Personvern

IT-sjef: Zoom er trygt

Avdelingsdirektør i Uninett, Vidar Faltinsen, forsikret nok en gang ansatte om at Zoom er sikker.

Avdelingsdirektør i Uninett, Vidar Faltinsen tok i mot spørsmål fra Zoom-brukere under et digitalt lunsjmøte.
Avdelingsdirektør i Uninett, Vidar Faltinsen tok i mot spørsmål fra Zoom-brukere under et digitalt lunsjmøte.
Publisert

Uroen rundt den digitale møtetjenesten Zoom har ikke lagt seg, selv om norske Uninett har gjort hva de kan for å berolige bekymrede brukere ved landets universiteter og høgskoler om at tjenesten er trygg i Norge.

Flere internasjonale aviser, blant annet The New York Times har hatt kritiske artikler om Zoom de siste ukene, både når det gjelder sikkerhet og personvern.

I Facebook-gruppen «Digital dugnad i høyere utdanning» ble det tirsdag arrangert et lunsjmøte der et spørsmål som stadig dukker opp i etterkant av medieoppslagene: Kan man stole på Zoom?

Svaret på det er et «ja», ifølge Vidar Faltinsen. Avdelingsdirektøren i Uninett deltok på lunsjmøtet, og ga en innføring i hvordan møtetjenesten fungerer i Norge.

— I Uninett har vi jobbet med sanntidskommunikasjon i mange år. Da vi for alvor begynte å teste Zoom, falt vi pladask. Zoom er dønn stabilt og enkel å bruke. Disse to egenskapene gjør at Zoom har så enorm suksess, sa Faltinsen.

Noen utfordringer

I en oppsummering på nettstedet digi.no er noen av personvernutfordringer med Zoom skrevet om.

  • Selskapet skal ha delt data med Facebook, uten selv å ha vært klar over det.
  • Fram til forrige uke kunne Zoom samle inn, lagre og dele persondata med tredjeparter, inkludert opptak lagret i nettskyen, lynmeldinger, filer, virtuelle tavler og videoer.
  • Samtaleverten kan i større grad enn andre overvåke deltakerne i en samtale, blant annet en opptaksfunksjon som ikke krever samtykke fra øvrige deltakere.

Med brukere fra universitetsledelse til det britiske kabinettet er det viktig at tjenesten også tilbyr såkalt ende-til-ende-kryptering, for å unngå at samtaler kan avlyttes. Tidligere denne uken hadde The Intercept en artikkel der det kom fram at denne typen kryptering ikke er mulig i Zoom.

Les også: Hva skjer når alle kobler seg opp hjemmefra for å jobbe?

Sjekk førsteamanuensis Michael Bruenings sang om å overleve digital undervisning

Nordisk løsning

Som Faltinsen og Uninett tidligere har forklart blir Zoom kjørt på en separat nordisk plattform, kalt NORDUnet. Det er et samarbeid mellom de fem nordiske forsknings- og utdanningsnettverkene.

— Det er to utgaver av Zoom. Den ene er en «public» tjeneste, mens den andre er «on premise», som vi bruker. Det vil si at vi kjører Zoom på egne servere i København. Alt foregår i Norden, i regi av NORDUnet.

Faltinsen påpekte også at deres tjeneste har Feide-innlogging.

— Det vil si at det er ingen Facebook- eller Google-innlogging. Vi følger GDPR og norsk lovgivning om personvern. Selv dette møtet her blir kjørt på en kryptert forbindelse på servere i Norden. Og de metadataene som er i programmet blir lagret i Europa, sa Faltinsen.

Han forklarte at mange av sakene som har vært i mediene har blitt raskt løst av Zoom, som har vist stor vilje til å ta tak i problemene som har dukket opp.

— Zoom har sagt at de skal ha «feature freeze» de neste 90 dagene, og bruke all sin tid på å løse nye sikkerhetsforbedringer, sa Faltinsen.

Spurt om sikkerhet

Sjefingeniør Espen Grøndahl ved Universitetet i Oslo (UiO) deltok også på møtet. Han jobber ved Universitetets senter for informasjonsteknologi, og har tidligere skrevet denne gjennomgangen av Zoom.

— Fra vårt ståsted er vi ikke veldig bekymret. Vi har heller ikke så mange alternativer.

IT-sikkerhetssjef ved Universitetet i Oslo, Espen Grøndahl, fortalte i møtet at de jobber med en veileder for bruk av opptak i Zoom.
IT-sikkerhetssjef ved Universitetet i Oslo, Espen Grøndahl, fortalte i møtet at de jobber med en veileder for bruk av opptak i Zoom.

Han forteller at UiO for øyeblikket har godkjent Zoom for deling av grønne og gule data, og at de tillater samtaler om røde data, men ikke opptak. Fargekodene refererer til graden av konfidensialitet.

— Skal du gjøre opptak av røde data, som vanligvis er sensitive opplysninger, vil vi gjerne at det skal innom juristene for avklaring. Personlig er jeg ikke veldig redd for at dataene blir borte, men vi har foreløpig ikke sagt ja til mer utbredt bruk før vi har lagd en veileder for hva du skal gjøre under og etter opptak.

Han ble spurt av en av møtedeltagerne om det er høyere sikkerhet ende-til-ende i Teams.

— Det ærlige svaret er at jeg vet ikke. Jeg har ikke gransket Teams nøye nok til å svare på det. Jeg vil tro Teams er nødt til å gjøre mye av det samme som Zoom for å ha møter med mange mennesker, sa Grøndahl.

Tips til sikkerhet i undervisning

Uninetts Stefan Otto kastet seg på og forklarte at Zoom gjorde en feil da de gikk ut og sa at de kunne tilby ende-til-ende-kryptering.

— Ende-til-ende-kryptering er noe ganske enestående på markedet. Det er for små møter, og en veldig spesiell funksjon, som praktisk talt ingen av deltagerne på markedet har.

En annen deltager spurte hvilke sikkerhetsfunksjoner som anbefales å huke av på til vanlig undervisning.

— Å bruke passord er en god idé. Det gjør at man sikrer seg fra at uvedkommende kommer inn. Du kan også løse møtet for å hindre at andre kommer inn, men det kan være tungvint. Det finnes muligheter, men du må veie opp sikkerhet mot praktiske hensyn, sa Faltinsen.

Grøndahl påpekte at de ved UiO ønsker at flest mulig er logget inn via Feide.

Spørsmål om opptak

Dosent ved OsloMet og filmanmelder i Khrono, Jan Storø, ønsket å vite hvordan opptaksfunksjonen i Zoom fungerer. Han stilte spørsmål om alle blir gjort opptak av, eller om det kun er personen som snakker som blir tatt opp.

— Opptak i Zoom gjøres primært på to måter. De har noe som heter «cloud recording», en funksjon som vi ikke bruker. Den finnes i den offentlige utgaven og da lagres opptaket i skyen, svarte Faltinsen.

Kollegaen hans i Uninett, Otto, forklarte at det er personen som gjør opptaket som styrer.

— I menyen kan man velge mellom «speaker view» og «gallery view». I sistnevnte blir alle videoer som blir sendt gjort opptak av. Dette kan potensielt være mindre bra av personvernhensyn. I førstnevnte blir det kun gjort opptak av den som snakker, avsluttet Otto.