Kokoussovellus Zoomista tuli suosittu Suomessakin, mutta sen tietoturva on leväperäinen ja siitä varoittaa jopa FBI - Ulkomaat | HS.fi
Ulkomaat|Koronavirus

Kokoussovellus Zoomista tuli suosittu Suomessakin, mutta sen tietoturva on leväperäinen ja siitä varoittaa jopa FBI

Helppokäyttöinen kokoussovellus Zoom on joutunut julkiseen ristituleen epämääräisestä suhtautumisestaan käyttäjien tietojen suojaamiseen. Yhdysvalloissa FBI varoitti sovelluksesta, Britanniassa puolustusministeriö kielsi sen käytön. Suomessa Zoomia käyttävät useat yliopistot ja valtioneuvoston viestintä tiedotustilaisuuksia tehdessään.

Britannian pääministerin kanslian jakama kuva hallituksen kokouksesta, joka pidettiin Zoom-sovelluksessa. Kuva: Pippa Fowles / AFP

Julkaistu: 2.4. 13:39

Koronaviruksen torjuntatoimet ovat ajaneet vähintään kymmeniä miljoonia ihmisiä kotikaranteeniin ja etätöihin. Samalla etätyön kannalta välttämättömät videosovellukset ovat muuttuneet uudeksi arjeksi.

Kokoussovellus Zoomin turvallisuudesta on herännyt vakavia huolia. Yhdysvalloissa liittovaltion poliisi FBI varoitti Zoomista maanantaina. FBI oli saanut useita yhteydenottoja siitä, että Zoomin videokokouksiin osallistuu ulkopuolisia häiriköitä, jotka olivat jakaneet kokouksiin esimerkiksi pornoa ja rasistisia solvauksia.

Yhdysvalloissa Zoomin latausmäärät kasvoivat maaliskuun toisella viikolla 252 prosenttia. Maaliskuun kolmannella viikolla sovelluksella oli Yhdysvalloissa jo seitsemän miljoonaa käyttäjää. Suuntaus on uutistoimisto AFP:n mukaan Euroopassa sama. Eurooppalaisia käyttäjiä oli uutistoimiston mukaan 6,5 miljoonaa.

Suomalaisten Zoom-käytöstä ei ole tarkkoja käyttäjälukuja, mutta kasvua on varmasti tapahtunut täälläkin. Esimerkiksi ainakin Vaasan, Jyväskylän ja Tampereen yliopistoissa sekä Aalto-yliopistossa se on luentokäytössä, ja koulut käyttävät sitä etäopetuksessa. Apurahoja myöntävä Koneen säätiö järjestää etämentorointia Zoomissa.

Valtionhallinnossa sitä on käytetty muun muassa silloin, kun Huoltovarmuuskeskuksen alainen mediapooli, Valtioneuvoston kanslia ja sosiaalisen median viestintäyritys Ping Helsinki kertoivat hankkeestaan, jossa somevaikuttajat kutsuttiin auttamaan valtiota koronavirukseen liittyvän disinformaation torjunnassa. Zoom-kokouksessa oli Ping Helsingin mukaan lähes 400 ihmistä.

Myös Valtioneuvoston kanslian järjestämät hallituksen tiedotustilaisuudet välitetään toimittajille Zoomin kautta.

Pornohäiriköinnin lisäksi Zoomin turvallisuuteen liittyy muitakin epäilyttäviä piirteitä.

Vicen mukaan Zoomin iPhone-sovellus lähetti aivan viime päiviin saakka tietoja käyttäjistä Googlelle ja Facebookille, vaikka käyttäjällä ei olisi edes Facebook-tiliä.

Zoom myös väittää, että sovelluksen sisäinen liikenne olisi päästä päähän salattua. Tämä tarkoittaa, että sekä lähtevä että saapuva liikenne salattaisiin erikseen, kuten esimerkiksi Whatsapp tekee. Zoomin kohdalla väite ei kuitenkaan pidä paikkaansa. Sovellus antaa videokokouksen aloittajalle mahdollisuuden kytkeä päälle erillinen salaus, jota yhtiö kutsuu päästä päähän -salaukseksi. Kyseessä on kuitenkin tavanomainen TLS-liikennesalaus, joka kyllä pitää huolen siitä että ulkopuolinen ei pääse kokoukseen kurkkimaan, mutta ei estä yhtiötä ja sovellusta seuraamasta liikennettä.

Päästä päähän -salaus toimii todellisuudessa vain videokokouksessa lähetetyissä chat-viesteissä, kertoi The Intercept tiistaina. Zoom ei kuitenkaan kerro tästä käyttäjilleen.

”He ovat vähän epämääräisiä sen suhteen, mikä todellisuudessa on päästä päähän salattua”, sanoi Interceptille Johns Hopkinsin yliopiston tietojenkäsittelytieteen professori Matthew Green. ”Minusta he toimivat hiukan epärehellisesti.”

Zoomin chat-sovellukseen liittyy myös sellainen puute, että se muuntaa tekstissä linkeiksi vähän liikaakin, esimerkiksi komentorivit. Bleeping Computer -verkkojulkaisu kertoo, että jos sellaista klikkaa, voi hyökkääjä saada haltuunsa esimerkiksi Zoom-käyttäjän salasanan kunhan viitsii nähdä hitusen ylimääräistä vaivaa salauksen purkamiseen.

 

Zoomin hyvä puoli on se, että rekisteröityminen ei ole esimerkiksi verkkoseminaarien eli webinaarien seuraamisen kannalta välttämätöntä. Ilman rekisteröitymistä kokouksia ei kuitenkaan pääse itse järjestämään.

Rekisteröitymiseen tarvitaan sähköpostiosoite. Osoitteen perusteella Zoom luo käyttäjälle kontaktilistan niistä toisista käyttäjistä, joilla on sama sähköpostidomain eli sähköpostin loppuosa. Vice-lehteen yhteyttä ottanut ihminen löysi yhteystietolistaltaan 995 tuntematonta ihmistä.

HS testasi ominaisuutta. Gmail-osoitteella rekiteröityessä se ei toimi, mutta Helsingin Sanomien hs.fi-muotoisella osoitteella rekisteröityminen nosti kontaktilistalle muita HS:ssa työskenteleviä ihmisiä.

Hollannissa asia on muodostunut ongelmaksi, kun Zoom ei ole rajannut Gmailin ja Hotmailin tapaan yhteystietolistojen muodostamisen ulkopuolelle paikallisten teleoperaattorien tarjoamia sähköpostiosoitteita.

Zoom-yhtiö on puolustautunut erilaisia syytöksiä vastaan ärhäkkäästi ja korostanut, että se suhtautuu käyttäjiensä turvallisuuteen ”äärimmäisen vakavasti”. Viimeksi torstaina yhtiö lupasi, että parannuksia tietoturvaan olisi luvassa.

Zoomin taustayhtiö on perustettu vuonna 2011 ja sovellusta tarjottu käyttäjille vuodesta 2013. Viime aikoina ilmenneet turvallisuushuolet ovat osa jatkumoa, jossa yhtiö on möhlinyt jo aikaisemminkin.

Britannian yleisradioyhtiö BBC kertoo, että aiemmin Zoomissa on esimerkiksi ollut haavoittuvuus, jonka avulla hyökkääjä saattoi potkia osallistujia ulos kokouksista, kaapata osallistujien näyttönäkymiä ja väärentää osallistujien lähettämiä viestejä.

Zoomilla on maine tietoturvaan ja -suojaan leväperäisesti suhtautuvana yhtiönä, joka asettaa helppokäyttöisyyden muiden tärkeiden asioiden kuten turvallisuuden edelle. Näin oli syntynyt esimerkiksi haavoittuvuus, jonka johdosta Zoomissa saattoi liittää Apple-koneiden käyttäjiä puheluihin ilman, että käyttäjät edes tiesivät osallistuvansa niihin.

Vaikka Apple-haavoittuvuus ja BBC:n kuvailemat puutteet on jo korjattu, lisää löytyy.

Ristituleen joutunut yhtiö vakuutteli BBC:lle, että siihen luottaa yli 2 000 yhtiötä ja instituutiota ympäri maailman, joukossa esimerkiksi sairaaloita ja pankkeja. Yksi näistä luottavaisista on ilmeisesti Britannian hallitus, kävi ilmi pääministeri Boris Johnsonin twiiteistä. Pääministeri jakoi itsestään maaliskuun lopulla kuvan, jossa pitää heidän kanssaan kokousta Zoomissa.

Eikä vain kerran, vaan kahdesti: Johnson mainosti ”digitaalista hallitusta” Twitterissä vielä maanantainakin. Toiminta on kummallista, sillä Britannian puolustusministeriö on kieltänyt työntekijöiltään Zoomin käytön siihen asti kunnes sen turvallisuudesta saadaan varmuus. Puolustusministeri Ben Wallacea ei Johnsonin kuvassa sentään näy.

Suomessa eduskunta ei Zoomia käytä.

”Eduskuntaryhmien ja yksittäisten edustajien puolesta en voi sanoa mitään, mutta eduskunnan hallinto ei Zoomia käytä. Olemme myös parhaamme mukaan jakaneet tietoa eri järjestelmien tietoturvaongelmista”, sanoo eduskunnan hallintojohtaja Pertti Rauhio.

Käytössä on Skype, mutta Rauhion mukaan sitäkin käytetään tietoturvasta tietoisena. Tämä tarkoittaa, että Skypessä ei tule käsitellä mitään turvaluokiteltuja asioita.

”Hallinnon näkökulmasta sovelluksia ja työkaluja valitessa pyritään huomioimaan sekä niiden helppokäyttöisyys että niiden tietoturva.”

Valtioneuvoston eli käytännössä Suomen hallituksen viestintäosastolla Zoom sen sijaan on käytössä. Tarve syntyi äkisti, kun pääministeri Sanna Marinin ja muun hallituksen tiheään toistuviin tiedotustilaisuuksiin ei voitu enää kutsua toimittajia paikalle valmiuslain estettyä yli kymmenen ihmisen kokoontumiset.

Aluksi media lähetti kysymyksensä tilaisuuteen etukäteen tarkoitukseen varattun Whatsapp-numeron kautta, mutta pian kävi ilmi että ministereille oli välttämätöntä esittää jatkokysymyksiä. Sitä Whatsapp ei mahdollistanut ainakaan kovin ketterästi.

”Zoom otettiin käyttöön siksi, että siinä etäkokouksen hallinta on helppoa”, kertoo ratkaisusta ja sen toteutuksesta vastaava viestintäasiantuntija Laura Kotila. Zoomissa kokouksen ”puheenjohtaja” eli moderaattori päättää, kenen mikrofoni on auki. Puheenvuoron pyytämistä varten on erillinen nappi.

”Tietysti arvioimme sovelluksen jatkokäyttöäkin. Mitä koronavirukseen tulee, toivomme että tällaisen tarve poistuisi toukokuussa ja liikkumisrajoitukset päästäisiin purkamaan.”

Valtioneuvoston kansliassa on huomattu Zoomin turvallisuuteen liittyvät epäkohdat, jotka ovat esiintyneet kansainvälisessä mediassa. Vaikka Zoomin käytettävyys on hyvä ja se pätkii vähemmän kuin monet muut, sen käyttö on kielletty valtioneuvoston kanslian sisäisissä kokouksissa.

”Niihin me käytämme Skypen maksullista versiota. Muiden tahojen järjestämiin Zoom-kokouksiin saa näin poikkeusoloissa osallistua selaimella, mutta mitään asennuksia koneelle ei saa tehdä. Ja Zoomilla tehtävät tiedotustilaisuudetkin tehdään erillisiltä läppäreiltä, jotka eivät ole yhdistettynä valtioneuvoston kanslian sisäiseen verkkoon”, Kotila sanoo.

Zoomin logo näyttää sovelluksessa tältä. Kuva: Rafael Henrique

Luitko jo nämä?

Luetuimmat - Ulkomaat

Luetuimmat

Uusimmat