Universitetet utreder säkerhetsrisker med Zoom

- in Nyheter

Artikeln har uppdaterats*

Coronaviruset har lett till en omfattande omstrukturering från socialt till digitalt. Lunds universitet använder Zoom, en molnbaserad IT-plattform för digitala möten, för att möjliggöra denna omställning. Larm om säkerhetsrisker i programmet gör att LU nu genomför en juridisk utredning om Zoom. 

Zooms framgångar i coronavirusets spår har kantats av skandaler om säkerhetsrisker vilket har resulterat i att många länders regeringar och företag helt har förbjudit användningen av Zoom. Säkerhetsriskerna är av två slag med varierande allvarlighetsgrad. Den första typen av risk innebär att oinbjudna kan gå in i ett möte, vilket kallas “Zoom-bombning”. Den andra risken i Zoom är att ett möte kan hackas och avlyssnas.

För att Zoom-bomba ett möte behövs bara en enda möteslänk. Om sifferkombinationen i denna länk, ID-numret för det specifika “Zoom-rummet”, modifieras kan nya ID-nummer ge obehöriga tillgång till möten som de aldrig bjudits in till. Denna risk är dock relativt lätt att skydda sig mot, förklarar John Westerlund, IT-direktör vid sektionen LDC (Lunds datacentral).
– Det är den här metoden som blivit känd som “Zoom-bombning” och den går det relativt lätt att skydda sig mot. Avdelningen för högskolepedagogisk utveckling, AHU, har mycket bra tips kring detta.

AHU har tagit fram riktlinjer för hur man bäst kan skydda sig mot “Zoom-bombning”. Riktlinjerna innefattar bland annat att sätta ett lösenord på mötet.

Den 20 april blev paneldiskussionen “Activism within Academia”, organiserad av studenterna Wilhelm Wanecek och Josefine Henman samt organisationerna IIIEE och Intersection Lund, utsatt för en “Zoom-bombning”.
– Ungefär 25 minuter in i evenemanget började en av de anonyma åskådarna i Zoom dela sin skärm och därigenom visa ett flertal skärrande filmklipp på övergrepp. Vi slängde ut denna så fort som möjligt, och kunde återuppta diskussionen, men incidenten påverkade såklart resten av samtalet, berättar Wilhelm Wanecek. 

Händelsen har nu polisanmälts och säkerhetsåtgärder kommer implementeras i framtiden.
– För framtida möten finns det många fler säkerhetsåtgärder man kan ta, som att skicka ut möteslänken bara precis innan mötet börjar, att verifiera användare via kamera, med mera. En lärdom är alltså att tänka igenom säkerhetsaspekter av online-seminarier både en och två gånger, säger Wilhelm Wanecek. 

I mitten av april rapporterade Uppsalas studenttidning Ergo om en liknande, jämförelsevis dock mindre allvarlig, händelse vid Uppsala universitet där en person iklädd banandräkt plötsligt dök upp under ett juridikseminarium. Veronika Berglund vid Uppsala Universitets säkerhetsavdelning förklarar det som en eventuell konsekvens av att man inte följt säkerhetsinstruktionerna.
– Övergången från salsundervisning till distansundervisning, med hjälp av Zoom, var mycket snabb och har ställt nya krav på lärare och studenter. IT-stödet har haft en del användare som inte helt tagit till sig instruktionerna om hur man ska boka och förmedla möten i Zoom, med aktivering av väntrum, krav på inloggning, användning av lösenord samt kontroll av att bara de som förväntas deltaga finns i mötesrummet, säger Veronika Berglund. 

Uppsala universitet har sedan tidigare gått ut med rekommendationer om att använda tjänsten Signal vid konfidentiella möten istället för Zoom. 

Risken för hackning och avlyssning handlar om en teoretisk möjlighet att hacka sig in i själva servern som lagrar datan från Zoom. Någon sådan hackning har än så länge inte upptäckts vid LU, vilket kan bero på den server som används. Vilken server man hamnar på beror på vilken version av Zoom man använder. Användare av Zoom via LU hamnar på nordiska servrar. Via gratisversionen av Zoom hamnar användaren dock på amerikanska servrar. John Westerlund bedömer därför det som mer osannolikt att någon kommer att hacka LU:s Zoom.
– Man måste värdera sannolikheterna mellan att någon skulle lägga resurser på att angripa nordiska Zoom mot att de lägger resurser på det stora Zoom där fler kommersiella hemligheter diskuteras, menar han.

Trots detta har AHU gått ut med en allmän rekommendation om att man inte bör diskutera privata och sekretessbelagda uppgifter på Zoom på grund av den teoretiska möjligheten till avlyssning.   

Universitetet har även startat undersökningar för att analysera säkerhetsriskerna.
– Det har genomförts en IT-säkerhetsanalys och det pågår en juridisk analys av användningen och eventuella begränsningar i användningen, säger John Westerlund. 

John Westerlund menar dock att företaget bakom Zoom anstränger sig för att förbättra tjänsten säkerhetsmässigt.
– Zoom har tidigare varit känt för att lägga större fokus på ny funktionalitet än att korrigera säkerhetsproblem. Detta har ändrat sig efter kritik och det kommer nästan dagligen nya versioner av Zooms klient så det är viktigt att alltid hålla den uppdaterad, säger han. 

Den 27 april lanserades en ny version av Zoom, kallad Zoom 5.0, som innehöll nyheter ämnade att förbättra säkerheten. Bland förändringarna fanns bland annat en funktion som ger möjlighet att rapportera användare som beter sig olämpligt. 

Trots många diskussioner och rapporter om säkerhetsrisker med Zoom fortsätter många att välja verktyget för digitala möten av flera skäl. Då Sveriges förenade studentkårer, SFS, hade sitt årliga möte i april hölls detta på Zoom. Simon Edström, vice ordförande på SFS, förklarar beslutet att använda sig av programmet.
– Zoom är dels det verktyg som lärosätena har upphandlat via SUNET, vilket gör att alla studenter vid svenska lärosäten har en Zoom-licens som klarar upp till 300 deltagare, och dels hade också flera av oss goda erfarenheter av att delta och arrangera större möten via Zoom. Flera funktioner finns dessutom i Zoom som inte finns på andra plattformar. 

Simon Edström förklarar att de var medvetna om säkerhetsriskerna och därför valde att införa särskilda säkerhetsåtgärder.
– Vi tänkte på säkerhetsriskerna översiktligt och valde därför att sätta ett lösenord på mötet som endast de anmälda och funktionärer fick. Vi hade även två Zoom-funktionärer som stämde av vilka som ville komma in i mötet och som var redo att ta bort obehöriga eller okända, säger han. 

Fakta

Zoom valdes i en gemensam nordisk upphandling av emötes-tjänster som det nordiska universitetsdatanäts-samarbetet NORDUnet genomförde. Därefter avropade svenska universitetsdatanätet SUNET, tjänsten för samtliga svenska lärosätes räkning, förklarar John Westerlund.

SUNET är ett datornätverk som kopplar samman Sveriges universitet och högskolor. NORDUnet är ett samnordiskt datanätverk som kopplar samman SUNET med andra nordiska datanätverk. 

 

*I en tidigare version stod att IIIEE var med och organiserade paneldiskussionen som blev hackat. Rätt uppgifter är att paneldiskussionen anordnades av Intersection Lund.