Känns som att två saker är lite vardag under coronakrisen. Dels att antalet smittade och döda i covid-19 fortsätter öka rätt kraftigt och dels att nya säkerhetshål avslöjas i videokonferenstjänsten Zoom. Men gällande det senare också förhållandevis bra agerande och krishanterande av Zoom själva. Kort sagt lärdomar för andra att ta med sig.
En av de stora vinnarna så här långt under coronakrisen är videokonferenstjänsten Zoom. När stora delar av världen har förpassats till hemmasittande så har behovet av distansarbetsverktyg skjutit i höjden. På ett kvartal gick Zoom från 10 miljoner samtidiga användare till över 200 miljoner. Ett väldigt angenämt problem i det stora hela.
Men det har också gjort att Zoom har granskats betydligt hårdare än tidigare. Då har det visat sig att Zoom lämnar en hel del att önska såväl vad gäller säkerhet som hantering av användardata.
Zoom har brustit rejält inom säkerhet och hantering av användardata
Saker som att Zoom inte har använt helt krypterad kommunikation trots att man påstått det, att man har rundat säkerhetsfunktioner vid installation av programvara på macOS, att Zoom har använt namngivningar av mötes-ID:n och videoinspelningar på ett sätt som gjort det hyfsat lätt att gissa sig till dem, att man gjort det möjligt att komma åt systemfiler och lösenord på Windows, slussat trafik via kinesiska servrar trots att man sagt att man inte skulle göra det och att man har utan tillåtelse har delat Zoom-användares LinkedIn-information med andra Zoom-användare.
Men det ha också handlat om saker som att det medvetet låga tröskeln för att ansluta till ett Zoom-samtal gjort zoombombande till en företeelse. Med andra ord när någon kommer över en Zoom-inbjudan och sabbar en samtal eller en konferens med innehåll som inte lämpar sig på jobbet eller i en undervisningssituation.
Det har gått så långt som att Zoom har svartlistats som tjänst på sina håll – och av FBI – på grund av de allvarliga säkerhetshålen.
Det finns alltså en hel del saker där Zoom har… förbättringspotential. Men Zoom har också gjort flera saker rätt.
3 saker som Zoom har gjort fel
1. Zoom har prioriterat (för) låg ingångströskel före säkerhet
Det som är en av de främsta anledningarna till att Zoom har blivit så populärt nu är också en av de främsta anledningarna till att Zoom nu har hamnat i nuvarande situation. Det har varit väldigt enkelt att starta ett Zoom-samtal. En länk så är man rätt mycket igång. Enkelt att välja att spara en inspelning av ett videosamtal.
Däremot har man, som ofta blir fallet, gjort det väl enkelt för sig när det handlar om hur man har byggt sin struktur för hur länkar och filnamn skapas. Man har också gjort det möjligt att kunna kliva direkt in i ett samtal utan att den som kallar till mötet behöver godkänna. Det här i sig är inte Zoom-unikt, förstås, och ännu ett sätt att göra det bekvämt för sina användare – men det har också öppnat tjänsten för att ”kapas” utifrån. Man har helt enkelt valt att börja med minst säkra men för de flesta bekvämaste inställningen. Vill man höja säkerheten krävs att man aktivt gör det, exempelvis som mötesinbjudare.
Det här är i stort rätt tänkt – men problemet som har blivit uppenbart är att det nu har kommit in en massa mer ovana användare. Och ironiskt nog så har vårt höga förtroende för digitala tjänster nu lett till att vi bara utgår från att tjänsterna vi använder är säkra åt oss, så att säga. Att vi själva inte behöver ta det ansvaret.
Visst är det till syvende oss sist användarens ansvar, men genom att vi har outsourcat säkerhetskollandet till företagen som bygger tjänsterna vi använder så blir reaktionen extremt negativ om det visar sig att vi har blivit ”lurade”. Det kan alltså ge varumärket en rejäl törn.
Det kan med andra ord vara idé att säkerhetsmässigt inte lägga sig helt i bekvämlighetshörnet, utan istället låta användare själva sänka tröskeln. Och att de då blir medvetna om vad de gör.
2. Zoom har medvetet rundat säkerhetsrutiner på andra plattformar
När Facebook blev påkomna med att ha samlat in omfattande data om vad användare gjorde i sina mobiler (även i konkurrenters tjänster) via en ”marknadsundersökningsapp” så skapade det förstås uppmärksamhet för att Facebook ”spionerade” på sina användare. Trots att användarna som använde appen hade laddat ner appen och gått med i det program som gav dem viss ersättning i utbyte mot att Facebook fick den här informationen. Visst, Facebook hade inte varit helt transparenta kring exakt hur mycket av telefonanvändningen som samlades in (och värre: man hade samlat in information om minderårigas användning).
Men det var inte Facebook själva som drog tillbaka sin app när det här uppdagades. Apple hann före. Det visade sig att Facebook hade brutit mot användarvillkoren för ett Enterprise-utvecklarkonto i Appstore, vilket ledde till att Apple rätt omedelbart plockade bort appen och gav Facebook smisk på fingrarna.
Det gjorde att Apple, åtminstone lite grann, kunde plocka pluspoäng på att de visade sig bry sig om sina användare medan Facebook dessutom förlorade möjligheten att själv ta initiativet att dra tillbaka appen. Men det ledde också till sämre relation mellan Apple och Facebook.
Nu handlade det här inte om en inte alls affärskritisk app för Facebook. Men för en betydligt mindre och nyare spelare kan strypta distributionskanaler förstås bli betydligt allvarligare. Inte minst just i relationen med den plattform man är beroende av för sin verksamhet.
3. Zoom har gjort saker för användarnas bästa – utan att be om lov
Om man vill sammanfatta Facebooks största problem efter Cambridge Analytica så har det inte främst handlat svajig säkerhet kring användarnas data. Det har mest handlat om att man har gjort saker utan att först be om lov.
Med tanke på att vi drunknar godkännanderutor så fort vi börjar använda en digital tjänst så är det förstås nära till hands att vilja bespara sina användare ytterligare några. Inte minst som godkännandesteg kan göra att användarna säger nej.
Det här gäller även när man saker för användarnas eget bästa. Som när Apple blev påkomna med att sänka prestandan i äldre iPhone-modeller för att inte dränera batteriet och för att säkra att telefonen inte skulle stängas av. Det folk blev upprörda över var inte att Apple gjorde det här – utan att företaget gjorde det utan att säga något. Och utan att ge möjlighet att stänga av den här funktionen. Det ledde till att Apple blev beskyllda för att sänka hastigheter i sina mobiler för att få folk att köpa nya oftare. En onödig debatt för varumärket blev följden.
När Zoom automatiskt delade användares LinkedIn-information med andra användare i vissa fall så var säkerligen en rätt stor anledning att göra det enklare att veta vem man har på tråden. Ungefär det Microsoft själva gör mellan LinkedIn och Office-familjen.
Att be om lov innan man gör även saker som användaren har nytta av måste inte nödvändigtvis uppfattas som ett jobbigt extra steg. Det kan, rätt paketerat, leda till det omvända: bilden av ett företag som är ärligt och transparent. Och är det tillräckligt intressant så kommer användare ändå att säga ja. Om tjänsten är tillräckligt bra och förtroendet för företaget är tillräckligt högt.
Det handlar alltså i slutändan om att lita på sina kunder.
4 saker som Zoom har gjort bra i sin krishantering
Visst har Zoom alltså sig själva skylla till väldigt stor del. Men i hanteringen av situationen så har bolaget gjort flera saker väldigt rätt. Saker som är basala grejer under en kris, men som trots det så ofta hanteras fel när det väl börjar blåsa.
1. Zoom har pudlat och varit personliga och transparenta
I den kommunikation som Zoom har haft med sina användare via sin kundtjänst så har det säkert sagts saker som inte varit i linje med ovanstående. Det blir ofta så eftersom en kundtjänst ofta får ta de första smällarna utifrån de riktlinjer som gäller under normallägen. Men överlag så har Zoom varit snabba på att lägga sig fullständigt platta och erkänna sina fel. Även när det inte har handlat om ”fel” utan helt enkelt de vägval som Zoom har gjort som lett till att tjänsten blivit så uppskattad.
Dessutom har grundaren Eric Yuan varit företagets ansikte utåt. Visst, det är mer troligt när det handlar om ett techbolag där grundaren alltjämt är med i bilden – bara att titta på Mark Zuckerberg – men det är ändå ett tecken på att man tar situationen och framförallt användarna på allvar. Ryggmärgsreflexen hos många lär vara att skicka fram pressansvariga som ofta kan bli lite väl enkelspåriga i sin kommunikation.
Det räcker att titta på vilken resa som Facebook har gjort sedan Cambridge Analytica. Hela den krisen började med ett stämningshot mot The Guardian om de publicerade sitt avslöjande och följdes sedan av att Facebook under en-två år därefter fortfarande halkade in i konfrontativ försvarsställning vid varje nytt avslöjande kring datahantering som dök upp. Idag låter det helt annorlunda.
2. Zoom har snabbt fixat det som gått att fixa snabbt
Det här är förstås också extremt självklart. Zoom har agerat på de lågt hängande frukterna. Installationssäkerhetshålet på macOS täpptes till snabbt och Zoom har även slutat dela användares LinkedIn-information med andra Zoom-användare utan tillstånd. Nu gör man också insatser för att försöka stoppa zoombombandet genom att slå på väntrumsmötesfunktionen per default. Det betyder att den som bjuder in till mötet manuellt måste släppa in mötesdeltagare. Det krävs numer också ett lösenord för att bli insläppt via mötes-ID.
Att man täpper till kritiska säkerhetshål snabbt är en självklarhet. Kan man tycka. Men det kommer lite för ofta rapporter om att bolag som Apple och Google låter säkerhetshål ligga otätade lite för länge. Bolag som alltså har massiva avdelningar som jobbar med sin utveckling.
I fallet med installationsrutinen för macOS så känns det dessutom som något som borde vara lite halvmeckigt att fixa till snabbt – men det kan bero på att jag har för dåliga utvecklarskills. Det kan ha varit en busenkel fix.
Oavsett så har Zoom med bara någon eller ett par dagars ledtid fixat till några saker som har avslöjats. Det är trots allt bra jobbat. Både utvecklingsmässigt och varumärkesmässigt.
3. Zoom stoppar alla nyutveckling under 90 dagar för att fokusera på att rätta alla säkerhetsbrister
Vissa av de brister som har framkommit kommer förstås kräva mer tid att rätta till. Det ledde till att Zoom gick ut med att man stoppar all nyutveckling under 90 dagar.
Det här är också rätt självklart. Kan man tycka. Men alla som har arbetat med att utveckla digitala tjänster har nog varit med om att projekt ofta har prioritet framför ungefär allt annat. Framförallt högprofilerade sådana. De resurserna ska fredas så att man inte missar projekttidplanen. Här ställer alltså Zoom om helt (ja, det är åtminstone vad de säger, så vi får lita på det).
Men Zoom timeboxar också sin åtgärdsplan tydligt. En konkret tidsrymd istället för de mer luddiga ”vi ska åtgärda detta så snabbt vi kan”. Det har flera fördelar:
Man ger sina kunder ett löfte som man på ett enkelt sätt kan mätas på
Man ger sina kunder en indikation på hur stora insatser som kommer att krävas men att man är helt beredd att satsa det (egentligen säger det här att Zoom alltså har rejält bedrövligt stora hål om det här är vad som krävs för att fixa till dem – men genom att man tar initiativet så kan man styra narrativet till något mer positivt för Zoom)
Man kan plocka fler pluspoäng om man överlevererar. Om man blir klar före utsatt tidplan så kan man lite spela ”vi har jobbat dag och natt”-kortet (ja, förutsatt att man verkligen lyckats fixa alla fel)
4. Zoom har lyckats hålla sin tjänst igång trots den extrema växtvärken
Det här kan förstås också ses som något dåligt. Som ett beslut där man prioriterar sina intäkter (typ) före användarnas säkerhet. Att man borde ha stängt ned alltihop till dess att man åtgärdat felen.
Men Zoom har valt, tja, den svenska vägen. Istället för att stänga ner allting så har man valt att låta tjänsten rulla på som vanligt. Visst betyder det förhöjd risk för att fler människor kan dö (i det här fallet: kan råka ut för att någon infekterar en Windows-dator via Zoom, exempelvis), men uppsidan med att hålla tjänsten igång överväger de relativt sett små nackdelarna. Inte minst som man kan luta sig mot att det hjälper människor att hålla sig ifrån varandra.
Men Zoom har också gjort ett jättejobb med att överhuvudtaget hålla sin tjänst uppe. Man har alltså gått från en daglig genomsnittspeak på 10 miljoner samtidiga användare till 200 miljoner. En ökning med 1900 %. På ett kvartal. Det är en bedrift som till och med riktigt stora och etablerade företag har svårt att matcha (läs: de har drabbats av problem vid betydligt mindre ökningar). Inte minst som vi pratar om rätt stora användarsiffror redan från början och att peaknivån förmodligen är nära nog normalläget just nu.
Jag har heller inte sett något om driftstörningar i Zoom. Eller hört från bekantskapskretsen. Inte så att jag inte tror att det har varit problem för Zoom på sina håll, men med tanke på hur mycket företaget har hamnat i strålkastarljuset så misstänker jag att vi hade hört om de hade drabbats av omfattande och vanligt förekommande störningar.
Så den ljusnande framtid är Zooms?
Vad händer nu? Och när de 90 dagarna har passerat? Är Zoom företaget som kommer ta över som världens videokonferensjätte? Det vet vi förstås inte. Användningen lär förstås minska ganska mycket när någon form av vardag börjar återvända – och inte bara för Zoom. Men det som kommer intressant att se är hur Zoom kommer stå sig i konkurrensen.
Zoom är trots allt en Spotify. En indieartist bland storbolagsstjärnor. Visst. Vi pratar om ett jättebolag. I skrivande stund har Zooms börsvärde skjutit upp till runt 36 miljarder dollar. Det är nästan på pricken vad Spotify och Snap är värda – tillsammans. Men det är å andra sidan ungefär vad Apple och Google sammantaget gjorde i vinst – sista kvartalet 2019.
Världens techgiganter har alla tjänster som i mångt och mycket överlappar Zooms verksamhet. Uppsvinget för samarbetsverktyg för arbetslivet som coronakrisen har medfört lär göra att alla andra bolag kommer att lägga ännu mer kraft och resurser på det här segmentet .Och likt Spotify så har Zoom i grund och botten bara en intäktskälla, medan konkurrenterna står på betydligt fler ben.
Zooms jätteframgångar senaste månaderna kan ironiskt nog ha gjort att de har hoppat upp rätt många pinnhål i uppköpstrappan. Att de alltså kan vara ett ännu mer intressant uppköp nu trots sin betydligt högre prislapp.
Men coronakrisen har åtminstone gett Zoom någon form av åtminstone fotnot i historieböckerna.
Och i lite mer kortsiktigt perspektiv så kan vi alltså lära rätt mycket av Zoom. Både som tjänst och företag.