Hoppa till huvudinnehåll

Cybersäkerhetscentret: Tala inte om sekretessbelagda ärenden på videomöten – det finns säkerhetsrisker med videoplattformar

Kaffepaus på distans.
Kaffepaus på distans hos företaget Snellman. Här samtalar man om vardagliga saker och ökar gemenskapen på jobbet (arkivbild). Kaffepaus på distans. Bild: Ville Viitamäki / Yle distansarbete,snellman

Mer än en miljon finländare jobbar nu på distans och internettrafiken har ökat massvis på dagarna, eftersom det hålls stora mängder videomöten. Det många inte tänker på är IT-säkerheten. Det förekommer till exempel att obehöriga deltar i möten och att alltför känsliga saker behandlas.

Cybersäkerhetscentret vid transport- och kommunikationsverket Traficom betonar att det lönar sig att tänka efter vilken slags information man tar upp på videokonferenser.

Markus Lintula, specialsakkunnig på myndigheten, säger att företag gärna borde göra det här tydligt för de anställda.

– På det viset vet de exakt vad man kan tala om via videokonferens och vad man inte kan tala om där.

Lintula säger att sekretessbelagd eller känslig information, till exempel personers hälsouppgifter, inte är lämpligt att tala om via en videoplattform – särskilt inte om den upprätthålls av ett externt företag, vilket oftast är fallet.

Den finska staten har däremot ett eget konferenssystem som körs på statens egna servrar och inte på utländska molntjänster. Men den finns bara i knappt 2 000 mötesrum runtom i landet.

I praktiken använder statligt anställda därför också kommersiella videoplattformar, såsom Microsoft Teams och Google meet, framför allt nu när många jobbar hemifrån.

En person använder en laptop utomhus.
Nu på våren väljer många också att arbeta utomhus. En person använder en laptop utomhus. Bild: Silja Viitala / Yle COVID-19,coronavirus,Wuhan-coronavirus,undantagstillstånd,coronavirusutbrottet i Finland 2020,Helsingfors,pandemier,smittsamma sjukdomar,beredskapslag,epidemier,2020,distansarbete,bärbara datorer,man,avstånd,distansmöten,vår

Kritik mot Zoom

Videotjänsten Zoom, som har blivit populär bland många privatpersoner, avråder man däremot statligt anställda från att använda, av IT-säkerhetsskäl. Flera företag har också fattat liknande beslut.

– Att installera Zoom på de datorer vi hanterar för staten är förbjudet. Man får bara använda tjänsten via webbläsaren, om man måste göra det. Riskerna är mindre då, säger Antti Närhinsalo som är produktchef på Statens center för informations- och kommunikationsteknik Valtori.

Zoom har fått en hel del kritik i offentligheten för bristande IT-säkerhet. Bland annat har obehöriga alltför lätt kunnat ansluta sig till Zoom-videokonferenser. Tjänsten har också sänt data till Facebook och har ibland läckt folks namn och e-postadresser till utomstående.

Zoom kommenterar inte den finska statens och flera finländska företags inställning till videoplattformen.

Däremot säger videoplattformens chef för internationella ärenden, Abe Smith, i ett uttalande till Svenska Yle att flera aktörer har utvärderat tjänsten och känner sig trygga med att använda den fullt ut; till exempel en del statliga instanser, stora finansiella företag och universitet. Vilka aktörer det konkret handlar om och var i världen nämner han inte.

Kuvassa on tietokoneen näyttö, näytöllä on käynnissä etäkoulutus.
Videoplattformen Google meet kan se ut så här. Kuvassa on tietokoneen näyttö, näytöllä on käynnissä etäkoulutus. Bild: Silja Viitala / Yle coronavirus,virussjukdomar,COVID-19,smittsamma sjukdomar,virus,Wuhan-coronavirus,föregripande,pandemi,beredskapslag,undantagslagar,Undantagstillstånd,epidemier,coronavirusutbrottet i Finland 2020,Yle,avstånd,avstånd,distansarbete

Obehöriga kan titta in

Cybersäkerhetscentret uppmanar också folk att vara noggranna med att inte läcka den möteskod eller den länk som behövs för att gå med i ett videomöte.

Det är lätt hänt om man till exempel tar ett foto på videokonferensen och lägger ut det på sociala medier.

– Om länken läcker ut eller syns nånstans på ett allmänt ställe så kan vem som helst delta i mötet. Samma problem finns med nästan alla de här tjänsterna, säger Lintula.

Särskilt om det är ett möte med många deltagare så är det inte sagt att det märks att någon utomstående plötsligt är med på mötet.

De flesta videoplattformar erbjuder ändå en möjlighet att skydda ett videomöte med ett lösenord vid behov eller så kan den som skapat mötet manuellt godkänna varje deltagare.

Svenskspråkig skola fick oväntat besök

För drygt två veckor sedan råkade till exempel tredjeklassare i den svenskspråkiga Hoplaxskolan i Helsingfors ut för att två obehöriga personer kom med på en finskalektion via videoplattformen Google meet, kort innan lektionen skulle börja.

Då hade flera elever redan anslutit sig till lektionen och väntade på läraren.

De obehöriga var elever från en annan skola och de sade oförskämdheter på finska och skrev olämplig text i chatten.

En förälder märkte det här ganska snabbt, ringde en ansvarig vid skolan och bad Hoplaxskolans elever att genast gå ut ur videokonferensen.

De utomstående hade kunnat komma med för att de hade fått tag på länken till videomötet, eller gissat sig till det eftersom mötet hade ett så lätt namn.

Rektor Pia Silvander berättar för Svenska Yle att skolan sedan dess har övergått till att använda mer komplicerade mötesnamn för att minska den här risken.

Inte fullständigt krypterat

En svaghet är också att videomöten med flera deltagare i praktiken inte kan vara helt och hållet krypterade. Så kallad ändpunktskryptering (på engelska: end-to-end-kryptering) där trafiken är krypterad hela vägen går nämligen inte så lätt att tillämpa då.

– Den är ju ganska svår att skapa, att få och fungera i videokonferenser med större mängder människor som är med där. Mellan två enstaka personer så är det helt möjligt med sådan här kryptering, men när man börjar ha 10, 20 eller 50 personer i samma konferenser så då börjar det bli ganska komplicerat, säger Lintula.

Informationssäkerhetsexperten Markus Lintula
Markus Lintula på Cybersäkerhetscentret (arkivbild). Informationssäkerhetsexperten Markus Lintula Bild: Yle/Niklas Fagerström porträtt,markus lintula

Trafiken är oftast krypterad mellan en enskild användare och den server som en videotjänst körs på, men inte längre än så.

Det innebär att det finns en viss risk att företag som upprätthåller videoplattformen kan avlyssna mötena, antingen självständigt eller till exempel på uppdrag av någon annan.

– Alla organisationer som använder sådana här så borde se på riskerna som har just att göra med att ifall någon annan part kan lyssna på diskussionerna, om det sedan är företaget självt eller en tredje part - till exempel en kriminell aktör eller en statlig myndighet i något annat land, kommenterar Lintula.

Han betonar ändå att risken för att en obehörig är med på ett möte via en läckt länk eller möteskod är betydligt större än risken att själva trafiken ska avlyssnas.

"Upp till varje företag att avgöra"

Markku Rajamäki som är företagssäkerhetsexpert på Finlands näringsliv EK bedömer i likhet med Cybersäkerhetscentret att vissa känsliga saker kan vara bäst att inte tala om via en videoplattform.

– Varje företag fattar sina egna beslut om hur stora risker man vill ta, och vilken viktig information som inte får hamna i fel händer, säger han.

Markku Rajamäki
Markku Rajamäki på Finlands näringsliv EK. Markku Rajamäki Bild: Marjo Koivumäki porträtt,Markku Rajamäki

Han tillägger att det ändå är en balansgång och att man inte borde göra företagsverksamheten för stel.

– Det är smidigt med videomöten så här i coronatider.

8.5.2020 kl. 10.51: Artikeln uppdaterades med information om incidenten vid Hoplaxskolan förra månaden.

Läs också