Ktorá aplikácia na online meetingy a zdieľanie je najbezpečnejšia podľa NSA (National Security Agency)
Počas globálnej pandémie alebo iných krízových pohotovostných scenárov musia mnohí zamestnanci vlády (článok hovorí najmä o zamestnancoch vlády USA) pracovať z domu, pričom aj naďalej musia vykonávať kritické národné funkcie a zabezpečiť fungovanie vládnych a základných infraštruktúrnych služieb.
Úvod
Služby pre spoluprácu definujeme ako aplikácie, ktoré umožňujú zamestnancom komunikovať cez internetové textové, hlasové a video služby, a ktoré môžu zahŕňať zdieľanie súborov alebo iných dokumentov potrebných na splnenie úlohy. Spolupráca môže byť medzi dvomi ľuďmi alebo môže byť rozšírená na väčšiu skupinu, ak si to vyžaduje splnenie úlohy.
Tento článok poskytuje prehľad najlepších postupov a kritérií z dostupných možností v dobe publikácie a jeho vypracovanie bolo koordinované s NSA. Odporúčania v tomto článku sa pravdepodobne čoskoro zmenia ako sa služby pre spoluprácu budú vyvíjať a ako sa budú meniť známe zraniteľnosti a hrozby. Užívatelia by si mali uvedomiť, že aj tie najbezpečnejšie služby pre spoluprácu sa nemôžu brániť voči kompromitovanému zariadeniu užívateľa.
Kritériá, ktoré treba zohľadniť pri výbere služby pre spoluprácu
Nižšie uvedené kritériá identifikujú riziká a funkčnosti, ktoré je treba zohľadniť pri výbere služieb pre spoluprácu, aby daná služba podporovala Vaše poslanie. Všetky kritériá by mali byť dôsledne zvážené na základe Vášho operačného prostredia a obmedzení, avšak nemusia byť nevyhnutne plne podporované danou službou.
1. Používa služba end-to-end šifrovanie?
End-to-end šifrovanie (E2EE) znamená, že obsah (text, hlas, video, dáta, atď.) sú šifrované celou cestou od odosielateľa k príjemcovi/príjemcom bez toho, aby boli zrozumiteľné pre servre a iné služby počas cesty. Niektoré aplikácie navyše podporujú šifrovanie dát aj keď sa s nimi nenarába, ako na koncoch (t.j. na Vašom mobilnom zariadení alebo pracovnej stanici), tak aj na vzdialenom úložisku (napr. servre, cloud úložisko). Len pôvodca správy a určení príjemcovia by mali byť schopní dešifrovať obsah. Silné end-to-end šifrovanie závisí na dômyselne distribuovaných kľúčoch. V niektorých prípadoch nebude možné použiť end-to-end šifrovanie v z dôvodu výkonu, obmedzenia schopností alebo nesúladu s požiadavkami.
2. Používajú sa silné, dobre známe a testovateľné štandardy šifrovania?
Aj v prípade absencie end-to-end šifrovania, NSA odporúča použitie silných šifrovacích štandardov, najlepšie algoritmov odsúhlasenými NISTom [National Institute of Standards and Technology, USA] a aktuálnych IEFT štandardov zabezpečeného protokolu. Mnohé služby pre spoluprácu chránia dáta prenášané medzi klientmi a servermi prostredníctvom zabezpečeného protokolu transportnej vrstvy (TLS) verzia 1.2 (alebo novšia), ktorý je bežne používaný pre citlivé alebo neutajené informácie. Uprednostňuje sa použitie zverejnených štandardov protokolov, ako TLS a DTLS- SRTP [Datagram Transport Layer Security - Real-time Transport Protocol]. Ak dodávateľ produktu vytvoril vlastnú šifrovaciu schému alebo protokol, tento by mal prejsť nezávislým vyhodnotením akreditovaným laboratóriom. To zahŕňa nie len kryptografické protokoly ale aj generovanie kľúča.
3. Je multifaktorová autentifikácia (MFA) používaná na overenie identít užívateľov?
Bez MFA, slabé alebo ukradnuté heslá môžu byť použité na získanie prístupu k legitímnym účtom užívateľov a možnosti vydávať sa za nich pri používaní služieb pre spoluprácu. Multifaktorová autentifikácia si vyžaduje druhú formu identifikácie (kód, token, splnenie výzvy, atď.) pre prístup do existujúceho účtu.
4. Môžu užívatelia vidieť a kontrolovať kto sa prihlási na dané stretnutia?
Služba pre spoluprácu by mala organizátorom poskytnúť možnosť obmedziť prístup na dané stretnutia len pre pozvaných užívateľov. To sa dá zrealizovať cez rôzne funkcie ako heslo pre dané stretnutie alebo čakacie miestnosti, avšak najlepším riešením je primerane silná autentifikácia. Užívatelia by tiež mali vidieť, či sa účastníci pripájajú cez nešifrované/neautentifikované pripojenie ako telefonický hovor.
5. Umožňujú zásady ochrany osobných údajov danej služby jej prevádzkovateľovi zdieľať dáta s tretími stranami alebo pridruženými spoločnosťami?
Aj keď služby pre spoluprácu musia často zozbierať určité základné informácie potrebné pre svoju prevádzku, mali by chrániť citlivé dáta ako detaily o kontakte a obsahu. Informácie a konverzácie odohrávajúce sa v danej službe by nemali byť zdieľané s tretími stranami. To môže zahŕňať metadáta spojené s identitami, informácie o zariadení, históriu daného stretnutia a rôzne iné informácie, ktoré môžu ohroziť Vašu organizáciu. Zdieľanie informácií by malo byť jasne definované v zásadách ochrany osobných údajov.
6. Majú užívatelia možnosť bezpečne zmazať dáta zo služby a jej úložísk podľa potreby?
Aj keď žiadna služba pravdepodobne nebude podporovať úplné bezpečné možnosti prepísania/zmazania, užívatelia by mali mať možnosť zmazať obsah (t.j. zdieľané súbory, históriu rozhovorov, nahrané video stretnutia) a permanentne odstrániť účty, ktoré už nie sú používané.
7. Bol zdrojový kód služby pre spoluprácu zverejnený (napr. open source)?
Vývoj služby prostredníctvom open source môže užívateľom poskytnúť informácie o tom, že kód bol napísaný osvedčenými postupmi a je nepravdepodobné, že by obsahoval zraniteľnosti, pripadne nainštaloval iné súčasti, ktoré by ohrozili dáta užívateľov.
8. Bola služba alebo aplikácia preverená alebo certifikovaná pre národne uznávaný alebo vládny orgán, ktorý je zameraný na bezpečnosť?
NSA odporúča, aby cloudové služby (na ktorých závisia aplikácie pre spoluprácu) boli vyhodnotené Úradom pre správ a rozpočet (OMB) programu FEDRAMP. NSA tiež odporúča, aby boli aplikácie pre spoluprácu vyhodnotené nezávislými testovacími laboratóriami v rámci Národného partnerstva pre zabezpečenie informácií (NIAP) podľa Profilu ochrany aplikačného softvéru (PP). NSA spolupracovala s výskumným a vývojovým programom spoločnosti DHS S&T Mobilná bezpečnosť na vývoji poloautomatických testovacích kritérií pre preverovanie aplikácií na základe PP aplikácie. Tieto kritériá obsahujú testy ako aplikácie komunikujú so zdrojmi platformy, ako sa chránia pred zneužitím, aké krypto knižnice používajú, aké povolenia požadujú a mnohé ďalšie kritériá.
Cisco Webex vzišla ako aplikácia s najvyššou mierou bezpečnosti pre online komunikáciu podľa týchto kríterií:
| APLIKÁCIE N= NIE Y= ÁNO |
1–End-to-End Encryption 5 | 2–Testable Encryption | 3–MFA | 4– Kontrola pozvánok |
5– Minimálne zdieľanie s 3ťou stranou |
6– Bezpečné vymazanie |
7– Verejný zdrojový kód |
8– Certifikácia (FedRAMP / NIAP) |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Text Správy | Volania | Video hovory |
Zdieľanie súborov |
Zdieľanie obrazovky | ||||||||
| Adobe Connect™i |
N | N | N | N | N | Y | Y | Y | Y | Server–Y Client–Y | N | FedRAMP |
| Amazon Chime™ii |
N | N | N | N | N | Y | Y | Y | N | Server–Y Client–Y | N | FedRAMP |
| Cisco Webex®iii | Y1 | Y1 | Y1 | Y1 | Y1 | Y | Y1,2 | Y1 | Y | Server–Y Client–N3 | N | FedRAMP |
| Dust | Y | N/A | N/A | N/A | N/A | N3 | N | Y | N | Server–Y Client–Y | N | None |
| Google Workspace™iv |
N | N | N | N | N | Y | Y1 | Y1,4 | Y | Server–Y Client–Y2 | N | FedRAMP |
| GoToMeeting®v | Y1 | Y1 | Y1 | N/A | N/A | Y | N | Y1 | Y | Server–Y Client–N3 | N | None |
| Jitsi Meet®vi | Y1 | Y1 | Y1 | Y1 | Y1 | Y | N | Y | N | Server–N3 Client–N3 | Y | None |
| Mattermost™vii | N | N | N | N/A | N | Y1 | Y2 | Y4 | N | Server–Y Client–N | Y | None |
| Microsoft Teams®viii |
N | N | N | N | N | Y | Y | Y | Y | Server–Y1 Client–Y1 | N | FedRAMP |
| Signal®ix | Y | Y | N/A | Y | N/A | Y | Y | Y | Y | Server–Y Client–Y | Y | None |
| Skype for Business™x |
N | N | N | N | N | Y | Y | Y | Y | Server–Y1 Client–Y1 | N | FedRAMP |
| Slack®xi | N | N | N | N | N | Y | Y | Y | Y1 | Server–Y1 Client–Y1 | N | FedRAMP |
| SMS Text | N | N/A | N/A | N | N/A | N | N | N | N | Server–Y Client–N | N | None |
| WhatsApp®xii | Y | N/A | Y | Y | N/A | Y | Y | Y | Y | Server–Y Client–Y | N | None |
| Wickr®xiii | Y | Y | Y | Y | Y | Y | Y | Y | Y | Server–Y Client–Y | Y | None |
| Wire | Y | Y | Y | Y | Y | Y | Y | Y | Y | Server–Y Client–Y | Y | None |
| Zoom®xiv | Y1 | N | N | Y1 | N | Y | Y1 | Y | Y | Server–Y Client–N3 | N | FedRAMP |
Legenda:*pre dohľadateľnosť údajov sú popisy v ENG
Y = Yes, N = No; N/A = Not Applicable
1Configurable
2 Free Version - N
3No Published Details
4 Partial
5 End-to-end Encryption (E2EE) may be limited by app, browser, number of participants, or capabilities of other clients. Even without E2EE, all services (other than SMS) utilize link encryption between clients and servers whenever possible.
i Adobe Connect is a trademark of Adobe Systems, Inc.
ii Amazon Chime is a trademark of amazon.com, Inc.
iii Cisco Webex is a registered trademark of Cisco Systems, Inc.
iv Google Workspace is a trademark of Google, LLC
v GoToMeeting is a registered trademark of LogMein, Inc.
vi Jitsi Meet is a registered trademark of BlueJimp, SARL
vii Mattermost is a trademark of Mattermost, Inc.
viii Microsoft Teams is a registered trademark of Microsoft Corporation
ix Signal is a registered trademark of Signal Technology Foundation
x Skype for Business is a trademark of Microsoft Corporation
xi Slack is a registered trademark of Slack Technologies, Inc.
xii WhatsApp is a registered trademark of WhatsApp, Inc.
xiii Wickr is a registered trademark of Wickr, Inc.
xiv Zoom is a registered trademark of Zoom Video Communications, Inc
Neváhajte nás kontaktovať, kde vám radi poradíme ako mať bezpečnú formu online komunikačnej aplikácie