Netto Het antwoord op al uw geldvragen

Wie gluurt mee met de videovergadering?

In horden directiekamers zijn de traditionele vergaderingen tegenwoordig vervangen door videoconferenties via Zoom, Slack, Teams of Skype. Maar is het eigenlijk wel een goed idee om uw intiemste bedrijfsgeheimen via dat soort kanalen te delen?
We videobellen erop los in deze coronatijden. ©REUTERS

De Taiwanese overheid, Google, het ruimtevaartbedrijf SpaceX en het onderwijsdepartement van de stad New York. Het regende de afgelopen dagen aankondigingen van bedrijven en instanties die verboden om nog gebruik te maken van de videodienst Zoom. Voor de uitbraak van Covid-19 had Zoom zowat 10 miljoen maandelijkse gebruikers. Tegenwoordig zijn dat er zo’n 200 miljoen. Maar aan het gebruik van de dienst zijn wel wat gevaren verbonden. Uit onderzoek van de universiteit van Toronto bleek bijvoorbeeld dat de encryptie van Zoom zwaar ondermaats was, waardoor gebruikers de kans liepen dat cybercriminelen hun gesprekken konden afluisteren. Veel verkeer van de Zoom-servers bleek ook via China te lopen. Ook 'Zoombombing' werd een geducht fenomeen: daarbij duiken in willekeurige videovergaderingen plots wildvreemden op die haatboodschappen, bedreigingen, scheldwoorden of porno beginnen te verspreiden.

Zoom heeft ondertussen beloofd zijn beveiliging op te krikken en zoombombing onmogelijk te maken. Maar, ook al bestaat er nog geen 'Teams-bombing', bij veel grotere tech-reuzen die dit soort diensten al langer aanbieden, is de situatie niet gigantisch veel beter, zegt beveiligingsexpert Jan Guldentops van BA Security. 'Als je voor dit soort videovergaderingen beroep doet op een derde partij om de verbinding op te zetten, moet je altijd op je hoede zijn', zegt hij. 'Ik weet het: het is geweldig gemakkelijk om snel een vergadering in Microsoft Teams of Google Hangouts op te zetten, want we hebben al jaren geleden onze ziel uitverkocht aan dat soort bedrijven. Maar qua privacy en respect voor consumentenrechten hebben ze toch geen al te fraaie reputatie. Hen blind vertrouwen of op hun woord geloven, daar zou ik toch voorzichtig mee zijn.'

Encrypteren

Veel valt en staat met de manier waarop bedrijven de videoverbindingen encrypteren, zegt Guldentops. En daar kiest bijvoorbeeld Microsoft voor 'in transit'-encryptie, terwijl de data onderweg is en niet voor 'end-to-end'-encryptie. Bij die laatste wordt de data al versleuteld op de machine van de zender zelf en kan alleen de ontvanger de boodschap terug 'ontsleutelen'. Nu moet je als cybercrimineel al van vrij goeden huize om dit soort encryptie te kraken, maar compleet onmogelijk is het dus niet.

Als je voor dit soort videovergaderingen beroep doet op een derde partij om de verbinding op te zetten, moet je altijd op je hoede zijn.
Jan Guldentops
BA Security

Zelf wijst Guldentops op programma’s die zo’n end-to-end-encryptie wel hebben ingebakken. Signal bijvoorbeeld, de favoriete chat- en bel-app van Edward Snowden. 'Bij Jitsi, dat ik zelf vaak gebruik, is dat ook mogelijk. Dat is trouwens een open bron-programma. Iedereen kan dus de broncode van de software inkijken en op zoek gaan naar fouten of zaken die niet koosjer zijn. Bovendien zijn er twee manieren om Jitsi te gebruiken. Ofwel verloopt dat via een derde partij, die dan de rol aannemen van een soort Microsoft of een Google. Je moet in die partij dan voldoende vertrouwen hebben dat ze je gesprekken niet meevolgen. Maar, en dat is nog interessanter, je kunt Jitsi ook volledig zelf hosten, op je eigen machines. In dat laatste geval heb je dus complete controle over hoe je de software opzet, hoe je het beveiligt, wie je toelaat en wat kan en niet kan. Zelf zet ik het programma bijvoorbeeld op een virtuele machine bij een cloud-aanbieder. Dat kost een paar tientallen euro’s per maand.'

Dat laatste lijkt inderdaad een ideaal scenario, maar bedrijven die dit willen opzetten, moeten daarvoor dus wel de kennis en de mankracht in huis hebben. Voor een multinational zal dat waarschijnlijk een stuk dichter binnen bereik liggen dan voor de KMO om de hoek. 'Dat is zo', zegt Guldentops. 'In ruil voor gebruiksgemak, betalen we met een stuk vertrouwen. En je moet dan maar hopen dat dat vertrouwen niet geschaad wordt. Zeker bij gratis videodiensten is dat zo, daar hebben we de controle helemaal weggegeven. Als iets gratis is, ben jij zelf het product, there is no such thing as a free lunch.'

Gezond verstand

Moeten we de commerciële aanbieders van videodiensten in de toekomst anders maar negeren? Zo ver wil de security-specialist het ook niet drijven. 'Ik denk vooral dat het gezond verstand moet primeren. Als je echt mission critical bedrijfsgeheimen wil bespreken, dan doe je dat best persoonlijk en in beperkte groep en niet met een videoconferentie met 15 mensen. Laat ook uitnodigingen voor sessies niet rondslingeren en ga er vertrouwelijk mee om, kijk na wie er allemaal in je sessie zit en meeluistert en deel natuurlijk geen confidentiële zaken als wachtwoorden in de chat of op het scherm. Zet je microfoon op stil als ondertussen een andere call binnenkrijgt en sluit je camera en microfoon goed af na je vergadering. Kijk ook altijd na of er een privacy statement is of duidelijke afspraken waarin wordt uitgelegd wat men allemaal logt, gebruikt en garandeert. Dat ontbrak vroeger ook wel eens bij publieke Jitsi-aanbieders als Praatbox.be of Belnet. Praatbox.be heeft het ondertussen opgelost, maar bij Belnet vind ik dat nog altijd niet terug.'

Als er al een les moet getrokken worden uit heel de hype van videovergaderen en telewerken van tegenwoordig, laat het dan deze zijn, zegt Guldentops: hoe dit soort systemen gebruikt worden en hoe je ze beveiligt, mag je niet alleen overlaten aan IT’ers. 'Technologie is tegenwoordig zo verweven met ons leven, iedereen moet daar bij stilstaan. Denk dus vooral zelf na.'

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud