Aanvalsmogelijkheden
Als je je zorgen maakt over de privacy van je videoconferenties, denk je in eerste instantie aan ongevraagde kijkers. Maar er zijn links en rechts nog allerlei andere mogelijkheden om af te luisteren, waarvan sommige interessanter en een aantal makkelijker te kraken zijn dan de online vergadering zelf.
Eerst is er de uitnodiging: iedereen die de toegangsgegevens voor een conferentie – en misschien zelfs het wachtwoord voor de vergadering – per e-mail verstuurt, verspeelt daarmee elke bescherming. Het is veel makkelijker om toegang te krijgen tot ongecodeerde e-mails en die te analyseren dan om een videoconferentie binnen het netwerk te vinden. Het wachtwoord voor deelname mag daarom in ieder geval alleen via een beveiligd kanaal worden doorgegeven, bijvoorbeeld via een persoonlijk telefoongesprek of een endto-end versleutelde messenger.
Het is ook beter om de uitnodiging op die manier te versturen, want spionnen zijn vaak vooral geïnteresseerd in wie met wie over wat praat. Welke details tijdens een conferentie over ‘ Raketonderdelen voor Noord-Korea’ tussen de Raad van Bestuur en de afdeling Sales worden besproken, is minder relevant dan het feit dat dit überhaupt gebeurt. Dat is slechts één van de redenen om ook een online agenda met hoge prioriteit te beveiligen. De situatie is vergelijkbaar met systemen die alleen geregistreerde deelnemers toelaten om een conferentie bij te wonen. Dat lijkt op het eerste gezicht veiliger, maar als de bijbehorende database gehackt wordt, is het mogelijk om te reconstrueren wie er met wie communiceert. Keer op keer slagen online diensten er niet in om hun gebruikersdatabases fatsoenlijk te beveiligen. Zelfs met een eigen conferentieserver, moet je nog steeds zorgen voor de veiligheid ervan – zelfs nadat alle geheime gesprekken al gevoerd zijn. Voor conferenties met anonieme deelname via een uitnodigingslink en een vergaderwachtwoord ontstaan dergelijke gegevens niet eens.
Maar waarom de moeite nemen om een netwerk of een server aan te vallen die wordt bewaakt door een professionele beheerder als er een makkelijker doelwit is: de pc van een deelnemer. Met een trojan op een deelnemende computer kan de hele conferentie makkelijk en ongemerkt worden gevolgd. Alle andere veiligheidsmaatregelen zijn nutteloos als er ook maar één deelnemer op een onbeveiligde pc zit.
Uiteraard moet de deelname van volledig buitenlandse computers, zoals zakelijke pc’s in hotels of internetcafés, voorkomen worden. Maar ook een privé-pc waarop 's avonds porno en illegale streams uit dubieuze bronnen draaien, mag nooit deel uitmaken van een videoconferentie met beveiligingseisen. Iedereen die bedrijfsgeheimen of persoonlijke gegevens moet beschermen, moet mobiele medewerkers voorzien van goed beveiligde en centraal beheerde apparaten.
Voor bedrijfsspionnen zijn videoconferenties eigenlijk geen bijzonder aantrekkelijk doelwit, omdat de informatiedichtheid meestal net zo laag is als bij normale vergaderingen. Waarom zou een hacker de lange zelfverheerlijking van een junior-manager of de slaapverwekkende presentatie van de financiële afdeling moeten doorstaan als hij de relevante informatie elders in compactere vorm kan verkrijgen? De meest voorkomende misser is het onversleuteld naar iedereen doormailen van de notulen. Vaak worden er bij een vergadering presentaties getoond die vooraf met meerdere personen afgestemd zijn en rondgestuurd werden via e-mail of op onvoldoende beveiligde clouddiensten terechtkomen.
Voor professionele afluisteraars zijn de videoconferenties daarom bijzonder interessant wanneer de exacte formulering en het verloop van het gesprek belangrijk is of wanneer alle andere informatiebronnen goed dichtgetimmerd zijn. Dat is precies waar de systeembeheerders zich op moeten concentreren. Om hen niet met veel werk op te zadelen, is het voor veel bedrijven voldoende om hun videoconferenties te laten afhandelen door een dienstverlener die de veiligheid op contractbasis garandeert. Als er een gebrek aan vertrouwen of juridische expertise is, of als de potentiële schade groter is dan wat contractueel verzekerd is, loont het voor bedrijven de moeite om een eigen videoconferentiesysteem te onderhouden.