Beheer

Zakelijke software
Harry Moseley

CIO Zoom: explosieve groei droeg bij aan securityproblemen

Harry Moseley vertelt over securityproblemen en toekomst Zoom.

Harry Moseley © Zoom
10 juli 2020

Harry Moseley vertelt over securityproblemen en toekomst Zoom.

Zoom is één van de grote winnaars van de coronacrisis te noemen. Het bedrijf groeide in slechts een aantal weken explosief. Maar tegelijkertijd kwamen diverse security- en privacyproblemen aan het licht, die het bedrijf in een minder goed daglicht stelden. Had Zoom die problemen echt niet eerder in de gaten en hoe vergaat het de dienst nu? AG Connect ging in gesprek met CIO Harry Moseley.

Het videoplatform Zoom was in december vorig jaar nog een relatief kleine speler met 10 miljoen dagelijkse vergaderdeelnemers. Ter vergelijking: in november vorig jaar telde concurrent Microsoft Teams maar liefst 20 miljoen dagelijks actieve gebruikers. Maar Zoom vloog zijn concurrentie tijdens de coronacrisis snel voorbij en heeft per dag inmiddels 300 miljoen vergaderdeelnemers.

Die explosieve groei heeft volgens CIO Harry Moseley naast gebruiksgemak en betrouwbaarheid te maken met het feit dat Zoom als video first-platform gebouwd is. "We hebben geen legacy. Alles is van de grond aan opgebouwd voor exact dit doeleinde: videobellen. We hebben dus niet in de loop der jaren allerlei verschillende platformen en diensten gekocht, die we vervolgens aan elkaar vast probeerden te lijmen en naadloos probeerden te laten werken. Dat soort diensten werken wel enigszins, maar niet heel goed.”

Toch verliep bij Zoom ook niet alles vlekkeloos. Jullie zijn in maart en april veel in het nieuws geweest vanwege security- en privacyproblemen. Waren jullie echt niet eerder van die problemen op de hoogte?

“Zoom heeft een hyperexponentiële groei doorgemaakt, waarbij we van 10 miljoen naar 300 miljoen dagelijkse deelnemers zijn gegaan. De meeste bedrijven vinden het fijn om zo’n groei door te maken, maar dan verspreid over een jaar of twee, drie. Wij gingen in slechts twaalf weken door deze groei heen.

Als je door zo’n groeispurt heen gaat, trek je een hoop aandacht. In maart en april waren de twee populairste dingen waar mensen over praatten het coronavirus en Zoom. Alle andere nieuwswaardige dingen kwamen daarachter terecht. We kregen daardoor veel aandacht van toezichthouders, de pers, de concurrentie en van hackers, zowel ethische als niet-ethische.

Mensen zijn in die tijd beter naar het platform gaan kijken en hebben daardoor een aantal problemen in de software gevonden. Toen we daarvan op de hoogte werden gesteld, hebben we het direct opgelost. Dat deden we in 24 tot 48 uur. En onze data is nooit in verkeerde handen gevallen. Maar we erkennen wel dat we nieuwe klanten tekort deden. We deden niet wat ze van ons verwachtten.”

Waarom deden jullie specifiek nieuwe klanten tekort?

“Ons platform is voornamelijk gemaakt voor enterprises; voor organisaties met robuuste IT-afdelingen. Als zij de software inzetten, dan doen ze dat met de juiste instellingen en de juiste details. Ze zetten bijvoorbeeld wachtruimtes aan en gebruiken wachtwoorden om ‘Zoom Bombing’ (waarbij ongenode gasten binnendringen in een Zoom-vergadering, red.) te voorkomen.

Toen er zoveel consumenten bijkwamen, werd ieder huis en ieder persoon zijn eigen IT-afdeling. Deze mensen besteedden vaak helemaal geen aandacht aan dit soort instellingen. Dat was zeker in het onderwijs een probleem, waar kinderen het grappig vonden als hun vriendjes in de klas kwamen. Zo werden meeting ID’s openbaar gemaakt. En zonder wachtruimte en wachtwoord kwamen kinderen opeens zo de klas in.

We zagen dus echt wel dat we tekort kwamen. Daarom besloten we op 1 april om ons 90 dagen lang alleen maar te focussen op privacy en security.”

Jullie wisten dus niet eerder dat er zoveel problemen waren in Zoom? Dat werd echt pas duidelijk toen er zoveel aandacht voor kwam?

“Inderdaad. Weet je, als het allemaal normaal was verlopen en we in twee jaar tijd waren naar 300 miljoen dagelijkse deelnemers waren gegroeid, dan was dit anders gegaan. Dan hadden we gedurende die tijd constant beveiligingsfuncties en verschillende instellingen toegevoegd, net zoals we dat in het verleden deden.

Beveiliging is altijd heel belangrijk voor ons geweest, net als betrouwbaarheid, innovatie en gebruiksgemak. Maar toen we zo snel groeiden, moesten we alles wat we voor beveiliging en privacy deden versnellen. Bovendien is het heel gebruikelijk – en dit bedoel ik niet defensief – dat er regelmatig patches komen voor software. Kijk naar Microsoft en zijn Patch Tuesday.”

Was al die aandacht voor Zoom en de beveiligingsproblemen terecht, denk je?

“Als ik er nu op terugkijk waren er zeker wel een aantal echte, grote problemen. Maar er waren ook wel heel veel berichten en er was veel herhalende informatie. Ik heb zelfs wat misinformatie gezien, zoals dat Zoom de data, opnames, content en audio van vergaderingen deelt met derde partijen. We hebben nooit informatie gedeeld en dat gaan we ook nooit doen.”

In die 90 dagen waarin jullie alleen maar met security en privacy bezig waren, is onder andere de wachtruimte en het gebruik van wachtwoorden de standaard gemaakt. Waarom hebben jullie dat niet eerder gedaan?

“De wachtruimte was er altijd al. Maar deze was niet standaard aangezet, omdat er diverse situaties zijn waarin mensen geen wachtruimte willen gebruiken. Als ik een vergadering heb met mijn team, dan gebruik ik geen wachtruimte.

We hebben de functie overigens ook slim gemaakt. Als je nu onderdeel bent van hetzelfde enterprise-domein, dan word je automatisch toegelaten aan de vergadering. Probeert een derde partij met een ander domein in de vergadering te komen, dan komt hij wel in de wachtruimte terecht. Dat soort subtiele opties zitten er nu wel in.”

In juni werd aangekondigd dat Zoom ook end-to-end-encryptie krijgt. Maar in eerste instantie wilden jullie dat alleen voor betalende klanten beschikbaar maken. Waarom niet voor iedereen?

“De reden dat we het niet voor gratis gebruikers beschikbaar maakten, was omdat we niet konden valideren of een gratis gebruiker een crimineel was. We wisten niet of iemand iets slechts wilde doen en ons platform op een ongepaste manier wilde gebruiken. We willen geen ongepast gebruik van ons platform ondersteunen.”

Later maakten jullie bekend dat de end-to-end-encryptie wel voor iedereen, ook gratis gebruikers, beschikbaar werd. Waarom zijn jullie van gedachten veranderd?

“We hebben heel veel input gekregen over dit onderwerp en we hebben een manier gevonden om mensen toch te valideren. De gratis gebruikers moeten nu meer informatie geven dan alleen hun e-mailadres om de encryptie te gebruiken. Ze moeten zichzelf echt verifiëren. En volgens mij is dat ook normaal tegenwoordig. Als je niets te verbergen hebt, hoeft verifiëren niet erg te zijn, toch?”

Maar wat nou als er dan tóch ongepast gebruik wordt gemaakt van Zoom, ook al heeft iemand zichzelf geverifieerd?

“Als er end-to-end-encryptie is, dan is er geen enkele manier voor ons om toegang te krijgen tot de vergadering. We kijken niet naar de informatie, we luisteren niet af en we kijken niet naar content. We hebben geen enkele toegang tot de informatie die gedeeld is op ons platform. Als end-to-end-encryptie aan staat kunnen we dus niet zien wat er op ons netwerk gebeurt.”

Dus ongepast gebruik kan nog steeds gewoon voorkomen. Jullie weten het dan alleen niet.

“Dat klopt.”

De 90 dagen waarin jullie alleen met privacy en security bezig waren zijn inmiddels voorbij. Wat kunnen we de komende tijd van Zoom verwachten aan nieuwe functies?

“We gaan meer zien op het gebied van virtual en augmented reality, evenals kunstmatige intelligentie en automatisering voor vergaderingen. We staan bekend om innovatie en we blijven werken aan manieren om onze gemeenschap productief te houden.

Ik denk bovendien dat onze manier van werken door Covid-19 voor altijd veranderd is. Dat is onder meer omdat werknemers gelukkiger zijn als ze thuis in een goede omgeving kunnen werken. Die mensen willen dus ook thuis blijven werken. De mythe dat je niet vanuit huis kan werken is nu voorbij. En werknemers realiseren zich nu ook dat als werknemers terug komen naar kantoor, ze aan social distancing moeten doen. Dus niet iedereen kan ook terug naar kantoor.

Wat er nu gaat gebeuren is dat er een hybride personeelsbestand ontstaat, net zoals er hybride technologie is. We hebben on premise-technologie en off premise-technologie, en er is technologie waarbij een deel on-premise en een deel off-premise staat. Dat krijg je ook met je personeel. Ik denk dat je daar wat geweldige ontwikkelingen voor gaat zien.

Hoe ga je namelijk samenwerken als hybride personeelsbestand? Als mensen op kantoor zijn, is de samenwerking redelijk vanzelfsprekend. Als ze allemaal thuis zijn, is dat ook zo, omdat iedereen met hetzelfde medium werkt. Maar nu hebben we een gemixt, hybride medium. Dus hoe werk je dan samen, met on premise- en off premise-omgevingen? Daar gaan we een aantal geweldige innovaties in zien.”

Jij denkt dus dat videovergaderen ook na de coronacrisis groot blijft?

“Dat denk ik absoluut. Iedereen is tegenwoordig een millennial. Millennials zijn in de digitale wereld opgegroeid en hebben drie dingen voor mij veranderd. Ze verbinden op een andere manier. Verbinding voor een millennial is dat je de ander ziet en met ze praat, bijvoorbeeld via video. Ze hebben chatten veranderd: dat is nu een digitale transmissie van woorden of video. En ze hebben geen geduld voor terugkerende zaken. Ze willen alles nu weten, want ze hebben directe toegang tot informatie.

Nu is iedereen een millennial. Bankiers zijn wakker geworden en realiseren zich dat video best handig is. Dat je niet meer op en neer hoeft te vliegen voor een vergadering. De wereld is daardoor platter geworden, en meer verbonden. En video is daarbij het nieuwe spraak.”

Denk je dat Zoom in de wereld na corona voor kan blijven lopen op de concurrentie?

“Absoluut, daar twijfel ik niet over. We hebben altijd voorop gelopen. Het is fantastisch om te zien dat onze concurrenten onze features nu overnemen. Kopiëren is toch de mooiste compliment. Maar wat ze zich niet lijken te realiseren, is dat wanneer ze op het punt komen waar wij nu zijn, wij alweer veel verder zijn.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.