Page tree
Skip to end of metadata
Go to start of metadata

Päivitetty ti 14.4.2020 klo 12.03.

Zoom on saanut paljon huomiota viime aikoina kansainvälisessä mediassa korona-kriisin myötä laajasti käytettynä palveluna. CSC:n asiakkaille tarjoama Funet Miitti-palvelu on toteutettu hyödyntäen Zoom-videoneuvotteluratkaisua.

Tälle sivulle on koottu vastauksia usein kysyttyihin kysymyksiin Funet Miitti-palvelun osalta. 

Yhteenveto

  • CSC:n Funet Miitti (Zoom)-palvelu on useiden korkeakoulujen käytössä Suomessa. Palvelu on toteutettu yhteispohjoismaisesti yhteistyössä NORDUnetin kanssa, eikä ole osa julkisesti saatavilla olevaa Zoom-palvelua.
  • NORDUnetin tarjoama Zoom-palvelu toimii kokonaisuudessaan EU:ssa. Kaikki video- ja ääniliikenne välitetään NORDUnetin omaan käyttöön varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa. Palvelusta on sovittu NORDUnetin ja Zoomin kanssa huomioiden eurooppalaisen tietotuojasääntelyn vaatimukset. Lisätietoja löytyy Funet Miitti -palvelun palvelukuvauksesta.
  • CSC ja NORDUnet seuraavat aktiivisesti palveluun liittyvää tietoturvatilannetta. Suhtaudumme tilanteeseen vakavasti.
  • Pyrimme omalla toiminnallamme ja ohjeistuksella avustamaan palvelun turvallisessa käytössä. Kuten muissakin sovelluksissa, on myös tärkeää käyttää uusinta ohjelmistoversiota, jossa on uusimmat tietoturvakorjaukset.
  • Vinkkejä Zoomin turvalliseen käyttöön 

(info) Lisätietoja NORDUnetin tarjoaman Zoomin tietoturva- ja tietosuoja-asioista on luettavissa englanniksi täällä.


Tietoa tietoturva- ja tietosuoja-asioista

Mistä tiedän, kenen tarjoamaa Zoom-palvelua esimerkiksi minun korkeakouluni käyttää?

  • Tarkemmat tiedot käytetystä Zoom-palvelusta saat oman organisaatiosi kautta. 

Kirjautuminen Funet Miitti (Zoom) -palveluun

  • Funet Miitti (Zoom) palvelun käyttäjille suositellaan kirjautumistavaksi Single Sign-On (SSO) -vaihtoehtoa. 

Tietoliikenteen salaus 

  • Kaikki Zoomissa tapahtuva tietoliikenne on salattu palvelimen ja osallistujien välillä. 
  • Kaikki Funet Miitti (Zoom)-palvelun kokousmateriaali välitetään osallistujien välillä NORDUnetin käyttöön varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa.
  • Päivitys 3.4. klo 11.20: Zoom on julkaissut kuvauksen siitä miten salausta käytetään Zoom-kokouksessa: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

Zoom-kokousten tallentaminen 

  • Zoom-kokouksen järjestäjä (host) tai osallistuja, jolle on erikseen annettu lupa kokouksen tallentamiseen, voi tehdä tallenteen omalle laitteelleen.
  • Jos kokous tallennetaan, kokouksen osallistujille ilmoitetaan automaattisesti symbolilla kokousikkunassa ja osallistujaluettelossa.
  • Hyvien etätyöskentelytapojen mukaisesti osallistujille on hyvä ilmoittaa tallentamisesta etukäteen tai kokouksen aluksi. 
  • NORDUnetin Zoom-palveluympäristössä ei käytetä Zoomin pilvitallennusta, eikä Zoomilla ei ole pääsyä kokousten videoihin tai ääneen. 

Zoomin huomionseurana eli attendee attention tracking -toiminto?

  • Zoomissa on olemassa attendee attention tracking -toiminto, joka mahdollistaa, että kokouksen aloittanut henkilö pystyy seuraamaan, onko muilla kokouksen osallistujilla sovelluksen ikkuna aktiivisena, silloin kun ruutua jaetaan. Tämä toiminto on organisaation pääkäyttäjän valittavissa järjestelmässä.
  • NORDUnetin Zoomissa ominaisuus on oletuksena päällä.
  • CSC on suosittanut pääkäyttäjiä kytkemään attendee attention tracking -toiminnon pois.
  • Päivitys to 9.4.2020 klo 11.20: Zoom on poistanut attendee attention tracking-ominaisuuden kokonaan pois käytöstä: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Tietojen välitys Zoomin iOS-sovelluksessa 

  • Median kautta 25.3. tuli tietoon, että Zoomin iOS-sovellus (iPhone, iPad) välittää tietoja laitteesta Facebookille, eikä Zoom ollut kertonut tietojen välittämisestä sovelluksen sovelluskaupassa julkaistuissa tietosuojaehdoissa. Tietojen välittäminen liittyi sovelluksen Facebook-kirjautumisominaisuuteen (Facebook SDK), joka välitti tietoja laitteesta Facebookille kun Zoom-sovellus käynnistettiin tai sammutettiin.
  • Zoom on poistanut iOS-sovelluksestaan tietoa välittäneen Facebook SDK:n. Zoom on julkaissut perjantaina 27.3. päivitetyn version (4.6.9) iOS-sovelluksesta, jonka suosittelemme asentamaan.
  • Zoom-sovelluksen Facebookille välittämät tiedot sisälsivät teknisiä tietoja käytetystä laitteesta ja muita tietoja joista ei voi suoraan tunnistaa yksittäistä henkilöä. Lisätietoja

Kesällä 2019 julkaistu haavoittuvuus, joka mahdollisti hyökkäyksen macOS-käyttäjien kameroihin ja mikrofoneihin

  • Mediassa on noussut uudelleen esiin myös eräs vanha Zoomin haavoittuvuus, jonka avulla hyökkääjän on ollut mahdollista vakoilla Apple MacBook-käyttäjien kameroita tai mikrofoneja. Haavoittuvuus julkaistiin heinäkuussa 2019.
  • Haavoittuvuus on korjattu Zoom-ohjelmiston macOS-versioon 9.7.2019. 
  • Suosittelemme käyttämään aina uusinta ohjelmistoversiota, jossa on ajantasaiset tietoturvakorjaukset.

Zoomin haavoittuvuus koskien chat-linkkejä

  • Zoom-ohjelmistossa on julkaistu haavoittuvuus, jonka avulla samaan kokoukseen osallistuva hyökkääjä pystyy chat-linkin avulla saamaan haltuunsa Windows-käyttäjätunnuksia. Havoittuvuuden hyödyntäminen vaatii sen, että käyttäjä klikkaa chatissa olevaa linkkiä.
  • Päivitys 3.4. klo 8.15: Zoom on julkaissut eilen 2.4. päivitetyn version Zoomin Windows-sovelluksesta (versio 4.6.9), joka korjaa edellä kuvatun vian. Suosittelemme asentamaan päivitetyn sovellusversion viiveettä.
  • Suosittelemme edelleen, että tuntemattomia linkkejä ei tulisi avata chat-keskustelussa, kuten muissakin chat-palveluissa.

Miten Zoom on reagoinut julkisuudessa esillä olleisiin tietoturva- ja tietosuojaongelmiin?

Onko Zoomissa mahdollista tehdä geoblokkausta ts. esimerkiksi rajata kokouksen osallistujat Suomeen?

Zoom-kokouksen linkissä oleva osoite päättyy .us. Tarkoittaako tämä, että palvelu sijaitsee Yhdysvalloissa?

  • Internet-nimen pääteosa ei määrittele palvelun sijaintia. Esimerkiksi .fi-päätteinen palvelin voisi hyvin sijaita Suomen ulkopuolella.
  • Kuten NORDUnet on kertonut, kaikki Funet Miitti-palvelun henkilötiedot sijaitsevat EU:ssa. Kaikki kokousten video- ja ääniliikenne välitetään NORDUnetin omaan käyttöön varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa. Lisätietoja löytyy Funet Miitti -palvelun palvelukuvauksesta.