למידע נוסף על האבטחה ב-Google Workspace, אפשר לקרוא את ההסבר על האבטחה והפרטיות ב-Meet לGoogle Workspace.
למידע נוסף על האבטחה ב-Google Workspace for Education, אפשר לקרוא את ההסבר על האבטחה והפרטיות של משתמשי Meet בתחום החינוך.
אנחנו ב-Google מתכננים, יוצרים ומפעילים את כל המוצרים שלנו בתשתית מאובטחת, עם אמצעי אבטחה שמגינים על המשתמשים שלנו ועל המידע שלהם ושומרים על פרטיותם. Meet לא חריג במובן הזה, וכולל אמצעי אבטחה מובנים שמגינים על הפגישות.
Meet כולל מגוון רחב של אמצעי אבטחה שמגינים על פגישות הווידאו. אמצעי האבטחה האלה מונעים, בין השאר, פריצות לפגישות הווידאו כשמצטרפים אליהן מהמחשב או באמצעות הטלפון. אלו הם חלק מאמצעי האבטחה המרכזיים שאנחנו משתמשים בהם:
קוד פגישה – כל קוד פגישה מכיל 10 תווים, מתוך מערך של 25 תווים בכתובת ה-URL, כך שקשה יותר לנחש אותו בשיטה של ניסוי וטעייה (מתקפה מסוג Brute Force).
פרטי הפגישה – אפשר לשנות את הפרטים בהזמנה לפגישת הווידאו, אבל אם משנים את כל הפרטים, קוד הפגישה והקוד להצטרפות באמצעות הטלפון גם משתנים. אמצעי האבטחה הזה עוזר, למשל, למנוע ממי שמסירים אותו מההזמנה להצטרף לפגישה.
השתתפות בפגישה – ההגבלות הבאות חלות על מי שרוצה להצטרף לפגישת וידאו:
קוד פגישה – כל קוד פגישה מכיל 10 תווים, מתוך מערך של 25 תווים בכתובת ה-URL, כך שקשה יותר לנחש אותו בשיטה של ניסוי וטעייה (מתקפה מסוג Brute Force).
פרטי הפגישה – אפשר לשנות את הפרטים בהזמנה לפגישת הווידאו, אבל אם משנים את כל הפרטים, קוד הפגישה והקוד להצטרפות באמצעות הטלפון גם משתנים. אמצעי האבטחה הזה עוזר, למשל, למנוע ממי שמסירים אותו מההזמנה להצטרף לפגישה.
השתתפות בפגישה – ההגבלות הבאות חלות על מי שרוצה להצטרף לפגישת וידאו:
- המשתתפים לא יכולים להצטרף לפגישה יותר מ-15 דקות לפני השעה שנקבעה לה.
- רק משתמשים שהוזמנו לפגישה דרך היומן יכולים להצטרף אליה בלי לשלוח בקשת הצטרפות. משתמשים שלא הוזמנו לפגישה צריכים לשלוח בקשת הצטרפות ולחכות לאישור ממארגן הפגישה.
- רק מארגן הפגישה יכול לאשר למשתמשים שלא הוזמנו לפגישה דרך היומן להצטרף אליה. הוא גם יכול להזמין אנשים במהלך הפגישה.
- למארגני פגישות יש גישה נוחה לאמצעי אבטחה כמו השתקה והסרה של משתתפים. בנוסף, רק מארגן הפגישה יכול להסיר או להשתיק משתתפים ישירות במהלך הפגישה.
- מספר הגורמים שעלולים לשמש להתנהגות פוגענית מוגבל ב-Meet.
- המשתמשים יכולים לדווח על התנהגות פוגענית בפגישות.
כדי לשמור על המידע פרטי ומאובטח, אנחנו משתמשים באמצעי ההצפנה הבאים ב-Meet:
- כאשר משתמשים ב-Meet בדפדפן, באפליקציות ל-Android ול-Apple® iOS® ובציוד של Google לחדרי ישיבות – כברירת מחדל, כל הנתונים ב-Meet מוצפנים כשהם מועברים בין הלקוח ל-Google בפגישות וידאו.
- כברירת מחדל, ההקלטות של הפגישות שמאוחסנות ב-Google Drive מוצפנות כל עוד הן נשמרות בענן.
- Meet פועל בהתאם לתקני האבטחה של ארגון התקינה בנושאי האינטרנט (IETF) ל-Transport Layer Security (DTLS) ל-Datagram ולפרוטוקול להעברה בטוחה בזמן אמת (SRTP). למידע נוסף
Meet כולל אמצעי אבטחה רבים שמגינים על המידע ושומרים על פרטיותו:
- גישה ל-Meet – משתמשי Chrome, Mozilla® Firefox®, Apple Safari® ודפדפני Microsoft® Edge® החדשים לא צריכים להתקין יישומי פלאגין או תוכנות. השימוש ב-Meet הוא ישירות בדפדפן. לכן מספר נקודות התקיפה ב-Meet מוגבל ולא צריך לשלוח עדכוני אבטחה תכופים למכשירים של משתמשי הקצה. במכשירים ניידים, אנחנו ממליצים להתקין את אפליקציית Google Meet מ-Google Play (ל-Android) או מ-App Store (ל-iOS). למידע נוסף
- אימות דו-שלבי – אנחנו תומכים בכמה אפשרויות של אימות דו-שלבי (2SV) ב-Meet: מפתחות אבטחה, מאמת החשבונות של Google, הודעה מ-Google והודעות SMS.
- תוכנית ההגנה המתקדמת – משתמשי Meet יכולים להירשם לתוכנית ההגנה המתקדמת (APP) של Google. התוכנית כוללת את אמצעי האבטחה החזקים ביותר שלנו מפני התקפות פישינג ופריצות לחשבון. היא נועדה ספציפית לחשבונות הרגישים ביותר ולמיטב ידיעתנו אף משתתף בתוכנית לא נפל קורבן לפישינג, גם אם ניסו לתקוף אותו כמה וכמה פעמים. למידע נוסף
אנחנו מגינים על הפרטיות שלכם בכמה דרכים: בראש ובראשונה – השליטה בידיים שלכם. בנוסף, אנחנו כל הזמן מתחזקים את אמצעי האבטחה שלנו ומשפרים אותם. אנחנו גם מצייתים לחוקי הגנה על המידע ולתקנים נוספים המקובלים בתחום, כדי לאפשר לכם ליהנות מכל היתרונות של Google Meet. צוות הפרטיות שלנו מעורב בכל השקה של המוצר, ובודק את מסמכי התכנון ואת הקוד כדי לוודא שאנחנו מצייתים לדרישות הפרטיות.
- שליטה במידע שלכם – Meet פועל בהתאם לאותן מחויבויות מחמירות לפרטיות ואמצעי אבטחת מידע כמו שאר השירותים הארגוניים של Google Cloud. למידע נוסף
- אנחנו לא משתמשים במידע של לקוחות Google Cloud (ש-Meet הוא חלק ממנו) לפרסום. אנחנו לא מוכרים מידע של לקוחות Google Cloud לגורמי צד שלישי.
- כברירת מחדל, המידע של הלקוחות מוצפן בזמן העברתו וההקלטות של הפגישות שמאוחסנות ב-Google Drive מוצפנות כל עוד הן נשמרות בענן.
- ב-Meet אין תכונות או תוכנות למעקב אחרי תשומת הלב של הלקוח.
- תאימות – גופים בלתי תלויים בודקים את האבטחה, הפרטיות והתאימות של כל המוצרים שלנו, כולל Google Meet, באופן שוטף. המוצרים שלנו מקבלים אישורים, אימותי תאימות (attestations) או דוחות מביקורות לעמידה בתקנים בכל העולם. כאן אפשר לראות את רשימת האישורים והאימותים שלנו ברחבי העולם.
- שקיפות – אנחנו עונים לבקשות ממשל בקשר למידע של הלקוחות בהתאם לתהליך מסודר, ובדוח השקיפות של Google אנחנו חושפים כמה בקשות ממשל קיבלנו ומאילו סוגים. למידע נוסף
ניהול אירועים הוא היבט מרכזי בתוכנית האבטחה והפרטיות הכוללת של Google, והוא חלק חיוני מהציות לתקנות פרטיות עולמיות, כמו GDPR. אנחנו מקפידים להשתמש בתהליכים המאובטחים ביותר כדי למנוע אירועים, לזהות אותם ולהגיב אליהם. למידע נוסף
מניעת אירועים
- ניתוח אוטומטי של הרשתות ויומני המערכת – ניתוח אוטומטי של התנועה ברשת ושל הגישה למערכת עוזר לנו לזהות פעילות חשודה, פוגענית או בלתי מורשית. פעילויות כאלה מועברות לטיפולו של צוות האבטחה של Google.
- בדיקות – צוות האבטחה של Google סורק ומחפש באופן יזום איומי אבטחה באמצעות בדיקות חדירה, מנגנוני בקרת איכות (QA), בדיקות לאיתור פריצות ובדיקות אבטחה לתוכנות.
- בדיקות פנימיות של הקוד – אנחנו סורקים את קוד המקור כדי לגלות פרצות אבטחה שמסתתרות בו, לזהות פגמים בעיצוב ולוודא שמנגנוני האבטחה מיושמים.
- תוכנית התמריצים של Google לפרצות אבטחה – מדי פעם, חוקרי אבטחה חיצוניים מדווחים לנו על פרצות טכניות שעשויות להיות בתוספים לדפדפנים, באפליקציות לניידים ובאפליקציות למחשבים של Google ועלולת לסכן את הסודיות או את התקינות של נתוני המשתמשים.
זיהוי אירועים
- כלים ותהליכים ספציפיים למוצר – אנחנו משתמשים בכלים אוטומטיים ככל שאפשר כדי לשפר את היכולת של Google לזהות אירועים ברמת המוצר.
- זיהוי שימושים חריגים – Google משתמשת בשכבות רבות של מערכות למידה חישובית כדי להבחין בין פעילות בטוחה של המשתמשים לבין התנהגות חריגה בדפדפנים, במכשירים, בהתחברות לחשבון באפליקציות ובאירועי שימוש אחרים.
- התראות אבטחה לשירותים במקומות עבודה ובמרכזי הנתונים – אנחנו סורקים את מרכזי הנתונים ונעזרים בהתראות על אירועי אבטחה שעלולים לפגוע בתשתית של החברה.
תגובה לאירועים
- אירועי אבטחה – ל-Google יש תוכנית תגובה לאירועים ברמה עולמית שמספקת את הפונקציות המרכזיות האלה.
- אנחנו משתמשים במערכות ניטור חדשניות, שירותי ניתוח נתונים ושירותי למידה חישובית כדי לזהות ולסכל אירועים באופן יזום.
- מומחים ייעודיים מגיבים לכל סוג או גודל של אירוע הקשור למידע.
כדי ליצור חוויה בטוחה לכל המשתתפים, חשוב ליצור מרחב בטוח לפגישות.
- חשבו פעמיים לפני שאתם משתפים קישורים לפגישות בפורומים ציבוריים.
- אם אתם צריכים לשתף צילום מסך של פגישה באופן ציבורי, הקפידו להסיר מצילום המסך את כתובת ה-URL (שנמצאת בסרגל הכתובות של הדפדפן).
- אם אתם רוצים להזמין אנשים לפגישה פרטית ב-Meet או להזמין קבוצת משתתפים שאתם סומכים עליהם, כדאי לשלוח את ההזמנות דרך יומן Google.
- הקפידו לבדוק בקשות הצטרפות ולאשר רק למשתתפים שאתם מכירים להצטרף לפגישה.
- אם נתקלתם בהתנהגות שפוגעת במהלך התקין של הפגישה או חוויתם התנהגות כזו, תוכלו להשתמש באמצעי האבטחה ששמורים למארגנים. למשל, תוכלו להסיר או להשתיק משתתפים.
- אנחנו מעודדים אתכם לדווח על כל התנהגות פוגענית בפגישות.
- אל תמהרו לשתף בפגישות מידע אישי, כמו סיסמאות, פרטי בנק או פרטי כרטיס אשראי ואפילו תאריך לידה.
- כדאי להפעיל את ההגדרה אימות דו-שלבי, כדי למנוע מגורמים זרים להשתלט על החשבון שלכם אם הם יודעים את הסיסמה.
- מומלץ להירשם לתוכנית ההגנה המתקדמת – שכבת ההגנה הגבוהה ביותר שיש ל-Google להציע מפני פישינג ופריצה לחשבון.
- בצעו את בדיקת האבטחה. פיתחנו את הכלי הזה, שפועל שלב אחר שלב, כדי לתת לכם המלצות אבטחה מעשיות ומותאמות אישית. הן יעזרו לכם לשפר את האבטחה של חשבון Google.