Zoom-palvelun tietoturva ja tietosuoja

Etäopetuksessa ja etäkokouksissa käytetyn Zoomin tietosuojasta on käyty viime päivinä vilkasta keskustelua mediassa. Kuopion koulutuspalvelut on omalta osaltaan käynyt läpi esitettyjä huomioita ja selvittänyt tietoturvan ja tietosuojan toteutumista Zoom -palvelussa.

Kuopion käyttämä Zoom -palvelu toteutetaan maksullisella Educational-lisenssillä. Palvelun tietoturva ja tietosuoja noudattavat sekä eurooppalaista että kansallista tietosuojalainsäädäntöä.

Tallenteet suositellaan tehtäväksi paikallisesti käyttäjän laitteelle ja ladattavaksi Kuopion KurssiTV -palveluun. Näin opetuksesta tai kokouksesta mahdollisesti tehdyt nauhoitteet eivät mene EU-alueen ulkopuolelle, vaan ne tallentuvat ensisijaisesti käyttäjän laitteelle ja siitä suosituksen mukaan Kuopion KurssiTV -palveluun Suomeen. Jos käyttäjän laitekapasiteetti on pieni, tallenteen voi tarvittaessa ladata Kuopion kaupungin hankkimaan rajoitettuun Zoomin pilvipalveluun, josta tallenteet poistuvat 30 päivän kuluessa.

Mediassa on ollut tieto, että Zoomin ”Attendee attention tracking” -ominaisuuden avulla kokouksen järjestäjä pystyy seuraamaan osallistujien aktiivisuutta. Ominaisuudella on voinut nähdä vain sen, onko neuvottelussa mukana olevilla Zoom aktiivisena vai ei. Zoom on poistanut tämän ominaisuuden palvelustaan 2.4.2020.

Mediassa on myös uutisoitu, että Zoomin iOS-sovellus (iPhone, iPad) välittää tietoja laitteesta Facebookille, eikä Zoom ole kertonut tietojen välittämisestä sovelluskaupassa julkaistuissa tietosuojaehdoissa. Tietojen välittäminen liittyi sovelluksen Facebook-kirjautumisominaisuuteen, joka välitti tietoja laitteesta Facebookille, kun Zoom-sovellus käynnistettiin tai sammutettiin. Zoom on poistanut iOS-sovelluksestaan tietoa välittäneen ominaisuuden ja julkaissut iOS-sovelluksesta päivitetyn version (4.6.9), joten mobiiliversio kannattaa päivittää. Zoom -sovelluksen kautta Facebookille on välittynyt ainoastaan teknisiä tietoja laitteista, joista ei voi suoraan tunnistaa yksittäistä käyttäjää.

Mediassa on noussut uudelleen esiin myös yksi vanha Zoomin haavoittuvuus, jonka avulla hyökkääjän on ollut mahdollista vakoilla Apple MacBook-käyttäjien kameroita tai mikrofoneja. Haavoittuvuus julkaistiin heinäkuussa 2019 ja Zoom on korjannut haavoittuvuuden jo heinäkuussa 2019. Sovelluksista kannattaakin käyttää aina uusinta ohjelmistoversiota, ja asentaa julkaistavat tietoturvapäivitykset viiveettä.

On lisäksi uutisoitu, että joihinkin Zoom-kokouksiin on saapunut kutsumattomia vieraita tai kokouksia on häiritty asiattomalla videomateriaalilla. Tämä on yleinen ominaisuus etäkokoussovelluksissa. Jos kokous järjestetään avoimena kokouksena, siihen voi osallistua kuka tahansa, jolla on kokouksen osallistumislinkki. Kokouksen järjestäjä voi rajata pääsyä kokoukseen esim. salasanan tai kirjautumisvaatimusten avulla ja määritellä, sallitaanko liittyminen kaikille vai vain rekisteröityneille käyttäjille. Olemme muuttaneet Kuopion Zoom-järjestelmää niin, että kokoukseen osallistujat ohjataan ensin odotustilaan, josta kokouksen järjestäjän on hyväksyttävät heidät kokoustilaan ennen kokouksen alkua.

Lisätietoa:

• Tiedote PDF-muodossa
• Zoom article: ”Official Statement EU GDPR Compliance”
• Zoom article: ”A Message to Our Users”