安全使用视像会议指南
在2019冠状病毒病爆发期间,视像会议逐渐成为有效的通讯方式,可方便遥距工作,以及让位处不同地点的用户进行实时通讯。
潜在风险
随着视像会议日益普及,针对视像会议方案及用户的网络攻击也愈来愈多。因此,在进行视像会议前必须评估有关风险,并确保会议在安全的方式下进行。以下是一些潜在风险:
「Meeting bombing」攻击 - 有未获邀请人士可能通过发现或猜测会议编号加入视像会议,干扰会议或分享不当内容。
恶意连结或钓鱼网站攻击 - 如攻击者进入了会议室,可能会诱使与会者点击恶意连结。另外,亦可能有伪冒电邮或网站仿冒视像会议邀请,恶意盗取用户凭证或传送恶意软件。
与第三方分享资料 - 小心视像会议方案或平台可能与第三方分享资料,并留意他们的资料使用政策。
恶意软件或零日攻击 - 视像会议方案可能存在漏洞,可被攻击者利用。
保安措施
在主持视像会议或使用视像会议方案时,可参考以下一些保安措施/良好做法,以减低风险和避免私隐外泄:
一般保安措施
细阅视像会议应用软件或服务供应商的私隐资料政策,以了解他们如何储存、分享和使用你的个人资料。
留意视像会议方案的保安消息,并适时采取相应的保安措施。
应采用端对端加密及网络安全措施,以保护在视像会议期间传输的敏感资料。
为所有与视像会议相关的硬件/软件项目(包括视像会议应用软件、操作系统、浏览器及抗恶意程式码软件)安装最新的更新及修补程式。
会议主持人
只跟预定的与会者分享会议编号,并尽可能使用一次性的会议编号。
设定严谨的会议密码,以防未获邀请的第三方加入会议。
限制从与会者收集个人资料,以减低资料外泄的风险。
采用双重认证及严谨而独特的密码,以保护会议主持人的帐户。
通过可用的保安功能控制会议的注册或登入,例如事先注册或等候室功能。
追踪和核实参与会议的人士,并确认所有与会者的身分。
不要预设让与会者分享屏幕,只容许指定与会者在合适情况下分享,并只分享所需的应用软件而非整个桌面。
与会者
如收到加入视像会议的连结,应确保连结来自可信任的来源,并且不要开启来历不明的连结及附件。
如视像会议在公共云端平台或不可信赖的网络上进行,避免分享或讨论敏感资料。
避免在视像会议期间进行敏感活动(如检查电邮),以免意外地与他人分享屏幕。
如非必要,应限制或停用档案传送,以免分享了恶意档案,并且不要开启任何由不明与会者分享的可疑连结或档案。
由于视像会议的录影可能会储存于视像会议服务供应商的公共云端平台,因此应避免录影涉及敏感资料的视像会议。
视像会议应在个别与会者的指定私人地点进行,任何可见的敏感资料亦应从摄录画面中移走。
在视像会议期间应关掉没有使用的摄录机及麦克风。
其他资料
关于安全使用视像会议的参考资料:
1.
香港网络安全事故协调中心 - HKCERT 建议10招保障 Zoom 网上会议安全
2.
Australian Cyber Security Centre - Web Conferencing Security
3.
Palo Alto Networks - 疫情中及后疫情时代使用视频会议的安全提示
4.
Federal Trade Commission (FTC) of the United States - Video conferencing: 10 privacy tips for your business
5.
National Cyber Security Centre (NCSC) of the United Kingdom - Video conferencing services: security guidance for organisations
6.
Cybersecurity and Infrastructure Security Agency (CISA) of the United States - Guidance for Securing Video Conferencing
7.
香港个人资料私隐专员公署网站 - 在家工作安排下的个人资料保障指引︰使用视像会议软件