Vi anordnar allt fler möten på distans. Då är det viktigt att ha koll på säkerheten. Vi tipsar om vad du bör tänka på när du anordnar eller deltar i ditt nästa videomöte.

Tack vare videokonferenstjänster kan vi gå på möten och seminarier oavsett var i världen vi befinner oss. Med denna fantastiska flexibilitet följer tyvärr ökade it-säkerhetsrisker. Interna möten som förut skyddades av kontorets tjocka väggar kan nu bli avlyssnade och inspelade utan att vi märker det. Lyckligtvis kan vi förhindra informationsläckage genom att vara medvetna om riskerna och konfigurera våra möten på ett ändamålsenligt sätt.

Första risken: inbjudningslänken

Den första risken som alla måste vara medvetna om är risken för falska inbjudningsmejl. Bedragare har noterat popularitetsökningen för videokonferenstjänster och de är inte sena med att utnyttja situationen. Säkerhetsföretaget Check Point rapporterar om en markant ökning i registreringen av domäner som påminner om de populära videokonferenstjänsternas domäner. Bedragare kan använda sådana bluffdomäner för att skicka ut nätfiskemejl i hopp om att komma över användarnamn och lösenord. 

Den amerikanska videokonferenstjänsten Zoom är en av de mest drabbade. Nätfiskare skickar likt det på bilden här under för att kapa inloggningsuppgifter och sprida skadeprogram. Notera att avsändaren länkar till en sida som ligger på en bluffdomän (inte på zoom.us som är den riktiga).

Exempel på falskt inbjudningsmejl.
Exempel på fingerat nätfiskemejl i Zooms namn.

För att minimera risken för nätfiskelänkar bör du bjuda in till möten på andra sätt än via mejl, till exempel genom samarbetsplattformar och chattappar. Undvik också att klicka på länkar i mötesinbjudningar som du får via mejl. Anslut istället manuellt med hjälp av inbjudningskoden i mejlet eller notisen i konferensapplikationen.

Andra risken: applikationen

En gång i tiden behövde alla videokonferenstjänster en egen applikation för att användas. Så är lyckligtvis inte längre fallet. Idag fungerar de flesta videokonferenstjänster direkt i datorns webbläsare utan att ens något webbläsartillägg behöver installeras. Några videokonferenstjänster förlitar sig dock fortfarande på egna applikationer (eller rekommenderar egna applikationer för en med fullfjädrad upplevelse). 

Installation av konferensapplikationer bör göras med största försiktighet. Vi har sett exempel på falska mötesinbjudningsmejl där bedragare uppmanar mottagarna att ladda ned och installera infekterade versioner av Teams och Zoom.

Björn Appelgren
Björn Appelgren, projektledare på Internetstiftelsen.

– En god tumregel är att aldrig installera applikationer på uppmaning av någon annan. Om du blir uppmanad att installera en applikation för att använda en tjänst bör du själv leta upp applikationen på den officiella nedladdningssidan. Då är du säker på att få den riktiga och skadeprogramsfria versionen, förklarar Björn Appelgren, projektledare på Internetstiftelsen. Nedladdningslänkar till videokonferenstjänsternas Windows- och Mac OS-applikationer brukar vara lätta att hitta på de officiella webbplatserna. Mobilversionerna för Android och Iphone är likaså lätta att hitta i Google Play respektive App Store.

GoToMeetings officiella nedladdningssida.
Leta upp och ladda ned applikationen själv istället för att göra det på uppmaning.
Länk för att ansluta till Zoom-möte via webbläsaren.
Anslut med fördel via webbläsaren när möjlighet ges.

Tredje risken: obehöriga deltagare

Termen ”zoombombing” kan mycket väl kvala in på årets nyordslista. Zoombombing är uppkallat efter videokonferenstjänsten med samma namn och syftar på när obehöriga personer ansluter till möten i syfte att sabotera. I slutet av mars avbröts lågstadieundervisningen i en norsk skola av en blottare. I USA blev problemet så stort att FBI gick ut med en varning till alla skolor. Problemet med zoombombing är inte på något vis unikt för Zoom. Det kan drabba samtliga videokonferenstjänster som automatiskt släpper in alla gäster som har möteskoden. För att begränsa problemet föreslår Zoom numera att alla möten lösenordsskyddas.

Inställningar för schemalagt möte i Zoom.
Kom ihåg att skydda Zoom-möten med lösenord.

Ett lösenord kan tyvärr inte förhindra zoombombing helt. Eftersom alla deltagare delar samma lösenord kan någon som vill sabotera mötet sprida lösenordet till zoombombare. Denna problematik dras inte minst skolor med.

Om du ser zoombombing som en stor risk kan du skydda mötet med ett väntrum, även kallad lobby. Där samlas gästernas i väntan på att du som mötesanordnare ska släppa in dem.

Väntrumsinställningar för Zoom.
Kontrollera vem som ansluter till mötet med hjälp av ett väntrum, även kallat lobby.

Som mötesarrangör är det även en god idé att gå igenom vilka administrationsverktyg som videokonferenstjänsten erbjuder. Beroende på mötets karaktär kan begräsningar för mötesdeltagarna ersätta behovet av lösenord och väntrum, vilket förenklar anslutningen för alla parter. Risken för zoombombing kan exempelvis avstyras genom att inte låta deltagarna skriva i den gemensamma chatten, visa bilder från sin webbkamera eller skärmdela sin bildskärm till övriga deltagare.

Fjärde risken: inspelning

De stora videokonferenstjänsterna har inbyggda inspelningsfunktioner som kan användas för att spela in allt som sägs. Inspelningen indikeras då för samtliga deltagare så att de är medvetna om att inspelning pågår.

Den som sätter agendan för mötet bör också vara medveten om att mötet kan spelas in.

Möjligheten att spela in videokonferenser är dock ett tveeggat svärd. Mötesinspelningar är en fantastisk tillgång för kollegor som inte kunde delta på mötet eller för att i framtiden kunna blicka tillbaka på vad som sades. Tanken om att allt spelas in kan samtidigt göra mötesdeltagare obekväma och inspelningsfilerna kan spridas vind för våg om de hamnar i orätta händer.

Den som sätter agendan för mötet bör också vara medveten om att mötet kan spelas in på fler sätt än via de tjänsteinbyggda inspelningsfunktionerna. Någon av deltagarna kan aktivera skärm- och ljudinspelning på sin egen dator, vilket inte indikeras för övriga deltagare. Hur stor risken för detta är och hur allvarliga konsekvenserna kan bli beror på vad mötet handlar om och hur pålitliga deltagarna är.

Quicktimes skärminspelningsfunktion.
Inspelning som sker utanför videokonferenstjänsten (t.ex. med en skärminspelare) indikeras inte för övriga mötesdeltagare.

Sammanfattning

Med dessa fyra risker i åtanke kan du anordna säkra möten på nätet. Börja alltid med att fundera över vilka risker som ditt möte är förenat med. Det hjälper dig både välja rätt videokonferenstjänst och rätt metod för att skydda mötet från obehöriga deltagare. Precis som vanligt måste säkerheten och användarvänligheten gå hand i hand.

Utöver dessa risker är det självfallet viktigt att väga in risker som är relaterade till platserna där mötesdeltagarna befinner sig. I publika miljöer kan obehöriga personer överhöra vad som sägs. Oavsett var mötesdeltagarna sitter kan deras webbkameror och mikrofoner fånga känslig information som inte var tänkt för andras ögon och öron. Sådana simpla saker kan lätt missas i strävan efter säkra webbaserade möten. Som en avslutning vill vi därför uppmana alla läsare att påminna sina kollegor om riskerna. Alla möten involverar per definition flera parter, så för att upprätthålla säkerheten måsta alla dra sitt strå till stacken.