A equipa da unidade FCCN esclarece os detalhes de cibersegurança relativos à utilização do Colibri, depois das várias notícias que relatam falhas de segurança na plataforma Zoom.
Ao longo das últimas semanas, têm sido veiculadas várias notícias nos meios de comunicação social que relatam problemas de cibersegurança relacionados com a plataforma Zoom. Neste momento, a privacidade desta aplicação também está colocada em causa pelo elevado tráfego de utilização. Para contornar estes problemas, as sessões começaram a dispor de senhas para aceder às reuniões. Aconselha-se ainda aos utilizadores que apliquem medidas de segurança disponibilizadas na própria plataforma. Algumas passam pela não utilização de uma identificação pessoal para as reuniões, mas sim, da opção que gera uma identificação de forma automática. Deve-se ativar a funcionalidade da sala de espera e fechá-la mal estejam presentes todos os participantes. Finalmente, desativar a funcionalidade da partilha do ecrã para quem não é anfitrião e desativar as funcionalidades de download de ficheiros e anotações a partir do chat.
Uma vez que o serviço de colaboração Colibri é baseado na plataforma Zoom, a Unidade FCCN esclarece o seguinte relativamente aos níveis de segurança deste serviço:
▪ O fabricante reagiu de forma célere com a disponibilização de sete novas atualizações de software durante o mês de abril, assim como procedeu à alteração de configurações por omissão, de forma a colmatar as lacunas identificadas. É importante que os utilizadores realizem as referidas atualizações nos respetivos dispositivos.
▪ A plataforma Colibri disponibiliza a funcionalidade de acesso via autenticação federada (RCTSaai). Desta forma, os utilizadores que acedem ao Zoom utilizam a sua conta institucional através da autenticação federada. Este acesso está salvaguardado pelo facto de a validação das credenciais ser feita na própria instituição e não na base de dados da ZOOM.
▪ A unidade FCCN tomou várias medidas para mitigar os problemas reportados e reforçou a informação junto da comunidade, para que adote as medidas de segurança disponíveis para proteção durante o uso da plataforma.
▪ Durante março e abril decorreram mais de 203.000 sessões no COLIBRI e só lhe reportaram duas situações de entrada abusiva em reuniões, sendo que ambas podiam ter sido facilmente evitadas recorrendo às indicações acima elencadas.
▪ Muitas das situações reportadas podem acontecer em qualquer plataforma de colaboração e não dispensam os cuidados por parte dos utilizadores.
▪ Os utilizadores de contas pessoais ZOOM devem ter atenção redobrada e alterar as passwords com frequência. A utilização da mesma password para aceder a vários serviços deve ser evitada ao máximo.
A proteção de dados pessoais é um valor muito relevante no ordenamento jurídico atual, como claramente resulta do RGPD e ainda do Código de Conduta da GÉANT sobre proteção de dados. Estes documentos constituem o padrão na proteção e privacidade dos utilizadores no setor do ensino superior e de investigação.
Poderá ser consultada a política de privacidade do serviço em: https://videoconf-colibri.fccn.pt/doc/service-policy
Como fonte de informação atualizada de forma constante sobre este tema, sugere-se a consulta da página: https://videoconf-colibri.fccn.pt/doc/secure. Através desta, todos os problemas poderão ser reportados de forma imediata à FCCN. Qualquer questão ou pedido de suporte sobre a plataforma pode ainda ser feito para colibri@fccn.pt e os incidentes de segurança devem ser reportados para info@cert.rcts.pt.
A FCCN tem respondido a todos os pedidos de suporte relacionados com estes casos, endereçando o tema nos webinars e publicando as melhores práticas. Está ainda previsto um webinar da Metared Portugal, exclusivamente dedicado ao tema. Sempre que ocorrerem situações de intrusão, estas devem ser reportadas às entidades competentes, para se identificar e punir quem entra abusivamente em reuniões para as boicotar ou para praticar crimes de apologia à violência ou roubar informação privada e privilegiada.