Anàlisi funcional i de seguretat d’eines per a videoconferència: quines són més segures?


El Departament de Polítiques Digitals i Administració Pública ha donat a conèixer un estudi comparatiu de les característiques funcionals i de seguretat de diverses eines de videoconferència existents, amb l’objectiu de facilitar a les usuàries i usuaris particulars i professionals l’elecció d’aquelles que més s’adeqüin a les seves necessitats.

L’anàlisi ha estat elaborat per l’Agència de Ciberseguretat de Catalunya jo la Fundació i2CAT amb la voluntat de donar resposta al creixement en l’ús d’aplicacions de videoconferència per part de les usuàries i usuaris arran de la situació de pandèmia i servir d’orientació a l’hora d’escollir-les i fer-les servir d’una forma segura.

Una dada molt destacable és el notable increment del nombre de participants diaris en reunions de Zoom, de 10 milions el desembre del 2019 a 300 milions l’abril-maig del 2020, o de Teams, el qual n’ha comptabilitzat uns 200 milions amb un increment del 70% d’usuaris registrats.

L’estudi examina dotze solucions de videoconferència entre les quals hi ha Facebook Messenger, Instagram, Skype, WhatsApp, Cisco Webex, Google Meet, GoToMeeting, Microsoft Teams o Zoom.

Li informa ‘Anàlisi funcional i de seguretat d’eines per a videoconferència’ pretén ser un punt de partida per entendre les diferències i característiques de cadascuna de les plataformes analitzades, a més d’oferir bones pràctiques d’ús i de seguretat que poden servir a la ciutadania, empreses i organitzacions per decidir quin proveïdor és el més adient per a cada cas.

Val a dir que moltes de les eines analitzades són privatives i, per tant, s’emmarquen dins d’una lògica capitalista on aspectes com el benefici que pot reportar la monetització de les dades de les persones usuàries confronta amb la màxima de la seguretat digital. Si volem protegir les nostres dades paga la pena que ens plantegem l’ús d’eines de codi lliure, les quals, parteixen d’un codi ètic per garantir al màxim la protecció de les nostres dades. Alguns exemples són: jitsi, botó bigblue, linphone, NextCloudTalk jo OpenVidu, entre d’altres.

A continuació es mostren les característiques que, en matèria de ciberseguretat i privacitat, tenen les diferents aplicacions de videoconferència analitzades:

Descripció de les característiques de seguretat i privacitat de les aplicacions Font: Generalitat de Catalunya

Conceptes clau

A continuació esclarim alguns conceptes:

  • Xifratge e2e: és un xifratge d’extrem a extrem (e2e) pur, els equips terminals són els encarregats de fer el xifratge i el desxifratge de la comunicació de manera que s’evita que un tercer pugui intercedir-hi. El xifratge e2e es qualifica com a parcial quan només les dades en trànsit estan xifrades, o sigui, entre els usuaris i el proveïdor, però aquest darrer les desxifra per al processament intern en els seus servidors o infraestructura al núvol.

  • Control d’accés a la videoconferència: Un factor d’autenticació (1F) significa que l’accés a l’aplicació vindrà determinat per un usuari i una contrasenya. El risc d’aquesta opció és que, en cas de robatori de les credencials, un tercer podria utilitzar-les per fer un ús il·legítim del compte de l’usuari, podria accedir a la seva informació de contactes, convocar videoconferències en nom seu, etc. Dos factors d’autenticació (2F) significa que, a més de l’usuari i la contrasenya, hi ha la possibilitat d’habilitar altres factors per assegurar-se que només l’usuari legítim pot accedir a l’aplicació. Poden ser un control a través de la identificació del dispositiu o de la IP, la validació a través d’SMS, l’empremta digital, etc.

  • Privacitat: Les aplicacions de videoconferència ofertes als ciutadans de la UE han de complir amb el Reglament general de protecció de dades i, tot i que recopilen dades bàsiques per al seu funcionament, han de protegir les dades personals. No obstant això, d’acord amb la política de cada aplicació, les dades personals es poden utilitzar per a finalitats que van més enllà de la millora de l’aplicació, com per exemple els usos destinats al marxandatge, fet que pot comprometre la privadesa de l’usuari. Tenint present que moltes aplicacions són gratuïtes o disposen de versions sense cost, el proveïdor farà ús de les dades obtingudes dels seus usuaris per a l’obtenció d’un benefici comercial. La privacitat és considera moderada, si es fa ús de les dades personals i la navegació de l’usuari per a finalitats comercials o de màrqueting, tot i que esdevé excessivament complex determinar en quin grau. La privacitat es considera alta, si es fa un ús exclusiu de les dades personals per a la millora de l’aplicació i l’experiència de l’usuari.

  • Estàndards i certificació: En l’àmbit de la ciberseguretat hi ha diferents estàndards i certificacions mitjançant les quals una tercera part garanteix que un proveïdor de solucions TIC compleix uns determinats requisits. El fet d’estar alineat amb auditories que ho validin garanteix que els operadors de les aplicacions de videoconferència fan ús d’unes bones pràctiques en matèria de ciberseguretat.

A: Service Organization Controls (SOC) 1 i/o 2 i/o 3; certificacions relatives als processos i pràctiques de seguretat, protecció i privacitat en les plataformes i centres de dades.

B: ISO 27001; certificació relativa a les millors pràctiques i controls de seguretat en l’administració de sistemes d’informació.

C: ISO 27017; certificació amb controls i guies per a la protecció dels serveis en entorns al núvol.

D: ISO 27018; certificació amb controls i guies de protecció d’informació personal identificable (PII) en entorns al núvol.

E: Cloud Computing Compliance Controls Catalogue (C5); estàndard auditable alemany que estableix una base de seguretat al núvol.

F: Cloud Security Alliance Compliance; certificació en matèria de seguretat i privacitat per a proveïdors de serveis al núvol.

G: Adhesió al Privacy Shield Framework; certificació del compliment dels requeriments de la UE en matèria de transferència i protecció de dades personals (per a empreses ubicades als EUA).

H: TRUSTe; certificació per a polítiques i pràctiques en matèria de privacitat i govern de les dades.

Jo: Esquema Nacional de Seguretat; certificació relativa a la política de seguretat en la utilització de mitjans electrònics per a l’Estat espanyol

Recomanacions d’ús

Per últim, i un cop coneixedores del grau de seguretat que ofereixen cadascuna de les aplicacions abans esmenades, és important seguir un seguit de recomanacions d’ús per garantir un ús òptim d’aquestes:

  • Analitza i escull: analitza les funcionalitats, els controls de seguretat i les polítiques de privacitat.

  • Actualitza’t: utilitza una versió actualitzada del programari que disposi de les darreres funcionalitats i actualitzacions de seguretat.

  • Invitacions de confiança: estigues alerta que el remitent sigui conegut i que l’enllaç que et subministra et dirigeix a un URL oficial. Una falsa invitació podria ser utilitzada per dirigir-te a un web de pesca de credencials (pesca (suplantació d’identitat) o convidar-te a descarregar un programari maliciós (programari maliciós).

  • Convida els i les assistents amb cautela: no comparteixis els enllaços de les reunions a través de les xarxes socials, convida’ls personalment i insta’ls a no compartir la informació.

  • Sense línia telefònica: algunes apps permeten la incorporació a la videoconferència mitjançant el marcatge d’un número de telèfon. Evita aquesta possibilitat ja que la informació en trànsit per aquest canal pot no estar xifrada.

  • Assistents: comprova els i les assistents incorporats a la videoconferència per evitar convidats no desitjats i bloqueja la reunió quan hi hagi totes les assistents incorporades. Expulsa participants no desitjats.

  • Grava amb preavís: informa a les i els assistents que la videoconferència serà gravada. Tanmateix, assegura’t que la gravació queda emmagatzemada en un lloc segur amb mesures de protecció adequades on només hi pugui accedir el personal autoritzat amb contrasenya.

  • Protegeix l’accés al teu compte: assegura’t que disposes d’una contrasenya segura i, sempre que sigui possible, habilita la doble autentificació.

  • Reunions amb contrasenya d’accés

  • Tothom identificat: permet que els i les usuàries introdueixin un identificador per facilitar-ne el reconeixement.

  • Amaga el fons: estableix un fons virtual o difuminat.

  • Restringeix qui pot compartir pantalla: estableix els permisos per evitar que els i les assistents puguin compartir la pantalla per defecte.

Per una sobirania tecnològica, mantinguem les nostres dades en entorns segurs.



Publicació original

Anàlisi funcional i de seguretat d’eines per a videoconferència: quines són més segures?
A %d bloguers els agrada això: