Koronavirüs sonrası kullanıcı çeşitliliği artarak, birçok özel işletmenin, okulların, kamu kurumlarının ve bireysel kullanıcıların da iletişim için tercih etmeye başladığı Zoom, eşi benzeri görülmemiş nitelikte, hızlı bir büyüme yaşadı. Artan talep ile büyük işletmelere odaklanan güvenlik ve gizlilik özelliklerinin herkese hitap etmesi için 1 Nisan’da 90 günlük bir plan açıklayan şirket, 1 Temmuz’da bu planın sonuna gelirken, yaşanan gelişmeler hakkında bir rapor paylaştı. Zoom CEO’su Eric S. Yuan’ın şirketin resmi blog sayfasında paylaştığı bu rapor ile 90 günlük plan ile kullanıcılara söz verilen 7 ana unsurdaki gelişmeler anlatılırken, Yuan, şirketin gelecekteki çalışmaları hakkında da bilgi verdi.
Zoom’a 3 ayda 100’den fazla yeni özellik eklendi
Zoom, 1 Nisan’da tüm mühendislik kaynaklarını güvenlik ve gizlilik problemlerine aktarmıştı. Şirket, üç aylık süreçte kullanıcılarına 100’den fazla özellik sundu. Bunlar arasında öne çıkanları aşağıda görebilirsiniz. Zom 5.0 sürümü ile, Ücretli ve ücretsiz tüm kullanıcılar için AES 256 bit GCM şifreleme Güvenlik simgesi, veri merkezi konumu ve yeşil şifreleme kalkanı gibi arayüz güncellemeleri Kullanıcı raporlama özelliği Toplantılar için parola, bekleme odası ve kısıtlı ekran paylaşımı gibi ayarların varsayılan olarak kullanılması. Toplantı yöneticilerinin çoklu cihaz girişini engelleyebilmesi, kullanıcıların mikrofonu açılırken kullanıcının rızasının alınması, bulut kayıtlarının saklanma süresinin belirlenebilmesi ve daha sıkı Zoom Chat kontrolleri gibi diğer özellikler. Keybase satın alması ile ücretli ve ücretsiz tüm kullanıcılar için uçtan uca şifreleme çalışmaları başladı. Coğrafi konuma göre veri yönlendirme seçimi getirdi. Ayrıca güvenlik ve gizliliğin ürün ve özellik geliştirmenin her fazında bir öncelik olarak kalması sağlandı. Bunun için süreçlerde aşağıdaki değişiklikler yapıldı:
Tasarım aşaması: Güvenlik gereksinimleri, risk değerlendirmesi, tehdit modellemesi
Programlama: Güvenli kod yönergeleri, self servis tarama, CI/CD araçları
Test: Güvenlik testi, otomatik test yürütülmesi, web test araçları
Yayın öncesi: Güvenli konfigürasyon, tutarlılık izleme, gereksinim doğrulama
Üretim: Sistem güvenliği izleme, sistem sağlığı izleme, tehdit değerlendirme
Bağımsız uzmanlar ürün, uygulama ve politikaları inceledi
Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology gibi güvenlik, gizlilik ve katılımcılık konusundaki organizasyonlar ile CISO danışma konseyi, Zoom’un ürün, uygulama ve politikalarını inceleyerek tavsiyelerde bulundu.
Saydamlık raporu ile veri, kayıt ve içerik talepleriyle ilgili bilgiler paylaşılacak
Zoom’dan talep edilen veri, kayıt ve içeriklerle ilgili bilgileri detaylandıran saydamlık raporu için yaklaşım ve çerçeve belirlendi. İlerleyen dönemde Zoom, ilk raporunu 2020 mali yılı ikinci çeyrek bilgileriyle paylaşacak. Bu esnada, şirket, hükümetlerin taleplerine nasıl yanıt verileceği ile ilgili bir rehber hazırladı, gizlilik politikalarını daha anlaşılır hale getirerek güncelledi ve Kaliforniya Gizlilik Hakları Bildirgesi için ayrı bir politika hazırladı. Bu dokümanlara şirketin web sayfasından ulaşılabiliyor.
Hata ödül programının kapsamı genişletildi
Plan kapsamında Merkezi Hata Muhafazası ve ilgili iş akış süreçlerini oluşturan Zoom, HackerOne, Bugcrowd ve security@zoom.us adresine gönderilen zafiyet raporlarını bir araya toplamaya başladı. Günlük toplantılarla incelemeler yapılırken, güvenlik araştırmacıları ve üçüncü taraf değerlendirme kuruluşlarıyla koordinasyon artırıldı. Zoom, bu süreçte Ödül Programı ve Zafiyet Yöneticisi pozisyonu açtı ve sadece zafiyetlerle ilgili çalışan uygulama güvenliği mühendisi sayısını artırdı. Zoom, ayrıca yanıt sürelerini de geliştirmek için çeşitli adımlar attı.
CISO Konseyi ile en iyi güvenlik ve gizlilik uygulamaları değerlendirildi
Farklı sektörlerden 36 Bilgi Güvenliği Üst Yöneticisi’nin (CISO) oluşturduğu konseyde, SentinelOne, Arizona Eyalet Üniversitesi, HSBC ve Sanofi gibi kurumlardan katılımcılar yer alıyor. Zoom CIO Yardımcısı Gary Sorrentino tarafından yönetilen konsey, 3 ay içerisinde 4 kez bir araya gelerek bölgesel veri merkezi seçimi, şifreleme, toplantı kimlik doğrulaması ve Kullanıcı Raporlama, Parolalar ve Bekleme Odaları gibi özellikler konusunda danışmanlık sağladı.
Zoom CEO’su Eric S. Yuan, konseyin başarısı sebebiyle, CISO yuvarlak masa toplantılarının da yapılacağını belirtirken, Zoom güvenlik ekibi liderleri ve müşteri kurumların CISO’ları bir araya gelerek interaktif diyalog kurulacağını müjdeledi.
Tüm platform yapısı üçüncü taraflarca sızma testlerine tabi tutuldu
Zoom, aralarında Trail of Bits, NCC Group ve Bishop Fox’un da bulunduğu bazı şirketlerden platformunu kapsamlı biçimde incelemesini istedi. Beyaz kutu sızma testleri yapan bu şirketler hem açık hem barındırma yapılan veri merkezlerinde Zoom üretim ortamını, bulut konfigürasyonlarını, dış IP alanlarını, iç üretim ağını, Zoom ana web uygulaması ve Zoom kurumsal ağında iç ağ ve harici çeperi, mobil ve masaüstü istemcilerde Açık API’leri incelediler. Zoom, ilerleyen dönemde de üçüncü taraf sızma testlerini yapmayı sürdürecek.
Webinar’lar ayda bir frekansta sürecek
Güvenlik planı çerçevesinde her Çarşamba günü Zoom CEO’su Eric S. Yuan’ın kullanıcıları bilgilendirmek için yaptığı webinar’larda yöneticiler ve danışmanlar da yer aldı. Bugüne kadar 13 kez gerçekleşen webinar’lar, 15 Temmuz tarihinden sonra ayda 1 kez gerçekleştirilmeye devam edecek.
Temmuz ayı itibarıyla tamamlanan 90 günlük planı değerlendiren Yuan, güvenlik ve gizliliğin platformun çekirdeğinde yer aldığını ve müşteri güveninin kendileri için en önemli konu olduğunun altını çizdi. Yuan, 90 günlük plan tamamlansa da güvenlik ve gizlilik önceliklerinin aynı şekilde süreceğini söyledi ve kullanıcılara destekleri, sabırları ve güvenleri için teşekkür etti.