–Trygt å bruke Zoom, mener seksjon for digital sikkerhet ved NTNU

I begynnelsen av april ble det offentliggjort at programmet Zoom skal brukes under muntlige eksamener ved NTNU. Dette møtes med skepsis.

Publisert Sist oppdatert

Saken ble oppdatert med kommentarer fra Uninett klokken 16:30, 16.04.

Etter utbruddet av koronaviruset har bruken av plattformer som muliggjør nettundervisning økt kraftig. Det har ført til at det rettes søkelys mot graden av personvern som disse plattformene kan tilby da det ble klart at Zoom skulle brukes under muntlig eksamen var flere studenter kritiske.

Gratisversjonen av Zoom har hatt store sikkerhetshull, og den ble derfor fjernet fra appnettbutikken til Apple for et år siden. I USA advarte FBI mot å bruke Zoom etter flere tilfeller av såkalt «zoom-bombing». Flere skoler i Massachusetts opplevde at uvedkommende kom seg inn på Zoom-møtet og ropte banneord, holdt frem hakekors eller viste porno.

Les også: Pandemipatruljen prater med Lindmo.

Bekymrede studenter

Enkelte studenter er bekymret for om Zoom er trygt å bruke, og har derfor stilt seg spørrende til hvorfor NTNU har valgt å bruke denne framfor andre programmer, da det er kjent at systemet har hatt flere sikkerhetshull.

Masterstudent i kommunikasjon og IT ved NTNU, Oscar Gårdsrund Paulsrud, skal selv ha muntlig eksamensseminar til våren. Han reagerte med vantro da det ble klart at Zoom var programmet som skulle brukes under muntlig eksamen.

– Jeg trodde de tulla. Og jeg har siden da vurdert om det er verdt det.

Han forteller videre at det stadig kommer rapporter om nye sikkerhetshull i programvaren. En av de største kritikkene mot programmet er at den tar snarveier rundt sikkerhetsstegene under installasjonsprosessen på Apple sin maskinvare. Dette er grunnen til at Zoom ikke finnes i deres appnettbutikk.

Les også: Motivasjonssvikt midt i en pandemi er lov.

Serveren NTNU bruker er likevel sikker, noe som letter på noe av skepsisen til Paulsrud.

– Det betyr at alle personvernsproblemene med Zoom blir borte fra mine bekymringer. Men resten av bekymringene har jeg fortsatt, sier Paulsrud.

Muntlig eksamen på mobil?

Generelle bekymringer blant Zoom-brukere er knyttet til frykt for at data sendes til Facebook, at personlig informasjon tilgjengeliggjøres og at tjenesten ikke er ende-til-ende-kryptert.

Paulsrud vurderer selv å bruke mobilappen i stedet for PC under eksamen. Han anser mobilappen som tryggere enn å bruke Zoom for ios eller windows. Selv om det ikke er optimalt, ser han på det som det beste alternativet når han opplever pc-versjonen som usikker.

– Jeg føler meg ikke trygg med bruk av Zoom. Microsoft Teams har en betydelig bedre sikkerhet og er også på NTNUs egne servere. Jeg fatter ikke hvorfor NTNU ikke bruker Teams slik som mange andre store organisasjoner. Jeg er ikke glad i Microsoft Teams, men jeg bruker heller det enn Zoom.

Les også: 370 emner får godkjent/ikke godkjent.

Kvalitetssikres av seksjonen for digital sikkerhet

Mange av sakene i media har handlet om Zoom sin gratisversjon. Dette er ikke den samme versjonen som universitets- og høgskolesektoren bruker. NTNU har en egen versjon levert av Uninett AS, og tjenesten kvalitetssikres av seksjonen for digital sikkerhet ved NTNU, hvor Stian Husemoen er seksjonsleder.

– Zoom har anerkjent problemene og leverte raske oppdateringer som har fikset mange av svakhetene og sårbarhetene. Så langt er vi fornøyd med Zoom som leverandør på dette området.

Husemoen kan videre fortelle at Zoom i utgangspunktet ble valgt for å ha flercampus-undervisning mellom byene der NTNU har campus. I tillegg er programvaren også valgt som nettundervisningsløsning av flere i utdanningssektoren. Siden universitetet hadde tidligere erfaring med systemet, ble det et naturlig valg når koronaviruset nådde Norge.

– Zoom er veldig brukervennlig og takler mange-til-mange-møter mye bedre enn for eksempel Skype for Business og Microsoft Teams. Den takler også dårligere båndbredde bedre, noe som er viktig nå som alle sitter på sine egne hjemmenett.

Studenter og ansatte kan føle seg trygge

Mye av bekymringen rundt Zoom har dreid seg om manglende ende-til-ende-krypteringer. Ende-til-ende-krypteringer sikrer at bare du og personen du snakker med får tilgang til meldinger og filer som sendes. Disse krypteres før de sendes over nettverket med en nøkkel som bare deles mellom deg og mottaker. Husemoen forteller at svakere krypteringer i videomøteløsninger ikke er uvanlige, og gjelder også for programmene Teams og Skype.

– Grunnen til at slik kryptering ikke er vanlig for video er at videostrømming er veldig krevende for maskinvareressursene på PC-en din. Derfor brukes noe enklere krypteringer for å spare på disse og øke kvaliteten på møtene.

Les også: En tredjedel av regjeringens ekstralån blir omgjort til stipend.

For at studenter og ansatte skal være trygge, bistår seksjon for digital sikkerhet med å gjøre risiko- og sårbarhetsanalyser og vurderer løsninger for bedre sikkerhet. Seksjonen overvåker også trusselbildet og hvilke sårbarheter som ligger i systemene til NTNU. Zoom har blitt et kritisk system for universitetet, som gjør at det overvåkes spesielt nøye.

– Både studenter og ansatte kan føle seg trygge på at deres persondata er sikre når de benytter vår Zoom-løsning, forsikrer Husemoen.

Nordisk samarbeid

Uninett AS, som leverer Zoom til NTNU, forsikrer om at Zoom skal være trygt å bruke for studenter. Avdelingsdirektør i Uninet, Vidar Faltinsen, forteller at deres Zoom-tjeneste er trygg og ivaretar personvern.

– Den viktigste forskjellen ligger i hvordan personvern blir ivaretatt. Et av problemene med gratisversjonen av Zoom er at man vil benytte servere i USA, som ikke følger norsk personvernlovgivning og GDPR.

I samarbeid med de andre nordiske landene så Uninett et behov for en egen installasjon der man hadde full kontroll på sikkerhet og personvern.

– Uninetts Zoom-tjeneste benytter Feide. I gratisversjonen av Zoom bruker man gjerne en Facebook eller Google-konto og er mer eksponert for at passord flyter over til tredjepart, forteller Faltinsen.

Uninet som leverer Zoom til NTNU forsikrer om at deres tjenester er regulert gjennom en databehandleravtale, som forsterker sikkerheten. Det hjelper også at all videotrafikk er i Norden, og at persondataen er i Europa.

– På denne måten er behandling av persondata regulert på en god og trygg måte, sier Faltinsen.