Wraz z wybuchem pandemii COVID-19 wiele rekrutacji przeniosło się do sfery online. By zdalnie porozmawiać z kandydatami do pracy, rekrutujący zaczęli chętnie wykorzystywać popularne oprogramowanie do obsługi wideokonferencji – Zoom. Czy jednak Zoom to narzędzie bezpieczne? Jakie zagrożenia niesie taka forma biznesowego spotkania?

Na pytanie, czy Zoom to narzędzie bezpieczne, nie sposób jednoznacznie odpowiedzieć: tak lub nie. Zasadniczo bowiem żadne narzędzie do funkcjonowania w sieci nie jest w 100 proc. bezpieczne. Każde ma jakieś luki i słabe strony. Pytanie tylko, kto pierwszy te słabości wykryje i jak je wykorzysta.

Jednak wątpliwości odnośnie do bezpieczeństwa Zoom nie są bezzasadne, bowiem po pierwsze, wraz z wybuchem pandemii z oprogramowania tego zaczęło korzystać wiele osób na świecie (co dobrze obrazował skok w przychodach Zoom za maj–lipiec 2020 roku, czyli wzrost o 350 proc.), a po drugie, w momencie gdy masowo korzystaliśmy z tego narzędzia, na jaw zaczęły wychodzić różne jego niedociągnięcia w zakresie bezpieczeństwa.

To, co najbardziej rzucało się w oczy i przeszkadzało użytkownikom platformy Zoom, to brak odpowiednich zabezpieczeń oprogramowania na ataki hakerskie polegające na włamywaniu się niepożądanych osób na prywatne i publiczne spotkania. Zjawisko to było tak powszechne, że doczekało się nawet swojej nazwy – zoombombing.

Na szczęście twórcy Zoom szybko zareagowali na problemy i wdrożyli nowe rozwiązania. Do najważniejszych należał nowy sposób szyfrowania.

Pełne szyfrowanie

Główne problemy z bezpieczeństwem na Zoom wynikały z niepełnego szyfrowania, jakie stosowano w oprogramowaniu. Szyfrowanie typu punkt – punkt (ang. Point-to-Point Encryption, P2PE) szyfrowało wymieniane przez użytkowników dane na… serwerze, natomiast zastosowane w następstwie zmian szyfrowanie kompleksowe (ang. End-to-End Encryption, E2EE) zaczęło szyfrować dane na urządzeniu nadawcy i otwierać je dopiero na urządzeniu odbiorcy.

Przy P2PE cyberprzestępcy mogli włamać się na serwer, ukraść przechowywane tam klucze szyfrowania i dołączyć fizycznie do spotkań, w których umawiały się osoby zaproszone lub podszywać się pod nie w wiadomościach.

W zoombombingu wyglądało to najczęściej tak, że włamywacze nie tylko po cichutku dołączali do spotkań, przyglądając się im czy podsłuchując, lecz także atakowali hałaśliwie i ordynarnie, poprzez wrzucanie na ekran pornograficznych obrazków czy wtrącanie swoich obscenicznych komentarzy audio.

Ale od drugiej połowy 2020 roku Zoom zaczął stosować szyfrowanie E2EE. Czym różni się ono od P2PE? Tym, że poza takimi danymi, jak identyfikatory użytkowników czy czas trwania konferencji, serwer Zoom nie przechwytuje innych danych, np. wiadomości przesyłanych na czacie, rozmów audio czy wideo ani udostępnianych w trakcie spotkania plików. Indywidualne klucze do zaszyfrowanych danych mają tylko nadawca i odbiorca, a szyfrowanie i odszyfrowywanie tych danych odbywa się na urządzeniach użytkowników, a nie poprzez serwer platformy. To oznacza, że nikt nie przejmie naszych danych podczas ich przesyłania (nawet serwis IT Zoom), niemniej zawsze istnieje ryzyko dotarcia do urządzeń, z których korzystamy.

Jak zadbać o bezpieczne spotkanie na Zoom?

Zoom wdrożył szereg narzędzi pozwalających użytkownikom zabezpieczyć się przed nieproszonymi gośćmi. Wymagają one jednak dobrego zapoznania się z funkcjami oprogramowania i stosowania środków ostrożności.

Organizując rozmowę kwalifikacyjną przez Zoom, zapewne użyjemy do tego standardowego ZoomMeetings (jest jeszcze ZoomWebinars i Wydarzenia Zoom, ale są one przeznaczone raczej do liczniejszych spotkań publicznych).

Pierwsza zasada, jakiej należy się trzymać, to: nie udostępniać linku do spotkania nikomu spoza ścisłego grona zainteresowanych. W przypadku rozmowy kwalifikacyjnej chodzi o to, by link nie wyszedł poza ścieżkę one to one, czyli rekrutujący – rekrutowany. Najczęstsze przypadki obecności niepożądanych osób na prywatnych spotkaniach wynikają właśnie z tego, że niechciany gość uzyskuje dostęp poprzez przejęcie linku do spotkania (z przejętego wcześniej konta pocztowego albo z mediów społecznościowych lub ze strony internetowej).

Druga zasada to: unikać używania osobistego identyfikatora spotkania (PMI, ang. Personal Meeting ID). Jak tłumaczy serwis Zoom – „PMI to w zasadzie jedno ciągłe spotkanie i lepiej, aby osoby postronne nie korzystały z tego identyfikatora po zakończeniu imprezy”. W miejsce PMI lepiej zastosować wygenerowany losowy identyfikator spotkania i wymagać od uczestników wpisania hasła wstępu na wydarzenie.

Trzecia zasada: jeśli w spotkaniu rekrutacyjnym uczestniczy więcej osób, warto, by organizator spotkania skorzystał z opcji poczekalni – wirtualnej strefy przejściowej, gdzie zaproszeni uczestnicy czekają na wpuszczenie przez gospodarza. Włączenie poczekalni pozwala gospodarzowi wpuszczać na spotkanie wyłącznie tych uczestników, których się spodziewa, a blokować niepożądanych.

Czwarta zasada: korzystaj z opcji zarządzania uczestnikami. Opcji tych jest sporo i przydają się, zwłaszcza gdy w spotkaniu uczestniczy wiele osób, niemniej i przy rozmowie kwalifikacyjnej 1:1 dobrze jest włączyć niektóre z nich. Na przykład:

  • Tylko zalogowani! Włączenie funkcji Allow only signed-in users to join pozwala dołączyć do spotkania wyłącznie zalogowanym uczestnikom.
  • Blokada spotkania. Gdy spotkanie się rozpocznie, włączenie Lock the meeting nie pozwala dołączyć do spotkania nowym uczestnikom, nawet jeśli mają oni identyfikator spotkania i hasło. Eliminuje to spóźnialskich, którzy mogą zakłócać przebieg wydarzenia innym uczestnikom, a także uniemożliwia wtargnięcie intruzom.
  • Uwierzytelnianie dwuskładnikowe. Set up your own two-factor authentication generuje losowy identyfikator spotkania podczas planowania wydarzenia oraz wymaganie wpisania hasła w celu dołączenia. Dane o spotkaniu możemy wtedy przesłać prywatnie odpowiednim uczestnikom.

Jeżeli natomiast zdarzy się, że na rozmowie pojawią się niepożądani goście, gospodarz spotkania może:

  • Usunąć niechcianych lub przeszkadzających uczestników. Może to zrobić bądź za pomocą ikony Security(Bezpieczeństwo), bądź za pomocą ikony Participants (Uczestnicy), gdzie wybiera opcję Remove (Usuń).
  • Wyłączyć wideo. Korzystając z opcji Disable video, prowadzący może zablokować niechciane osoby z włączoną kamerą.
  • Zawiesić działania uczestników. Wybór przez gospodarza opcji Suspend participant activities tymczasowo zatrzymuje wszystkie wideo, audio, rozmowy na spotkaniu, adnotacje, udostępnianie ekranu. Natomiast ponowne wybranie tej funkcji przywraca łączność.
  • Wyłączyć przesyłanie plików. Jeżeli nie chcemy, aby czat był bombardowany niechcianymi zdjęciami, GIF-ami, memami i innymi treściami, należy włączyć opcję: Turn off file transfer.
  • Wyłączyć adnotacje. Wybierając opcję Turn off annotation, jako gospodarze spotkania uniemożliwiamy innym pisanie na udostępnianym przez nas ekranie.

Piąta zasada: o ile nie jest to konieczne, nie zezwalaj użytkownikom na udostępnianie ekranu. Co prawda w trakcie rozmowy 1:1 i po zablokowaniu spotkania udostępnianie ekranu nie grozi raczej tym, że do naszej przestrzeni wedrze się intruz i zacznie wyświetlać na ekranie niepożądane treści, ale mimo wszystko lepiej włączyć tutaj opcję: Tylko prowadzący (Share Screen / Advanced Sharing Options / Who can share? Only host), która tę możliwość zapewnia wyłącznie gospodarzowi. Jeśli jednak w procesie rekrutacji jej włączenie okaże się konieczne, to tu porada dla kandydata do pracy – zadbaj o to, by na ekranie, z którego udostępniasz materiały, znalazły się wyłącznie te informacje (pliki, foldery, zdjęcia), które jesteś gotowy upublicznić.  

Szósta zasada: nagrywanie. Czy rekrutujący może nagrywać rozmowę i czy kandydat powinien godzić się na nagrywanie? W trakcie spotkania, jeśli nie było mowy o nagrywaniu go, warto sprawdzić, czy nie wyświetla nam się ikona: Recording, informująca, że rozmowa jest rejestrowana. Zasadniczo żadna ze stron nie może tego robić bez poinformowania o tym swojego rozmówcy i bez uzyskania od niego zgody na nagrywanie. Eksperci od HR twierdzą, że informacja o możliwości rejestrowania rozmów kwalifikacyjnych online powinna się znaleźć już na wstępie, czyli na etapie zamieszczania oferty pracy. Jeżeli jednak tak się nie stało, rekrutujący musi o chęci nagrywania spotkania poinformować kandydata i uzyskać na to jego wyraźne pozwolenie. Czy kandydat powinien się na to zgodzić? Czy może się czegoś obawiać? Tu należy podkreślić, że podmiot rekrutujący obowiązuje klauzula o ochronie danych osobowych (RODO). Zapis rozmowy podlega pod tę klauzulę. Pracodawca może wykorzystywać wideo ze spotkania rekrutacyjnego, podobnie jak i inne nasze osobiste dane, wyłącznie do celów rekrutacji na dane stanowisko i nigdzie indziej. A kiedy rekrutacja zostanie zakończona, a my nie zostaniemy zatrudnieni, zobowiązany jest do bezpiecznego zniszczenia całej dokumentacji o nas.

Siódma zasada: jeśli istnieje taka możliwość, to łącz się z Zoom nie z aplikacji, lecz z przeglądarki internetowej. Wersja internetowa nie wymaga udzielenia dostępu do aż tylu uprawnień, co instalowana na urządzeniu aplikacja, więc jest mniejsze ryzyko, że ktoś uzyska wgląd w Twoje prywatne dane znajdujące się na urządzeniu, z którego się łączysz. Jeśli jednak wymagane jest połączenie przez aplikację, pobierz ją ze sprawdzonego źródła — zoom.us — i w miarę możliwości zainstaluj na takim urządzeniu, na którym przechowujesz jak najmniej prywatnych informacji.

Ostrożnie, lecz bez paranoi

Jak już zaznaczyliśmy na wstępie, jeśli jakieś wydarzenie rozgrywa się w sieci, nie można mieć gwarancji bezpieczeństwa. Jeśli informacje, jakimi dysponujemy, są na tyle ważne i poufne, że dostęp do nich powinny mieć wyłącznie wysoce uprawnione osoby, wówczas najlepiej trzymać te dane z dala od środowiska internetowego.

Rzeczywistość jednak coraz mocniej wymaga od nas do funkcjonowania w świecie wirtualnym. Ma to swoje zalety (m.in. możliwość spotkania się w jednej przestrzeni i w tym samym czasie różnych osób zlokalizowanych w różnych miejscach) i wady (m.in. bezpieczeństwo, rozproszenie uwagi, ograniczony dostęp do niewerbalnych sygnałów wysyłanych przez uczestników rozmowy). Tak czy inaczej warto w tych stosunkowo nowych warunkach uczyć się mądrze i bezpiecznie poruszać. Ostrożnie, rozsądnie, ale bez paniki.

Marek Baranowski
Projekt graficzny: Katarzyna Puciłowska