Аудиторские органы ИСО продолжают игнорировать предупреждения о нарушениях видеоконференции безопасности Zoom
Ситуация 5 апреля – без изменений. Основные органы по аккредитации ISO и регистраторы продолжают продвигать использование программного обеспечения Zoom для проведения видеоконференций для удаленного аудита, несмотря на растущую обеспокоенность тем, что программное обеспечение подвергает пользователей значительному риску потери конфиденциальных данных и нарушениям законов.
Вследствие быстрого распространения коронавируса органы ИСО отказались от обычных призывов прекратить аудит до прекращения пандемии и вместо этого настаивают на «удаленных аудитах», проводимых через Zoom и другие приложения. В то же время, Zoom был центром скандалов чуть более года. Скандалы были связаны с конфиденциальностью и безопасностью, которые могут привести к тому, что компания столкнется с многочисленными международными исками.
Риски использования Zoom и нарушения
В 2019 году было обнаружено, что программное обеспечение имеет уязвимость, которая позволяет хакерам получить доступ к веб-камере пользователя. Программное обеспечение продолжало иметь множество недостатков безопасности, но, тем не менее, продолжало расти, в основном из-за его простого пользовательского интерфейса и способности скрывать пользовательский фон во время звонков. Теперь, однако, гораздо более серьезные проблемы были выявлены.
Несмотря на заявления о сквозном шифровании в своем маркетинге и официальном документе по безопасности, представители Zoom наконец признали, что программное обеспечение вообще не обеспечивает шифрование, почти гарантируя, что компания будет привлечена к ответственности за мошенничество.
Следуя за этим откровением, Zoom обнаружил утечку информации о своих пользователях, что приводит к нарушению законов о конфиденциальности, таких как GDRP. Кроме того, сообщается, что Zoom передавал информацию в Facebook и LinkedIn без ведома пользователей. Журнал Forbes сообщил, что программное обеспечение Zoom «иногда» отправляет свои ключи шифрования в Китай без разрешения пользователя.
Наконец, тенденция «зоомбомбирования», когда кто-угодно может угадать веб-канал клиента Zoom и присоединиться к чату без разрешения, преследовать, тролить или угрожать посетителям, стала вирусной. Практика привела к тому, что Федеральное бюро расследований США выпустило предупреждения против использования Zoom. Компания участвует как минимум в одном групповом иске и, по крайней мере, в одном уголовном расследовании со стороны генерального прокурора США.
Теперь крупные компании, включая SpaceX, полностью запретили использование Zoom.
Газета The Guardian сообщила, что ассоциированный профессор компьютерных наук в Принстонском университете назвал Zoom «вредоносным ПО».
Органы надзора ИСО игнорируют риски
Эти факты не помешали таким организациям, как UKAS, BSI, Platinum Registrations и Bureau Veritas, убедить клиентов использовать Zoom во время удаленного аудита. По иронии судьбы, аудит ISO 9001 направлен на обеспечение «мышления основанного на риске» ( англ. "risk-based thinking"), в то время как органы, по-видимому, не проводили анализ рисков использования программного обеспечения для видеоконференций до того момента, как это потребовалось. По данному критерию организации не смогут выполнить даже свои собственные критерии аудита.
В случае с органами по аккредитации IAF, такими как UKAS и ANAB, эти организации перевели свою собственную деятельность по оценке на «100% онлайн», используя Zoom и другие небезопасные приложения, чтобы защитить своих аудиторов и персонал. Однако эти органы отказались разрешить органам сертификации делать то же самое и по-прежнему требуют, чтобы такие аудиторы проводили часть проверок на месте.
Oxebridge ранее писал, что использование Zoom, как и почти любой другой крупной платформы видеоконференц-связи, почти всегда приводит к уголовным нарушениям законов США об экспортном контроле, таких как ITAR и EAR. Различные органы продолжают настаивать на проведении удаленного аудита с использованием этих платформ, не беспокоясь о том, что их клиенты могут подвергнуться уголовному аресту за случайный экспорт контролируемых США технических данных и коммерческой тайны.
Oxebridge призывает индустрию на один год продлить все сертификаты и аккредитации ISO, а также прекратить весь аудит, чтобы разрешить пандемию и возобновить работу компаний. IAF и отраслевые организации отказались, решив вместо этого игнорировать риски безопасности и настаивать на непроверенных методах удаленного аудита, чтобы продолжать выставлять счета клиентам. И BSI, и UKAS опубликовали официальные документы по дистанционному аудиту, в которых одобряется использование Zoom. Должностные лица из BSI и UKAS не ответили на запросы о комментариях относительно своих позиций в отношении Zoom.
Переведенные материалы альтернативного источника Oxebridge News.
Автор статьи: Christopher Paris (Founder of Oxebridge)
------------------
Oxebridge – компания, основанная Кристофером Пэрисом в 1999 году как простая консалтинговая фирма по ISO 9001. На текущий момент Oxebridge является ведущим мировым органом по отчетности по стандартам ISO и мощным отраслевым центром, который нацелен на продавливание ситуации по улучшению стандартов ISO и искоренению коррупции в схемах аудита.
В 2005 году компания начала работать с SpaceX от Элона Маск и продолжала поддерживать систему качества AS9100 до 2014 года.
Oxebridge оказал помощь десяткам небольших компаний в получении первичных контрактов NASA и авиакосмических компаний, таких как Honeywell, Raytheon, Rolls Royce, Lockheed, Sikorsky и Boeing.
-------------------
CertifyIt
A blockchain-powered quality certification platform helping manufacturing & supplying SMEs accelerate quality proof by digitalized quality certificates with reliable data background. Learn more: https://certifyit.net/
Have any questions? Don’t hesitate to contact us:
LinkedIn: https://www.linkedin.com/in/tatianasolodovnikova/
Telegram: https://telegram.me/tatianasolodovnikova