身為資安社群的一份子, 我想從個人及國安的角度, 分享一點看法.

資安其實就是風險管理的議題之一. 我們使用zoom, 就個人而言, 大多數的人都是選擇接受風險. 但站在國安的角度, 資安其實是國家安全議題, 所以從政府的角度, 若禁用Zoom或提醒民眾Zoom的可能風險, 是完全正確的作法.

Zoom的創辦人Eric Yuan是中國山東人, 因為早期加入WebEx(目前被Cisco併購), 所以後來在這個基礎上成立了Zoom.

Zoom主要是觸動歐美及台灣資安界最重視的隱私(Privacy)及遵循性(Compliance)問題. 以我們及歐美的角度, Zoom可能渉及嚴重的法律爭議. 例如:

1. Zoom的安裝程式被發現夾帶惡意軟體(malware)
2. Zoom不實宣傳端對端的保密功能(end-to-end encryption)
3. Zoom使用不符資安原則的自製加密演算法
4. Zoom會將部份加密金鑰轉由中國的伺服器派發(受中國法律管轄)

其它功能及安全問題就不細列舉, 有興趣可參考以下連結: https://www.tomsguide.com/news/zoom-security-privacy-woes

台灣的個資法已施行有年, 資通安全法亦於去年正式施行, 制度及實務面亦都能與歐美國家接軌. 再加上台灣能把資安列為國安的國家政策, 都值得國人感到放心及驕傲!

有人主張: “如果你有真正很機密的事情,我會勸你,別說Zoom,其他的視訊軟體通通都不該用。那才是真正的安全!” 這很顯然是對資安的一大誤解. 資安的目標並非無限上綱, 資安的保護措施也不是毫無上限. 這完全取決於我們對資安風險的可接受程度與實際的能力(如預算). 我們使用任何產品, 應當在”有意識到風險”的前提下, 儘量取得充足的資訊, 再作出如何因應風險的決定.

我們對某產品的信心(confidence)，讓我們作出使用它的決定，亦即接受某種程度的風險。而信心的來源，其一是產品的可信任程度(trustworthiness), 其二是公正第三方對產品的背書或保證(assurance). 為什麼 Cisco, Microsoft 的產品可能也有很多問題，但用戶卻相信他們比較安全，差異就在此。 Zoom要取得用戶的信任, 必須先讓自己變得可靠(trustworthy), 產品實作除了儘可能符合安全標準外, 若能取得第三方的驗證, 我想應該是可以獲得大家的信任及採用的.

雖然我個人也是常使用Zoom, 在個人層次也算是接受風險. 但我會持續觀注Zoom的資安改善情況. 若未來Zoom無明顯改善, 基於個人安全意識的總合就是國家的整體安全的角度. 我個人會選擇並建議他人使用其它安全的遠端視訊方案.

References

• ZOOM視訊會議遭行政院明令禁止！今日起全國各政府機關不應採用該方案
• 資安爭議大！中華電信停賣 Zoom 企業版
• Move Fast and Roll Your Own Crypto – A Quick Look at the Confidentiality of Zoom Meetings
• The Facts Around Zoom and Encryption for Meetings/Webinars
• Zoom Caught in Cybersecurity Debate — Here’s Everything You Need To Know
• This Zoom thing is a good time to discuss “threat models”
• 部分被盜取的 Zoom 用戶密碼與 ID 已經在暗網出售
• Dispelling Zoom Bugbears: What You Need to Know About the Latest Zoom Vulnerabilities