Page History

Päivitetty to 9ti 14.4.2020 klo 1112.4003.

Zoom on saanut paljon huomiota viime aikoina kansainvälisessä mediassa korona-kriisin myötä laajasti käytettynä palveluna. CSC:n asiakkaille tarjoama Funet Miitti-palvelu on toteutettu hyödyntäen Zoom-videoneuvotteluratkaisua.

Tälle sivulle on koottu vastauksia usein kysyttyihin kysymyksiin Funet Miitti-palvelun osalta. 

Yhteenveto

• CSC:n Funet Miitti (Zoom)-palvelu on useiden korkeakoulujen käytössä Suomessa. Palvelu on toteutettu yhteispohjoismaisesti yhteistyössä NORDUnetin kanssa, eikä ole osa julkisesti saatavilla olevaa Zoom-palvelua.
• NORDUnetin tarjoama Zoom-palvelu toimii kokonaisuudessaan EU:ssa, . Kaikki video- ja ääniliikenne välitetään NORDUnetin omaan käyttöön varatuissa palvelinympäristöissä. Palvelimet varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa. Palvelusta on sovittu NORDUnetin ja Zoomin kanssa huomioiden eurooppalaisen tietotuojasääntelyn vaatimukset. Lisätietoja löytyy Funet Miitti -palvelun palvelukuvauksesta.
• CSC ja NORDUnet seuraavat aktiivisesti palveluun liittyvää tietoturvatilannetta. Suhtaudumme tilanteeseen vakavasti.
• Pyrimme omalla toiminnallamme ja ohjeistuksella avustamaan palvelun turvallisessa käytössä. Kuten muissakin sovelluksissa, on myös tärkeää käyttää uusinta ohjelmistoversiota, jossa on uusimmat tietoturvakorjaukset.
• Vinkkejä Zoomin turvalliseen käyttöön 

 Lisätietoja NORDUnetin tarjoaman Zoomin tietoturva- ja tietosuoja-asioista on luettavissa englanniksi täällä.

Tietoa tietoturva- ja tietosuoja-asioista

Mistä tiedän, kenen tarjoamaa Zoom-palvelua esimerkiksi minun korkeakouluni käyttää?

• Tarkemmat tiedot käytetystä Zoom-palvelusta saat oman organisaatiosi kautta. 

Kirjautuminen Funet Miitti (Zoom) -palveluun

• Funet Miitti (Zoom) palvelun käyttäjille suositellaan kirjautumistavaksi Single Sign-On (SSO) -vaihtoehtoa. 

Tietoliikenteen salaus 

• Kaikki Zoomissa tapahtuva tietoliikenne on salattu palvelimen ja osallistujien välillä. 
• Kaikki Funet Miitti (Zoom)-palvelun kokousmateriaali välitetään osallistujien välillä NORDUnetin käyttöön varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa.
• Päivitys 3.4. klo 11.20: Zoom on julkaissut kuvauksen siitä miten salausta käytetään Zoom-kokouksessa: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

Zoom-kokousten tallentaminen 

• Zoom-kokouksen järjestäjä (host) tai osallistuja, jolle on erikseen annettu lupa kokouksen tallentamiseen, voi tehdä tallenteen omalle laitteelleen.
• Jos kokous tallennetaan, kokouksen osallistujille ilmoitetaan automaattisesti symbolilla kokousikkunassa ja osallistujaluettelossa.
• Hyvien etätyöskentelytapojen mukaisesti osallistujille on hyvä ilmoittaa tallentamisesta etukäteen tai kokouksen aluksi. 

• NORDUnetin Zoom-palveluympäristössä ei käytetä Zoomin pilvitallennusta, eikä Zoomilla ei ole pääsyä kokousten videoihin tai ääneen. 

Zoomin huomionseurana eli attendee attention tracking -toiminto?

• Zoomissa on olemassa attendee attention tracking -toiminto, joka mahdollistaa, että kokouksen aloittanut henkilö pystyy seuraamaan, onko muilla kokouksen osallistujilla sovelluksen ikkuna aktiivisena, silloin kun ruutua jaetaan. Tämä toiminto on organisaation pääkäyttäjän valittavissa järjestelmässä.
• NORDUnetin Zoomissa ominaisuus on oletuksena päällä.
• CSC on suosittanut pääkäyttäjiä kytkemään attendee attention tracking -toiminnon pois.
• Päivitys to 9.4.2020 klo 11.20: Zoom on poistanut attendee attention tracking-ominaisuuden kokonaan pois käytöstä: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Tietojen välitys Zoomin iOS-sovelluksessa 

• Median kautta 25.3. tuli tietoon, että Zoomin iOS-sovellus (iPhone, iPad) välittää tietoja laitteesta Facebookille, eikä Zoom ollut kertonut tietojen välittämisestä sovelluksen sovelluskaupassa julkaistuissa tietosuojaehdoissa. Tietojen välittäminen liittyi sovelluksen Facebook-kirjautumisominaisuuteen (Facebook SDK), joka välitti tietoja laitteesta Facebookille kun Zoom-sovellus käynnistettiin tai sammutettiin.
• Zoom on poistanut iOS-sovelluksestaan tietoa välittäneen Facebook SDK:n. Zoom on julkaissut perjantaina 27.3. päivitetyn version (4.6.9) iOS-sovelluksesta, jonka suosittelemme asentamaan.
• Zoom-sovelluksen Facebookille välittämät tiedot sisälsivät teknisiä tietoja käytetystä laitteesta ja muita tietoja joista ei voi suoraan tunnistaa yksittäistä henkilöä. Lisätietoja

Kesällä 2019 julkaistu haavoittuvuus, joka mahdollisti hyökkäyksen macOS-käyttäjien kameroihin ja mikrofoneihin

• Mediassa on noussut uudelleen esiin myös eräs vanha Zoomin haavoittuvuus, jonka avulla hyökkääjän on ollut mahdollista vakoilla Apple MacBook-käyttäjien kameroita tai mikrofoneja. Haavoittuvuus julkaistiin heinäkuussa 2019.
• Haavoittuvuus on korjattu Zoom-ohjelmiston macOS-versioon 9.7.2019. 
• Suosittelemme käyttämään aina uusinta ohjelmistoversiota, jossa on ajantasaiset tietoturvakorjaukset.

Zoomin haavoittuvuus koskien chat-linkkejä

• Zoom-ohjelmistossa on julkaistu haavoittuvuus, jonka avulla samaan kokoukseen osallistuva hyökkääjä pystyy chat-linkin avulla saamaan haltuunsa Windows-käyttäjätunnuksia. Havoittuvuuden hyödyntäminen vaatii sen, että käyttäjä klikkaa chatissa olevaa linkkiä.
• Päivitys 3.4. klo 8.15: Zoom on julkaissut eilen 2.4. päivitetyn version Zoomin Windows-sovelluksesta (versio 4.6.9), joka korjaa edellä kuvatun vian. Suosittelemme asentamaan päivitetyn sovellusversion viiveettä.
• Suosittelemme edelleen, että tuntemattomia linkkejä ei tulisi avata chat-keskustelussa, kuten muissakin chat-palveluissa.

Miten Zoom on reagoinut julkisuudessa esillä olleisiin tietoturva- ja tietosuojaongelmiin?

• Zoom on viestinyt omista toimenpiteistään 1.4. sivulla: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Onko Zoomissa mahdollista tehdä geoblokkausta ts. esimerkiksi rajata kokouksen osallistujat Suomeen?

• Maantieteellinen rajaaminen ei ole mahdollista.
  
• Kokouksen osallistujia voi rajata useilla muilla tarjolla olevilla keinoilla. Katso Ohjeita Zoomin sujuvaan ja turvalliseen käyttöön

Zoom-kokouksen linkissä oleva osoite päättyy .us. Tarkoittaako tämä, että palvelu sijaitsee Yhdysvalloissa?

• Internet-nimen pääteosa ei määrittele palvelun sijaintia. Esimerkiksi .fi-päätteinen palvelin voisi hyvin sijaita Suomen ulkopuolella.
• Kuten NORDUnet on kertonut, kaikki Funet Miitti-palvelun henkilötiedot sijaitsevat EU:ssa. Kokoukset Kaikki kokousten video- ja ääniliikenne välitetään NORDUnetin omaan käyttöön varatuilla palvelimilla, jotka sijaitsevat Tanskassa ja Ruotsissa. Lisätietoja löytyy Funet Miitti -palvelun palvelukuvauksesta.