Агентство национальной безопасности (АНБ) опубликовало рекомендации по выбору платформ для видеоконференцсвязи из существующих решений. Программное обеспечение рассматривается по нескольким ключевым критериям:
- наличие сквозного шифрования,
- использование сильных и хорошо известных алгоритмов шифрования,
- наличие мультифакторной аутентификации,
- наличие возможности контролировать подключение участников к конференции,
- наличие возможности полного удаления своих данных с ресурсов сервиса,
- политика сервиса относительно выдачи информации о пользователях сторонним агентам,
- использование открытого или закрытого кода в приложении,
- наличие у сервиса полученных ранее сертификатов на соответствие каким-либо регуляторным требованиям или разработка сервиса по заказу правительственной организации.
Буквенные обозначения: (a) текстовый чат, (b) голосовая конференция, © видеоконференция, (d) передача файлов, (e) разделение экрана.
АНБ также дало общие рекомендации по использованию сервисов ВКС:
- устанавливать ПО только из достоверных источников;
- убедиться, что шифрование включено, иногда оно требует явного включения, стоит убедиться, что в браузерном ПО используется HTTPS;
- использовать максимально строгие настройки безопасности для подключения к встрече и отправки приглашения;
- самостоятельно контролировать отправку файлов только по разрешенному списку сотрудников;
- убедиться, что во время конфиденциальной конференции рядом нет людей, слышимость не допускает прослушки на расстоянии, нет устройств звонков и других вероятных микрофонов и диктофонов, включая устройства IoT.
- Ограничьте набор используемых в компании для связи программных средств для снижения поверхности атаки и количества уязвимостей. Дайте утвержденный рекомендательный набор для всех сотрудников, причем полезно будет предоставить непосредственно проверенные дистрибутивы ПО, чтобы сотрудникам не пришлось искать его самостоятельно. По возможности используйте централизованные средства, в которых ваши аналитики ИБ могут применить и контролировать настройки безопасности. Проследите, чтобы пользователи регулярно и своевременно обновляли ПО.
- Рекомендуйте пользователям работать с ПО не в режиме «администратора» в системе и использовать отдельную учетную запись с правами пользователя, а также в целом использовать в системах минимально необходимый набор прав и разрешений. В современной версии ОС Windows это выполняется рекомендацией не использовать «запуск от имени администратора» для ПО.
- Запретите пользователям использовать инструменты и функции совместной работы, которые могут обеспечить удаленное администрирование (эта функция может быть не явно обозначена в рекламе ПО).
- Донесите до сотрудников необходимость самостоятельного ответственного контроля за рабочим процессом и используемыми ими и передаваемыми третьим лицам документами.
- Запретите сотрудникам использовать открытые встречи, рекомендуйте осознанно контролировать список участников, требовать использование личных идентификаторов и парольной защиты, механизмов подтверждения пользователей («waiting rooms»), ограничить функции обмена экранами, контролировать микрофон. Ссылки на встречу рекомендуется передавать через корпоративные средства связи и отдельно от пароля для подключения. А также продумать план отключения встречи и ответственных за него в случае нарушения ее целостности и подключения нелегитимных пользователей.
- Рекомендуйте сохранять записи сеансов локально, а не в облачных сервисах, при этом изменять названия, предлагаемые по умолчанию. При использовании функции разделения экрана рекомендуйте отслеживать, чтобы не были запущены дополнительные окна, где может быть видна конфиденциальная информация, которой не планировалось делиться.
- При подключении к «чужим» сеансам видеоконференцсвязи рекомендуйте использовать Web-браузерное ПО ВКС без необходимости инсталляции агентов. Рекомендуйте проверять полный путь ссылки на ВКС или инсталляционный пакет, проверять скачанные пакеты на Virustotal перед установкой, если возможно – избегать установок.
- Запретите использовать рабочие e-mail при использовании открытых публичных сервисов ВКС, не относящихся к рабочему процессу. Это может спровоцировать атаку BEC.
- Обращайте внимание на ваше окружение во время ВКС, на стенах не должно быть документов или фраз, фотографий и т.д. Контролируйте слышимость, отсутствие людей, не допущенных к информации, в помещении, средств записи, включая «умные колонки», камеры и сенсоры, другие устройства «умного дома». Лучше использовать наушники и микрофоны, размещенные близко к говорящему, чтобы не приходилось повышать голос.
- Рекомендуйте следить за состоянием домашней сети и роутера, обновлять, закрывать Wi-Fi-сети и использовать шифрование (WPA2, WPA3).
