השימוש בתוכנת Teams של מיקרוסופט מעורר סיכון גבוה בעיבוד מידע רגיש – כך מצא משרד המשפטים ובטחון המולדת ההולנדי בתסקיר השפעה על הגנת מידע (Data Protection Impact Assessment, או DPIA) שפרסם בשבוע שעבר.
התסקיר נערך בשיתוף עם מיקרוסופט, גוגל, אמזון וארגון SURF. מלבד תוכנת Microsoft Teams, התסקיר בחן גם את תוכנות OneDrive, SharePoint Online ו-Azure Active Directory. הדו"ח גילה סיכון גבוה בקיומה של תקשורת לא מוצפנת ואחסון מידע רגיש ב-Teams, בשל האפשרות של גורמי אכיפה ומודיעין אמריקנים לגשת למידע אישי רגיש. הסיכון קיים גם כאשר התוכנות מצויות בשימוש באירופה בלבד, בשל היכולת של ממשלת ארה"ב לדרוש ולקבל גישה למידע באמצעות ה-CLOUD Act האמריקני. ניתן להתגבר על סיכון זה ב-OneDrive ו-SharePoint באמצעות מפתחות הצפנה נוספים, אך לא קיימת אפשרות להצפנה מקצה לקצה לשיחות מרובות משתתפים ב-Teams. אפשרות זו קיימת רק בשיחות וידאו לא מתואמות בין 2 משתתפים.
הדו"ח מיפה גם שישה סיכונים במדרג נמוך יותר:
- העברת מידע דיאגנוסטי ואבטחתי לארה"ב מהווה סיכון להגנה על מידע
- השקיפות של מיקרוסופט לקויה לגבי איסוף מידע טלמטרי מהדפדפן
- הכלי של מיקרוסופט להסרת המידע הדיאגנוסטי וסיוע לבקשות נושאי נתונים לא ידידותי מספיק למשתמש
- מיקרוסופט יכולה לאסוף את שם המשתמש וכתובת הדוא"ל של עובד, ולקשרו לנתיב ולשם המסמך
- השירותים האנליטיים שמיקרוסופט מציעה ב-Teams שמספקים מידע מפורט על התנהלות העובדים ופועלים כברירת מחדל דורשים התערבות מעמיקה כדי לכבותם.
- מיקרוסופט צריכה לבטל את תעבורת המידע בין מנוע החיפוש שלה, Bing, לבין Sharepoint, כאשר הלקוח הארגוני מבקש זאת.
המשרד הבהיר כי ארגונים צריכים להימנע מהעברת מידע רגיש באמצעות Microsoft Teams, בשל המגבלה על שימוש במפתחות הצפנה הארגוניים שלהם. מיקרוסופט מסרה בתגובה כי היא מתכננת להטמיע אפשרות ההצפנה מקצה לקצה גם בשיחות מרובות משתתפים ותאפשר גם שימוש במפתחות הצפנה נוספים, אך לא ציינה מתי תעשה זאת.