איך לאבטח את זום

דבר אחד שמארגני אירועים מקוונים מנוסים יודעים הוא שהפלטפורמה באמת חשובה לרציפות השידור אבל לא רק.

רבים מכירים את Zoom, GoToWebinar, Microsoft Teams ו- Google Meet בין אם משתתפים או כמארחים.

אחד השיקולים לבחירה או שימוש במערכת וובינר הוא נושא האבטחה.

בתחילת תקופת אי-הודאות של נגיף COVID-19 וכניסתה המטאורית של זום Zoom.us לכל בית בישראל ובעולם, כמעט, גם האקרים ניסו את כוחם והם הצליחו.

מה הם הצליחו?

הם הצליחו להיכנס לשיחת וידאו מבלי שהוזמנו. שום פרטים לא נגנבו אבל היתה הרבה מבוכה.

הרעש התקשורתי סביב האבטחה של זום היה גדול והתפשט כמו אש בשדה קוצים.

עד מהרה זום בנו צוות אבטחה, שופרו נוהלים, ניתנו כלים בידי מארגני אירועים (מארחים) כדי להדק את האבטחה ולמנוע כניסת בלתי מוזמנים לשיחות הוידאו של זום ועוד.

מהי אבטחה?

אבטחה תלוייה בסוג האירוע שאתה מארח, וכמה חשובה האבטחה למשתמשים שלך. לשיחת וידאו של ועד הבית לא יהיו אותן דרישות אבטחת פרטיות כמו, למשל, שיחת וידאו של קבינט הממשלה.

צריך להבין שיש בו פשרה בין רמת אבטחה אל מול פשטות וקלות.

בסרט “המטרה: הבית הלבן” (באנגלית: Olympus Has Fallen) שיצא לאקרנים בשנת 2013 וגולל את קורותיה של מתקפת ארגון גרילה צפון קוריאני על הבית הלבן, תוך התמקדות בניסיונותיו של סוכן השירות החשאי האמריקאי בניסיונו לחלץ את נשיא ארצות הברית מידיהם. בסרט היתה סצנה הקשורה לנושא האבטחה שבוודאי זכורה לך בגלל הקושי שנדרש כדי לפתוח את המזוודה שבתוכה נמצא הקוד?

זאת אבטחה!

ככל שאתה עושה אבטחה יותר הדוקה כדי למנוע מגורמים זרים/עויינים/לא-רצויים להיכנס, אתה מקשה את הכניסה על כל הרצויים שהם ישרים ותמימים.

אתה צריך בסופו של ענין לעשות פשרה בין רמת האבטחה לקלות הכניסה לוובינר. ככל שהאבטחה תהיה יותר מורכבת, זה יקשה על הבלתי רצויים אבל באותה עת גם יקשה על הרבה אחרים שאולי חלקם יבחר שלא להיכנס לוובינר בגלל הקושי.

אבטחה תלוייה בשימוש שיעשה המארח בכלים שמעמידה לו הפלטפורמה

למה אני אומר את זה?

מהידע והניסיון שלי אני יכול לומר שכלים זה דבר אחד ושימוש בכלים זה לא אותו דבר.

למה זה דומה?

זה דומה למנעול בדלת הבית: המנעול קיים, השאלה היא: האם בעל הבית שיוצא מביתו ינעל את הדלת על ידי סיבוב המפתח פעמיים במנעול או יסתפק בטריקת הדלת?

למה זה עוד דומה?

זה דומה לאזעקה ומנעול בבית. האם בעל הבית שיוצא מביתו יבחר להפעיל את כל האמצעים שעומדים לרשותו (אזעקה, מנעול לדלת) או שיבחר לטרוק את הדלת?

אותו דבר עם אבטחה.

אמצעי האבטחה קיימים, השאלה היא האם מארגן האירוע (מארח) יבחר לעשות בהם שימוש ואם כן, באיזה כלים יבחר והאם יעשה שימוש נכון בכלים.

שימוש נכון בכלי אבטחה של מערכת וובינר

אני רוצה לחזור לרגע לזום כדי לתת המחשה על שימוש נכון בכלים.

בזום יש אפשרות למארגן האירוע לייצור passcode (סיסמה) לוובינר או לפגישה. במילים אחרות, כדי להיכנס לשיחת וידאו (מיטינג) בזום צריך 2 מפתחות: קישור (אחד) ו- passcode (שתיים). רק מי שיש לו את שתי המפתחות יוכל להיכנס בשיחה.

מה עושה מארגן אירוע?

1. בעת יצירת אירוע הוא מגדיר שימוש ב- passcode . זה בדיוק מה שהוא אמור לעשות!
2. שולח את הקישור ביחד עם ה- passcode במייל או בהודעת WhatsApp

זה שימוש לא נכון ואסביר למה?

קודם כל, שימוש ב- 2 מפתחות זאת כבר רמת אבטחה גבוהה יותר מאשר קישור בלבד, אבל כאשר שולחים את 2 המפתחות באותה “חבילה”, באותו מסר, בין במייל או בהודעת WhatsApp או מסרון – זה שימוש לא נכון.

אתרים רבים נוהגים לבצע כניסה עם 2 מפתחות, זה נקרא לפעמים בשמות הבאים:

Two-Step Verification (Google, Amazon, Wix, WhatsApp)

Two-factor authentication (Facebook, Paypal)

ובקיצור 2FA

איך עובד 2FA?

הרעיון המרכזי ב- 2FA הוא לתת לגולש את המפתחות בערוצים נפרדים: מפתח אחד בכל ערוץ.

הקישור (מפתח אחד) לשיחת זום יישלח לך במייל, ואת ה- passcode (מפתח שני) תקבל ב- וואטצאפ.

דוגמה נוספת לשימוש ב- 2 מפתחות. נכנסת לאתר של כביש 6 כדי לשלם. עשית לוג-אין (התחבר). נשלח לך מסרון (SMS) למכשיר הנייד שלך עם קוד שעליך להקליד באתר כדי לוודא שאתה זה מי שאתה אומר שאתה.

סיכום

בוובינר, בשונה משיחת וידאו (מיטינג) המשתתפים לא יכולים לפתוח מצלמה, לא יכולים לפתוח מיקרופון כך שהנזק שהם יכולים לגרום הוא נשלט ומאוד מוגבל.

כל מארח יכול לשחרר (הכוונה היא “לזרוק”) משתתף בכל עת במהלך הוובינר ובהתאם להגדרות, לא לאפשר למי שנזרק לחזור לשידור החי.

בכל פלטפורמות לעריכת וובינרים יש רמה כזאת או אחרת של אבטחה.

לפני שאתה עושה שימוש בכלים, עליך להגדיר את רמת האבטחה הנדרשת. החלטה של פעילות “ללא אבטחה” היא בהחלט אפשרית, אם בחרת לעשות כך בידיעת המשמעויות.

לחץ כאן לפרטים על הדרכה בנושא: אבטחת זום

אודות הכותב

ניהול מקצועי של אירועים וירטואלים (וובינרים, כנסים וירטואלים, כנסים היברידים) עם הרבה ידע וניסיון בפתרון תקלות. מומחה לתכנון, הקמה וניהול עם ידע רב וניסיון של מאות אירועים וירטואלים, רבי משתתפים, רבי דוברים בארץ ובחו"ל. בין לקוחותינו: מכבי שירותי בריאות, משקי הקיבוצים, BDO, מכון היצוא, משרד הכלכלה, קרן היסוד, המוסד לבטיחות ולגיהות, מכללת תל חי, מובמנט, אלעד תוכנה, בינת תקשורת, התאחדות התעשיינים, אלון אולמן, אלון גל, אלן קאר וחברות עסקיות אחרות. מעניין אותך לשמוע איך אנהל את הוובינר שלך שיהיה מוצלח? פנה לקבלת הצעה לליווי הוובינר שלך
נגישות