenze, lezioni, riunioni o webinar online, come Zoom. Tuttavia, quando si utilizza uno strumento di questo tipo, è necessario rispettare i requisiti di privacy e protezione dei dati del GDPR, anche in tempi di crisi. Quando si sceglie una soluzione adeguata, un'azienda o un'organizzazione deve esaminare e soppesare attentamente le circostanze legali e tecniche e documentare il processo decisionale.
Durante l'utilizzo di Zoom vengono elaborati diversi tipi di dati. Spetta all'utente decidere quante informazioni identificative fornire. Il nome è sempre richiesto per avviare una riunione online o per entrare nella sala riunioni. Quando si crea un account o si aggiungono altri dati personali, Zoom elabora i seguenti dati:
- Dati utente:
Nome, cognome, telefono (facoltativo), indirizzo e-mail, password (se non si utilizza "Single Sign-On"), immagine del profilo (facoltativa), reparto (facoltativo)
- Metadati della riunione:
Argomento, descrizione (opzionale), indirizzi IP dei partecipanti, informazioni sul dispositivo/hardware. - Se si registra (opzionale):
File MP4 di tutte le registrazioni video, audio e di presentazione, file M4A di tutte le registrazioni audio, un file di testo della chat della riunione online. - Quando si chiama per telefono:
o Informazioni sul numero della chiamata in entrata e in uscita, sul nome del Paese, sull'ora di inizio e di fine. Se necessario, è possibile salvare altri dati di connessione, come l'indirizzo IP del dispositivo.
Nell'aprile 2020, la Federal Trade Commission (FTC) ha criticato Zoom per la sua definizione vaga di crittografia end-to-end (E2E) e per la conservazione ipocrita delle chiavi crittografiche. In seguito Zoom ha aggiunto le impostazioni E2E per consentire la permanenza dei dati tra due utenti Zoom. Tuttavia, questa impostazione non è abilitata per impostazione predefinita e deve essere attivata manualmente nelle impostazioni di Zoom.
Un altro problema riscontrato da Zoom è stato quello degli "Zoom bombing" che consentivano a chiunque avesse un codice ID Zoom di partecipare a una chiamata. Ciò ha indotto Zoom ad aggiungere una funzione di sala d'attesa che consente all'amministratore di consentire agli utenti di partecipare a una chiamata individualmente, nonché di effettuare una chiamata protetta da password, ecc. Poiché la password di Zoom poteva essere violata in meno di 30 minuti, Zoom ha sostituito la password a sei cifre con caratteri alfanumerici e password create dall'amministratore.
Sono stati riscontrati molti altri problemi di sicurezza: La vendita di dati a Facebook da parte degli utenti che si sono iscritti alla piattaforma sociale tramite Zoom e al software che si scarica sui dispositivi iOS, nonché la possibilità di accendere le telecamere dei partecipanti e di aggiungere forzatamente utenti a una chiamata. Anche le chatbox hanno rappresentato un problema, in quanto gli hacker sono stati in grado di manipolarle e di creare file GIF dannosi, che nel frattempo sono stati vietati. Altri tipi di file che gli hacker inviavano agli utenti tramite la chatbox includevano file compressi come file .zip, Untitled.html, Untitled.Properties, Untitled.rtf e Untitled.txt. L'amministratore può comunque decidere quali tipi di file possono essere inviati nella chatbox.
Le videoconferenze per le aziende non devono necessariamente rappresentare un rischio per la sicurezza. Oltre all'ubicazione dei server e al fornitore di servizi, nella scelta del software giusto occorre considerare anche i seguenti aspetti:
- Esiste una versione business dello strumento desiderato? Queste versioni spesso offrono standard di sicurezza ancora più elevati. È consentito l'uso aziendale?
- Il sistema di videoconferenza offre opzioni di processo e di impostazione che rispettano la protezione dei dati (art. 25 (2) GDPR)?
- La trasmissione avviene in forma criptata? Come vengono crittografate le informazioni (ad esempio, end-to-end)?
- È necessario un consenso esplicito per la trasmissione o la registrazione sullo schermo?
- Le cronologie e le registrazioni delle chiamate vengono cancellate al termine della chiamata? In caso contrario, è possibile modificarlo?
- Vengono creati profili di comportamento dei partecipanti? Se sì, è possibile disattivare questa funzione?
- Per tutte le funzioni di tracciamento, monitoraggio, registrazione, condivisione dello schermo e registrazione, è sempre consigliabile verificare se queste funzioni sono assolutamente necessarie e/o possono essere disattivate nelle impostazioni.
Sebbene Zoom sia stato più volte criticato, l'azienda collabora costantemente con i ricercatori di sicurezza per individuare le vulnerabilità e ha risolto la maggior parte dei problemi di sicurezza allarmanti. Gli utenti dovrebbero comunque diffidare delle e-mail di phishing con inviti a Zoom, che vengono inviate con soggetti comuni come "Zoom invite" e chiedono ai clienti di iscriversi. Si consiglia inoltre agli amministratori e agli utenti di Zoom di creare riunioni protette da password, di utilizzare la funzione di sala d'attesa e di chiudere la sessione non appena tutti i partecipanti sono presenti.
Tuttavia, è sempre meglio rivolgersi agli esperti di protezione dei dati di 2BAdvice per assicurarsi che gli strumenti utilizzati dai vostri dipendenti siano conformi agli standard di protezione dei dati.