身為資安社群的一份子, 我想從個人及國安的角度, 分享一點看法.
資安其實就是風險管理的議題之一. 我們使用zoom, 就個人而言, 大多數的人都是選擇接受風險. 但站在國安的角度, 資安其實是國家安全議題, 所以從政府的角度, 若禁用Zoom或提醒民眾Zoom的可能風險, 是完全正確的作法.
Zoom的創辦人Eric Yuan是中國山東人, 因為早期加入WebEx(目前被Cisco併購), 所以後來在這個基礎上成立了Zoom.
Zoom主要是觸動歐美及台灣資安界最重視的隱私(Privacy)及遵循性(Compliance)問題. 以我們及歐美的角度, Zoom可能渉及嚴重的法律爭議. 例如:
- Zoom的安裝程式被發現夾帶惡意軟體(malware)
- Zoom不實宣傳端對端的保密功能(end-to-end encryption)
- Zoom使用不符資安原則的自製加密演算法
- Zoom會將部份加密金鑰轉由中國的伺服器派發(受中國法律管轄)
其它功能及安全問題就不細列舉, 有興趣可參考以下連結: https://www.tomsguide.com/news/zoom-security-privacy-woes
台灣的個資法已施行有年, 資通安全法亦於去年正式施行, 制度及實務面亦都能與歐美國家接軌. 再加上台灣能把資安列為國安的國家政策, 都值得國人感到放心及驕傲!
有人主張: “如果你有真正很機密的事情,我會勸你,別說Zoom,其他的視訊軟體通通都不該用。那才是真正的安全!” 這很顯然是對資安的一大誤解. 資安的目標並非無限上綱, 資安的保護措施也不是毫無上限. 這完全取決於我們對資安風險的可接受程度與實際的能力(如預算). 我們使用任何產品, 應當在”有意識到風險”的前提下, 儘量取得充足的資訊, 再作出如何因應風險的決定.
我們對某產品的信心(confidence),讓我們作出使用它的決定,亦即接受某種程度的風險。而信心的來源,其一是產品的可信任程度(trustworthiness), 其二是公正第三方對產品的背書或保證(assurance). 為什麼 Cisco, Microsoft 的產品可能也有很多問題,但用戶卻相信他們比較安全,差異就在此。 Zoom要取得用戶的信任, 必須先讓自己變得可靠(trustworthy), 產品實作除了儘可能符合安全標準外, 若能取得第三方的驗證, 我想應該是可以獲得大家的信任及採用的.
雖然我個人也是常使用Zoom, 在個人層次也算是接受風險. 但我會持續觀注Zoom的資安改善情況. 若未來Zoom無明顯改善, 基於個人安全意識的總合就是國家的整體安全的角度. 我個人會選擇並建議他人使用其它安全的遠端視訊方案.
References
- ZOOM視訊會議遭行政院明令禁止!今日起全國各政府機關不應採用該方案
- 資安爭議大!中華電信停賣 Zoom 企業版
- Move Fast and Roll Your Own Crypto – A Quick Look at the Confidentiality of Zoom Meetings
- The Facts Around Zoom and Encryption for Meetings/Webinars
- Zoom Caught in Cybersecurity Debate — Here’s Everything You Need To Know
- This Zoom thing is a good time to discuss “threat models”
- 部分被盜取的 Zoom 用戶密碼與 ID 已經在暗網出售
- Dispelling Zoom Bugbears: What You Need to Know About the Latest Zoom Vulnerabilities