Videokokousten tietoturva

Eritysesti Zoom-palvelun tietoturvasta on liikkunut julkisuudessa hälyttäviä tietoja.
Tästä syystä on hyvä todeta, että yliopistolla käytössä oleva Funet Miitti -palvelu poikkeaa toteutuksellaan uutisissa esillä olleesta kuluttajille tarkoitetusta Zoom-palvelusta. Merkittävä osa uutisoiduista ongelmista on joko vanhoja, jo korjattuja tai liittyvät Zoomin omaan pilvipalveluun, jota Funet Miitti ei käytä kuin käyttöoikeuden tarkistamiseen.

Tässä ohjeessa kerrotaan tarkemmin, mitä kaikkea pitää ottaa huomioon videokokouksia järjestettäessä. OHJEET KOSKEVAT KAIKKIA VIDEONEUVOTTELUOHJELMIA, eivät ainoastaan Zoomia. Silloin kun on kyse mistä tahansa ei-julkisesta tiedosta, mitään välinettä ei voi käyttää vapaasti ja miettimättä, kaikkiin liittyy aina reunaehtoja ja huolellisuusvaatimus.

    Mihin Zoomia ei saa käyttää

    Suurimpaan osaan yliopiston käyttöä Zoom on käypä väline. Se ei kuitenkaan sovellu:

    1. Tiukan salassapidon alaiselle tiedolle, kuten esimerkiksi maanpuolustukseen, kansalliseen turvallisuuteen, valmiuteen ja varautumisen liittyville yksityiskohtaisille tiedoille ja liikesalaisuuksille.
    2. Arkaluonteisille henkilötiedoille, kun henkilö on tunnistettavissa (tarkemmin arkaluonteisista henkilötiedoista kerrotaan Flammassa).

    Mihin Zoomia voi käyttää

    Rajauksin sitä voidaan käyttää, mikäli soveltuvampaa välinettä ei ole tarjolla:

    1. Yliopiston sisäisten asioiden käsittelyyn.
    2. Käyttörajatun (tutkimus- ja opetus)aineiston käsittelyyn, kun osallistujien oikeus tietoon on varmistettu (s.o. kaikki osallistujat tunnetaan ja tiedetään, että heillä on oikeus osallistua videokokoukseen).
    3. Henkilötietojen käsittelyyn, mikäli ao. henkilötietojen käsittely on sallittu yliopiston palvelutoimittajien järjestelmissä.
       

    Miten toimin, kun videokokouksessa käsitellään ei-julkista tietoa 

    • Asiattomien pääsy kokoukseen on estettävä salasanalla ja mikäli mahdollista, osallistujilta pitää vaatia kirjautumista Zoomiin (s.o. kaikki osallistujat ovat yliopistolaisia tai muiden Funet Miittiä käyttävien tahojen henkilöitä).
    • Video- ja äänipuheluominaisuuksia voi käyttää, ei-julkisen tiedon jakamista näytön kautta on vältettävä, mikäli se ei estä kokouksen läpivientiä.
    • Tiedostojen lataaminen videoviestintäpalveluun/palvelusta ei ole sallittua.
    • Kokouksen tallentaminen on sallittua, jos se tallennetaan yliopiston keskitetysti hallitulle laitteelle ja tallennetta käsitellään huolellisesti.
    • Palvelun keskustelutoiminnallisuutta (chat) ei saa käyttää muuhun kuin julkisen tiedon välitykseen.
    • Kokouskutsuja ei saa uudelleenlähettää.
    • Kokousaineistot on jaettava linkittämällä videoviestintäpalvelun ulkopuolella (esimerkiksi Flamma-työryhmät, Riihi), ei sähköpostitse.
    • Kokouskutsun ulkopuolisten henkilöiden liittäminen kokoukseen tapahtuu luomalla uusi kokous, johon on kutsuttu myös uudet henkilöt.
    • Tarkista kokouksen alussa osallistujat ja seuraa osallistujalistaa.
    • Lukitse kokous sen alettua.
       

    Zoom-kokousten suojaaminen

    Jos sinulla on tarve jakaa linkkiä avoimesti, kannattaa suojata kokous ainakin joillakin seuraavista tavoista:

    1. Salasanan avulla: Kokouksen järjestäjä voi luoda salasanan huoneen asetuksista valitsemalla kohdan Require meeting password ja kirjoittamalla salasanan. Oletusasetuksin salasana kylläkin tulee upotettuna linkkiin mukaan, jolloin klikkaamalla pääsee kokoukseen suoraan. Siitäkin huolimatta salasanasuojaus rajaa sellaisen häirikköjoukon pois, jotka yrittävät Meeting ID -numeroita arpomalla tunkeutua avoimiin Zoom-kokouksiin. Salasanan upotusasetusta linkkiin on mahdollista muuttaa halutessaan, jolloin kaikki osallistujat tarvitsevat salasanan päästäkseen kokoukseen. Asetusta pääsee muuttamaan seuraavasta paikasta:  www.helsinkifi/zoom > Sign in > Settings > Embed password in invite link for one-click join.
    2. Odotushuoneen avulla: odotushuoneen (Waiting room) ollessa päällä kokouksen järjestäjät (host ja alternative host) pääsevät kokoukseen suoraan. Muut osallistujat ohjautuvat ensin odotushuoneeseen, josta he pääsevät mukaan järjestäjän hyväksyttyä heidät kokoukseen. Tämä antaa myös mukavasti järjestäjille mahdollisuuden keskenään valmistautua tilaisuuteen ja laittaa esimerkiksi esityksen kuntoon ennen osallistujien pääsyä kokoukseen. Kokouksen järjestäjä voi kerralla hyväksyä kaikki odotushuoneessa odottavat mukaan kokoukseen. Odotushuoneen voi aktivoida kokouksen asetuksista kohdasta Enable Waiting room tai kokouksen aikana alapalkin Security-painikkeen takaa kohdasta Enable waiting room.
    3. Rajaamalla osallistumista rekisteröinnin tai kirjautumisen kautta: kokouksen järjestäjä voi määritellä, sallitaanko liittyminen suoraan vai vasta rekisteröitymisen jälkeen (kokouksen asetuksissa Registration) tai rajataanko kokous vain rekisteröityneille Zoom-käyttäjille (valitsemalla kohdan Only authenticated users can join).
    4. Kokouksen lukitsemista käyttäen: kokouksen järjestäjä voi lukita kokouksen käyttämällä Lock meeting -toimintoa, kun kaikki kutsutut ovat paikalla. Tällöin uusien osallistujien ei ole enää mahdollista liittyä kokoukseen. Lukitseminen tapahtuu alapalkin Security-painikkeen alta, Lock meeting.

    Lisäksi kokouksen aikana Security-painikkeen takaa on mahdollista myös rajoittaa osallistujien mikkien käyttöä ja ruudunjakoa sekä heidän osallistujanimensä muuttamista. Kokouksen aikana kokouksen järjestäjä (host) voi myös poistaa yksittäisen osallistujan viemällä hiiren kursorin osallistujan nimen päälle, klikkaamalla more ja sen jälkeen remove.

    Anna palautetta

    Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

    Kuinka parantaisit ohjeistusta?
    Takaisin ylös