Så löste svenska universitet säkerhetsproblemen i Zoom

2020-04-16 15:00  

Coronautbrottet har fått Zoom-användningen att explodera på svenska lärosäten. För att skydda känslig data används en skräddarsydd version av den hårt kritiserade tjänsten. Nu kan en kvarts miljon studenter videochatta samtidigt.

Fjärrundervisning är inte något helt nytt i universitetsvärlden, men coronapandemin har gjort att majoriteten av svenska lärosäten för högre studier på rekordkort tid har behövt gå över till att bedriva i princip all undervisning på distans.

En tjänst som har varit avgörande för den snabba övergången är videokonferensprogrammet Zoom. I dag har svenska lärosäten kapacitet för att 250 000 lärare och studenter ska kunna använda tjänsten samtidigt. Fram till mars i år låg taket på 10 000 samtidiga användare, men med hjälp av Zoom och Amazon kunde svenska högskolor och universitet snabbt skala upp kapaciteten.

Grafik: Jonas Askergren

Grafik: Jonas Askergren

Säkerhetsexperter varnar för Zoom

Videokonferenstjänsten Zoom har blivit mycket populär i spåret av coronakrisen. Samtidigt har tjänsten fått utstå skarp kritik för bristande säkerhet.

Listan över Zooms missöde kan göras lång. Ett graverande exempel är en tidigare sårbarhet som gjorde det möjligt för hackare att lura till sig krypterade autentiseringsuppgifter till Windows.

Säkerhetsbristerna fick MSB, Myndigheten för samhällsskydd och beredskap, att gå ut med en varning för att använda Zoom bland annat eftersom tjänsten saknar end-to-end-kryptering. "Zoom är inte ett företag att lita på", sa it-säkerhetsutbildaren Karl Emil Nikka också i en kommentar till Ny Teknik.

Läs mer: Så jobbar du hemifrån utan att bli galen

Den bristande säkerheten har lett till att Zoom har förbjudits i New Yorks skolor. Men på högskolor och universitet i Sverige är det inte aktuellt att bannlysa tjänsten.

Orsaken?  Svenska lärosäten använder en specialanpassad variant av Zoom som är betydligt mer säker än den publika versionen av samma tjänst.

Därfor fortsätter högskolorna använda Zoom

Bakom lärosätenas egen installation av Zoom står det svenska universitetsnätverket Sunet.

– Vi tog tidigt ett beslut om att drifta en egen installation av Zoom. I samband med omläggningen av universitetsstudier till distansutbildning fick vi snabbt mångdubbla Zoom-kapacitet hos lärosätena. Användningen av Zoom har ökat explosionsartat på svenska högskolor, säger Valter Nordh, som är en Sunets tekniska chefer.

Mycket kritik har riktats mot Zoom på sistone. Varför väljer Sunet att ha kvar Zoom som verktyg för videokonferenser?

Det korta och enkla svaret: det är en tjänst som fungerar bra. Jag säger inte att Zoom är unikt, men för oss har det varit helt avgörande att snabbt kunna skala upp kapacitet för hur många användare som kan vara anslutna samtidigt. Som enda land i Europa, så vitt vi vet, har vi fått till ett avtal med Zoom och Amazon om att tillfällig öka kapacitet till en kvarts miljon användare samtidigt. Utan den kapacitetsökningen hade det inte gått att bedriva distansundervisning i den skala som görs i dag.

– Zoom har också flera funktioner som pedagogerna tycker är användbara, och som andra liknande tjänster saknar. Ett exempel är ”breakout rooms”, som gör det möjligt att dela upp eleverna i mindre grupper som får ett enskilt videorum och sedan kan återansluta till huvudkonferensen när de har gjort klart sitt grupparbete, fortsätter Valter Nordh.

Zoom-bombing” är ett problem som har drabbat skolor i exempelvis USA. Hur gör ni för att säkerställa identiteten hos studenterna så att inte vem som helst kan logga in mitt under pågående lektion?

– Sunet har tagit fram en identitetsfederation som heter Swamid. Det är en egen inloggningstjänst som fungerar lite som Bank-id. Varje elev på Sunet-anslutna lärosäten får ett eget konto, och det kontot används sedan för att logga in i Zoom och andra tjänster. Med Swamid får högskolorna också möjlighet att kräva tvåfaktorsautenticiering för it-verktyg och tjänster där särskilt känslig information ska hanteras.

Speciallösning skyddar studenternas data

Dessutom har flera åtgärder vidtagits för att säkerställa att personinformation om studenterna stannar på nordiska serverar, och inte skickas vidare till Zooms servrar i USA.

Läs mer: Nio synliga deltagare samtidigt i Microsoft Teams

Driften av Sunets Zoom-installation sköts av Nordunet, en gemensam organisation som knyter samman forsknings- och utbildningsnätverk i Norden. Det innebär bland annat all data från universitetens Zoom-möten lagras på dedikerade servrar i Köpenhamn och Stockholm.

– Den enda information som Zoom kan ta del är studenternas användarnamn och ip-adress. Zoom kan bara se mer information om möten eller användare om det behövs i ett supportärende. Men det är bara lärosätena som kan skicka in ett supportärende till Zoom, det är inte möjligt för studenterna.

Kan Sunet garantera att den personliga integriteten hos studenterna på svenska lärosäten som använder Zoom är fullständigt skyddad?

– Det är inte ett påstående som vi kan få stå för. Om någon skulle fråga om säkerheten hos Zoom är högre i jämförelse med ett vanligt telefonsamtal, är svaret ja. Men ingen tjänst är säker till 100 procent. Varje enskild högskola måste fatta ett eget beslut om hur Zoom ska användas. Sunet kan inte gå ut med några rekommendationer. Men vi informerar lärosäten om hur Zoom och andra tjänster fungerar, så att de kan användas på ett mer säkert sätt.

Kalle Wiklund

Mer om: Högskolor Sunet

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt