Zoom CEO Eric Yuan over volgende stappen in security-plan

Zoom is populair momenteel. Maar heeft ook een probleem met security en privacy. Op 1 april 2020 kondigde Zoom een 90-dagen plan aan om proactief de bevei­li­ging en priva­cy­be­scher­ming van het platform te monitoren en te versterken. Vandaag, 90 dagen later, geeft CEO Eric. S. Yuan een update over de status van deze ontwik­ke­lingen in een open verslag: 

“In de eerste maanden van 2020 heeft het Zoom-team de klok rond gewerkt om de enorme toestroom van nieuwe en verschil­lende soorten gebrui­kers op ons platform te onder­steunen. De plot­se­linge en toege­nomen vraag naar onze systemen was anders dan wat de meeste bedrijven ooit hebben meege­maakt. Op 1 april 2020 hebben we beloofd verbe­te­ringen aan te brengen op het gebied van veilig­heid en privacy.” 

Een statu­sup­date van elk van deze ontwikkelingen:

• De ontwik­ke­ling van nieuwe features die niets te maken hebben met security en privacy was tijdelijk stil­ge­legd. Op deze manier konden de beschik­bare engineers zich volledig focussen op de ontwik­ke­ling van security- en privacy features. Inmiddels zijn er meer dan 100 features gelan­ceerd die hieraan bijdragen. Daartoe behoren onder meer Zoom 5.0 en de overname van Keybase.

• Een diep­gra­vend onderzoek wordt uitge­voerd met externe experts en repre­sen­ta­tieve gebrui­kers, om de security en privacy van alle nieuwe use cases te waar­borgen. Op dit moment heeft Zoom gesproken met een groot aantal experts van diverse toon­aan­ge­vende (security)organisaties.

• Het opstellen van een trans­pa­ran­tie­rap­port omtrent data­ver­zoeken en gege­vens­de­ling. Zoom is druk bezig met het opstellen van een framework en aanpak voor dit rapport. Fiscale gegevens worden later dit jaar gedeeld in het Q2-rapport. Ook is er een gids gedeeld, waarin staat hoe Zoom omgaat met gege­vens­ver­zoeken van overheden. Daarnaast zijn ook de privacy policies vereenvoudigd/​aangepast.

• Het verbe­teren van het huidige programma rondom kwets­baar­heden. Er is een centrale repo­si­tory ontwik­keld, waar verschil­lende rappor­tages rondom kwets­baar­heden worden verzameld. Op diverse fronten zijn nieuwe mede­wer­kers aange­nomen om de security te waar­borgen. Ook wordt er gewerkt aan snellere respons­tijden in het geval van een incident.

• Het opzetten van een CISO-raad, in samen­wer­king met CISO’s uit de branche. Deze raad is inmiddels opgezet en bestaat uit 36 CISO’s uit verschil­lende branches.

• Uitvoeren van verschil­lende white box pene­tra­tie­tests om nog onont­dekte problemen te verkennen en adres­seren. Inmiddels hebben diverse partijen het Zoom-platform gereviewd. Zoom zal deze test blijven uitvoeren, als onderdeel van het solide security-programma van het bedrijf.

• Orga­ni­seren van een weke­lijkse webinar om privacy en security updates te geven. De webinar van deze week inbe­grepen, hebben er inmiddels 13 webinars plaatsgevonden.

De volledige bericht­ge­ving rondom deze 90 dagen-update en de huidige status is te lezen op de website van Zoom.