Zoom -palvelun tietoturva ja tietosuoja

Etäopetuksessa ja etäkokouksissa käytetyn Zoomin tietosuojasta on käyty viime päivinä vilkasta keskustelua mediassa.  Itä-Suomen yliopisto on omalta osaltaan käynyt läpi esitettyjä huomioita ja selvittänyt tietoturvan ja tietosuojan toteutumista Zoom -palvelussa.

UEFin käyttämä Zoom -palvelu toteutetaan CSC:n tarjoamana palveluna NORDUnetin kautta. Palvelu sijaitsee Ruotsissa ja sitä käytetään pohjoismaisissa opetus- ja tiedeyhteisöissä. Palvelun tietoturva ja tietosuoja noudattavat sekä eurooppalaista että kansallista tietosuojalainsäädäntöä.

CSC:n tarjoama Zoom-palvelu eroaa teknisesti ilmaiseksi saatavilla olevasta Zoom-palvelusta, jota tarjoaa Zoom Video Communications, Inc USA:ssa.

Mediassa olleet tiedot puhelinnumeroiden tai luottokorttitietojen välittymisestä eivät koske CSC:n tarjoaman palvelun käyttöä.

UEFissa käytössä olevassa ympäristössä on estetty Zoomin pilvitallennus. Opetuksesta tai kokouksesta mahdollisesti tehdyt nauhoitteet eivät siis ole menneet EU-alueen ulkopuolelle, vaan ne ovat tallentuneet käyttäjän laitteelle.

Mediassa on ollut tieto, että Zoomin Attendee attention tracking -ominaisuuden avulla kokouksen järjestäjä pystyy seuraamaan osallistujien aktiivisuutta. Ominaisuudella on voinut nähdä vain sen, onko neuvottelussa mukana olevilla Zoom aktiivisena vai ei. Tämä ominaisuus on UEFissa oletuksena ollut poissa päältä ja on nyt kokonaan estetty, jolloin kokouksen järjestäjäkään ei voi sitä aktivoida.

Mediassa on myös uutisoitu, että Zoomin iOS-sovellus (iPhone, iPad) välittää tietoja laitteesta Facebookille, eikä Zoom ole kertonut tietojen välittämisestä sovelluskaupassa julkaistuissa tietosuojaehdoissa. Tietojen välittäminen liittyi sovelluksen Facebook-kirjautumisominaisuuteen, joka välitti tietoja laitteesta Facebookille, kun Zoom-sovellus käynnistettiin tai sammutettiin. Zoom on poistanut iOS-sovelluksestaan tietoa välittäneen ominaisuuden ja julkaissut iOS-sovelluksesta päivitetyn version (4.6.9), joten mobiiliversio kannattaa päivittää. Zoom -sovelluksen kautta Facebookille on välittynyt ainoastaan teknisiä tietoja laitteista, joista ei voi suoraan tunnistaa yksittäistä käyttäjää.

Mediassa on noussut uudelleen esiin myös yksi vanha Zoomin haavoittuvuus, jonka avulla hyökkääjän on ollut mahdollista vakoilla Apple MacBook-käyttäjien kameroita tai mikrofoneja. Haavoittuvuus julkaistiin heinäkuussa 2019 ja Zoom on korjannut haavoittuvuuden jo heinäkuussa 2019. Sovelluksista kannattaakin käyttää aina uusinta ohjelmistoversiota, ja asentaa julkaistavat tietoturvapäivitykset viiveettä.

On lisäksi uutisoitu, että joihinkin Zoom-kokouksiin on saapunut kutsumattomia vieraita, tai kokouksia on häiritty asiattomalla videomateriaalilla. Tämä on yleinen ominaisuus etäkokoussovelluksissa. Jos kokous järjestetään avoimena kokouksena siihen voi osallistua kuka tahansa, jolla on kokouksen osallistumislinkki. Kokouksen järjestäjä voi rajata pääsyä kokoukseen esim. salasanan tai kirjautumisvaatimusten avulla ja määritellä sallitaanko liittyminen kaikille vai vain rekisteröityneille käyttäjille.

Jos sinulla kysyttävää Zoomin tietosuojasta, ota yhteyttä: servicedesk@uef.fi