Select Page
In toenemende mate heb ik te maken met zakelijke contacten die geen gebruik van Zoom kunnen maken, omdat de beveiligingsafdeling dit sinds een week verbiedt vanwege vermeende veiligheidsproblemen. Recente sprak ik bij toeval zo’n IT deskundige van zo’n afdeling. Het gesprek ging als volgt:

 

  • Chi: Kun je mij vertellen waarom gebruik van Zoom sinds een week verboden is voor jullie medewerkers?
  • IT-deskundige: Omdat we veiligheidsissues hebben vastgesteld
  • Chi: Zijn die veiligheidsissues recent ontstaan of bestonden ze al?
  • IT-deskundige: Die bestonden waarschijnlijk al eerder
  • Chi: Mag ik dan concluderen dat jullie hiervoor jullie werk niet hebben gedaan?
  • IT-deskundige: Nou, zo eenvoudig ligt het niet
  • Chi: Als het hiervoor ook al onveilig was en het hele bedrijf gebruikte het, dan hebben jullie volgens mij jullie werk niet gedaan, maar waarom mag het nu niet gebruikt worden?
  • IT-deskundige(inmiddels geïrriteerd): Omdat het niet veilig is
  • Chi: Maar je weet toch dat er op 5 en op 7 april een beveiligingsupdate is geweest van Zoom?
  • IT-deskundige: Ja, maar daarna waren er nog steeds problemen zoals op die school
  • Chi: Je bedoelt Zoombombing meets porn op een online Havo klas?
  • IT-deskundige: Precies die
  • Chi: Dat was op 7 april, twee dagen nadat de wachtkamer in Zoom verplicht werd gesteld. Het probleem is dat de leerlingen, de link en het wachtwoord van de les verspreiden met het verzoek om de les te verstoren. Dat is geen technisch probleem, maar een sociaal probleem. Je kunt niet stellen dat de sloten van je huis niet deugen, als je de inbreker binnenlaat nadat hij netjes aangebeld heeft.
  • IT-deskundige: Oh,… maar er wordt ook illegaal opgenomen door Zoom?
  • Chi: Dat doet Zoom niet zelf, maar de host. Wat heel handig is, is dat elke deelnemer in zijn scherm ziet dat het opgenomen wordt. Dit in tegenstelling tot iemand die een dictafoon meeneemt in een bespreking en niet zegt dat ie iets opneemt. Fouilleren jullie die ook ofzo, want jullie zijn toch van de beveiligingsafdeling?
  • IT-deskundige: Nee, dat is niet ons werk, maar IT wel. En de streams zijn ook niet end-to-end encrypted.
  • Chi: End-to-end encryptie is lastig als je niet gelijktijdig start en toch zaken centraal wil doen, zoals video opnemen. Als je dus aanvullende centrale diensten hebt dan is end-to-end encryptie nagenoeg onmogelijk. Ken je videoconferencingsoftware die het wel hebben? Microsoft Teams iig niet. Dus welke wel?
  • IT-deskundige: Dat zou ik na moeten vragen (overigens gebruikt deze partij Microsoft Teams), maar er zijn nu regelmatig meldingen van lekken.
  • Chi: Dat geldt ook voor Google en Microsoft. Die houden daar openbare logboeken van bij, maar dat is kennelijk geen reden om die software te verbieden, begrijp ik
  • IT-deskundige: Jawel, maar dat is heel complex
  • Chi: Natuurlijk

 

Hoe oud was jij toen jij erachter kwam dat iedereen zomaar iets doet?

PS. Ik onderschat niet het belang van privacy en beveiliging, maar als de paniek vooral ingegeven wordt door media aandacht, dan is enige context wel prettig. Die heb ik middels mijn reeks domme vragen proberen te creeren. 

Inmiddels heeft Zoom haar beveiligingsteams opgetuigd met gezaghebbende zwaargewichten die ook de beveiliging doen voor partijen als Microsoft en Google, zoals het initieren van een bountyprogramma ter waarde van 500K dollars voor hackers die lekken kunnen vinden. Er zijn van de week weer twee lekken gevonden en inmiddels gedicht.