疫情期间远程办公大流行的时候,几乎每家公司都在用视频会议开会,跨国业务更是如此。但很多人不知道的是,视频会议平台的安全性差异非常大。一次跟某国有大型制造业企业交流时,他们的海外业务负责人提到一个情况:在一次跟欧洲潜在客户的视频会议中,会议开始二十分钟后,突然有一个不明身份的账号加入了会议,没有说话,待了大约三十秒后退出。虽然过程中没有发生实质性的信息泄露,但这件事足以让整个谈判团队对视频会议的安全性产生严重警惕。
跨国视频会议面临的安全风险有几个显著的类型。首先是会议劫持,攻击者通过破解或者猜测会议链接和密码加入正在进行的会议,窃听对话内容或者直接干扰会议进行。其次是中间人攻击,在视频流的传输过程中截获音视频数据。还有一种是服务端数据泄露,视频会议服务商的服务器被攻击或者内部人员泄露了存储的会议记录和聊天数据。
选择视频会议平台时,首要个考虑因素就是端到端加密的支持情况。端到端加密意味着数据在发送端被加密,在接收端解密,即使是服务商的服务器也无法解密会议内容。市面上主流的视频会议服务中,一些面向消费者的版本并不默认启用端到端加密,只有企业版才会提供这个功能。在涉及商务敏感信息的跨国会议中,必须确保使用的平台启用了端到端加密,并且了解加密的具体实现方式。
会议链接的管理是第二个重点。在大型国际展会期间,经常有人利用公开的会议链接混入商务会议。正确的做法是永远不要使用公开或者可猜测的会议ID,每次会议生成独立的会议ID,并且设置强密码。更稳妥的方式是启用等候室功能,让主持人逐一审核入会者身份后再放行。对于特别重要的商务会谈,可以使用基于白名单的准入机制,只有预先登记的邮箱地址才能入会。
会议录制功能的控制同样不可忽视。很多视频会议平台支持自动录制功能,会议一旦开始就会自动录下全部内容。如果主持人不小心开启了录制,会议的每一句话都会被保存下来。建议在会议设置中把录制权限限制在主持人手中,不允许参会者自行录制。对于特别敏感的会议,建议在会前明确告知所有参会者会议不会录制,并请对方也关闭本地录制功能。
屏幕共享也是一个风险点。多人在屏幕上共享内容的时候,如果共享的是整个桌面而不是特定窗口,就可能把其他窗口里的敏感内容暴露出来。比如你正在共享一个产品演示PDF,但桌面上还开着后台的ERP系统页面、内部的成本计算表格和竞争对手的调研报告,这些都会在屏幕上暴露无遗。正确的做法是共享之前关闭所有不必要的窗口,只共享需要展示的特定应用窗口或者浏览器标签页。
也有人经常在视频会议中使用聊天功能来实时沟通。但如果聊天的内容是敏感信息,就需要确认聊天消息是否也是端到端加密的。很多平台的聊天功能跟视频流使用不同的加密通道,敏感信息更好口头交流而不是打字发送。如果必须在会议中交换敏感信息,建议使用独立的加密通讯工具发送。
视频会议中的背景控制也是一个通常被低估的安全细节。摄像头拍到的画面里,你的书架上有什么书、墙上的白板有没有擦干净、桌子上有没有不该出现的文件,这些细节都可能被有心人观察和记录。视频会议之前打扫一下摄像头的拍摄范围,把敏感的文件和物品移出画面,白板的书写内容要擦干净。如果对自己的办公环境没有信心,使用虚拟背景功能或者干脆关掉摄像头只用音频参会。
会议室硬件的安全也值得检查。很多公司的会议室安装了一体化的视频会议设备,这些设备内置了摄像头、麦克风和扬声器,常年处于联网状态。如果这些设备被远程控制,就等于在会议室的墙上凿了一个洞。在重要会议之前,对会议室的视频会议设备做一次安全检查,确认固件是近期的,网络连接是加密的,麦克风和摄像头的物理开关处于正常状态。
说到底,跨国视频会议的安全,一个平台的选择和配置是基础,但使用者自己的安全习惯才是真正的决定性因素。平台做得再安全,如果使用的时候密码设置太简单、链接随意分享、桌面共享不看内容,安全链条就会被轻易打破。
