Kirjoittaja
Sini Liu

Mielenrauhaa ja digiturvaa - miten Google Meet pitää videoneuvottelusi turvallisina

Etätyö ja etäopetus ovat lisääntyneet viime aikoina ympäri maailman. Tämä asettaa järjestelmät koville, vaatii niiltä luotettavaa palvelua unohtamatta tietoturvaa ja käyttäjien yksityisyydensuojaa. Kaiken Googlen palveluiden suunnittelun ja toteutuksen perustana on pitää käyttäjät ja heidän datansa turvassa. G Suite ja Google Meet eivät suinkaan poikkea tästä ajattelumallista.

Google Meet -videoneuvotteluohjelman turva-asetukset ovat aina oletuksena päällä. Näin ollen, pääkäyttäjien ja organisaatioiden ei tarvitse tehdä mitään varmistaakseen, että oikeat asetukset ovat oikeissa paikoissa päällä. Käydään seuraavaksi läpi tarkemmin mitä kaikkia tietoturvaominaisuuksia Meetista löytyy.

 

Ennaltaehkäisy

Google Meetista löytyy laaja arsenaali erilaisia tapoja tilin kaappauksen ja dataurkinnan ennaltaehkäisemiseksi. Nämä toimet koskevat niin internetin kautta videoneuvotteluihin liittymistä kuin videoneuvotteluihin puhelimella perinteisesti soittamalla liittymistäkin.

Google Meet tekee raa’an voiman hyökkäyksistä erittäin hankalaa. Raa’an voiman hyökkäys on sellainen, jossa ilkeämielinen hyökkääjä yrittää “arvata” Google Meet -tapaamisen uniikin koodin. Tämä 10-kirjaiminen koodi koostuu 25 kirjaimen merkistöstä. Mitä pidempi ja enemmän merkkejä, sitä vaikeampi koodia on arvata. Tämän lisäksi ulkopuoliset osallistujat pitää erikseen hyväksyä videoneuvotteluihin, ja he voivat pyytää lupaa liittyä videoneuvotteluun vasta 15 minuuttia ennen neuvottelun alkamista. Tämä puolestaan pienentää aikaikkunaa, jonka aikana hyökkääjä voi yrittää tunkeutumista.

Kouluilla puolestaan on käytössään Google Meet -ominaisuuksia, jotka parantavat etäopetuksen sujuvuutta niin opettajille kuin oppilaillekin:

  • Vain Google Meet -opetustapahtuman tai kalenteritapahtuman järjestäjällä on oikeus mykistää ja poistaa osallistujia. Oppilaat eivät siis voi mykistää tai poistaa opettajaa opetustapahtumasta.
  • Vain Google Meet -opetustapahtuman tai kalenteritapahtuman järjestäjällä on oikeus hyväksyä ulkopuolisten osallistujien liittymispyynnöt videoneuvotteluun. Oppilaat eivät voi hyväksyä ulkopuolisia osallistujia eivätkä ulkopuoliset osallistujat pääse osallistumaan ennen kuin opettaja saapuu “digitaaliseen luokkaansa”.
  • Jos opettaja on luonut videoneuvottelun sivulla meet.google.com, eikä kalenterin kautta, osallistujat eivät voi liittyä takaisin videoneuvotteluun opettajan poistuttua.

 

Turvallinen käyttö ja hallinnointi

Google Meet toimii suoraan käyttäjän internet-selaimesta. Sopivat selaimet ovat Chrome, Firefox, Safari ja Microsoft Edge. Käyttäjän ei siis tarvitse ladata ja asentaa erillisiä lisäosia tai ohjelmia omalle tietokoneelleen. Näin ollen pääkäyttäjien ei myöskään tarvitse huolehtia päivitysten ja lisäosien asentamisesta käyttäjän koneelle. Mobiililaitteeseen käyttäjän kannattaa asentaa Google Meet -sovellus.

Käyttäjätilien tietoturvaa voi puolestaan parantaa ottamalla käyttöön kaksivaiheinen tunnistautuminen. Sama käytäntö on verkkopankkiin tunnistauduttaessa. Googlen tileillä toiseksi tunnistautumisvaiheekseen voi valita monia eri vaihtoehtoja. Tässä tavat listattuna turvallisimmasta turvattomimpaan: fyysinen turva-avain, Googlen kehote (pompsahtaa automaattisesti näkyviin kännykän ruudulle, kun yrität kirjautua), Google Authenticator -sovellus, tekstiviesti, puhelu. Tämän lisäksi Google tarjoaa Meetin käyttäjille edistynyttä suojeluohjelmaa Advanced Protection Program. APP:ta suositellaan erityisesti kriittisille tileille, sillä ohjelma tarjoaa laajimman suojan hyökkääjiä ja tietojenkalastelua vastaan.

G Suite Enterprise- ja G Suite Education tileille on tarjolla Access Transparency eli läpinäkyvyyslokit. Tämä toiminto näyttää pääkäyttäjille mitä Meet-videotallennetta Googlen henkilökunta on käynyt tarkastelemassa Drivessa ja miksi siellä on käyty. Näin pääkäyttäjät voivat varmistua siitä, että dataa käydään katsomassa vain perustelluista syistä, esimerkiksi silloin, kun tukipyynnön ratkaiseminen sitä vaatii. Käyttäjien on myös mahdollista valita minne Meet-tallenteet tallennetaan fyysisesti, esim. USAan tai Eurooppaan.

 

Turvallinen, säädöstenmukainen ja luotettava infrastruktuuri

Kaikki Meetin tietoliikenne on salattu IETF:n, DTLS:n ja SRTP:n standardien mukaisesti. Salaus toimii kaikissa Meetin laitteissa ja sovelluksissa: internet-selaimella Meetia käytettäessä, Androidin ja iOSin sovelluksissa sekä neuvotteluhuoneissa, joissa on Googlen neuvotteluhuonejärjestelmä laitteineen (Google meeting room hardware). Meet luo jokaiselle osallistujalle jokaisessa tapaamisessa uniikin salausavaimen. Salausavain on voimassa vain tapaamisen ajan eikä sitä tallenneta ikinä käyttäjän tietokoneelle. Se kulkee salattuna ja turvallisesti RPC:n mukana tapaamisen aikana.

Tietoturva on olennainen osa kaikkea, mitä Google tekee. Googlella on laaja tiimi ammattilaisia varmistamassa, että sovellukset ja operaatiot toimivat tietoturvallisesti ja moitteetta, kellon ympäri. Kaikki Google Cloudin ja G Suiten käyttäjät hyötyvät mm. seuraavista ominaisuuksista:

  • Secure-by-design infrastructure eli infrastruktuuri, joka on suunniteltu niin turvalliseksi, ettei sitä ole mahdollista käyttää epäturvallisesti.
  • Google Meet hyödyntää Google Cloudin syväluotaavia tietoturva-asetuksia, globaalia, yksityistä verkkoa ja sisäänrakennettuja suojaustoimia käyttäjien datan turvaamiseen ja yksityisyyden suojaamiseen.
  • Säädöstenmukaiset sertifikaatit: Maailmanlaajuinen lista Googlen sertifikaateista ja todistuksista löytyy täältä. Nämä sisältävät mm. SOC 1/2/3, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, FedRAMP Moderate ATO, HIPAA compliant use, HITRUST CSF, GDPR, Privacy Shield Framework (EU-U.S. & Swiss-U.S.), CSA STAR ja oppilaitoksille tärkeitä COPPA ja FERPA.
  • Tapahtumat: Googlella on täsmällinen prosessi miten käsitellään datan- ja tietoturvan tapahtumat, joihin sisältyvät eskalaatiot, lievennykset, ratkaisut ja ilmoitukset asiakkaalle mahdollisista vaaratilanteista.
  • Luotettava: Googlen verkko on rakennettu kestämään kovaakin kulutusta ja vastaamaan tulevaisuuden kasvuun. Google Meetin lisääntynyt käyttö ei ole verkolle ongelma.
  • Läpinäkyvyys: Google on sitoutunut turvaamaan käyttäjiensä datan sekä toimimaan läpinäkyvästi. Dataa ei ikinä käytetä mainostamiseen eikä sitä myydä kolmansille osapuolille. Googlen datakeskukset ovat saavutettavissa, kestäviä ja turvallisia sekä niiden sijainti on julkista tietoa.

 

Turvallisuus Gappsilla

Suhtaudumme Gappsilla vakavasti tietoturvaan ja yksityisyyteen. Vaikka Google tarjoaakin huippuluokan tietoturvaa ja yksityisyydensuojaa, loppupeleissä sovellukset ovat yhtä turvallisia kuin niiden käyttäjät. Autamme mielellämme asiakkaitamme tietoturvallisen työskentelyn takaamiseksi. Olemme toimittaneet monille asiakkaillemme Security Revieweja, joissa käydään läpikotaisin asiakkaan Google-ympäristön asetukset ja miten niitä voisi parantaa. Myös koulutuksissamme painotamme aina tietoturvallista työskentelyä, niin sisäisesti kuin ulkoistenkin partnereiden kanssa. Koulutuksistamme voit lukea lisää meidän kotisivuiltamme.

Pysykäähän turvassa, niin fyysisesti, henkisesti kuin verkossakin!

 

Lähde: Googlen blogi

Sini Liu
Change Consultant

Ota yhteyttä