Att skapa stabila och välfungerande direktsändningar är ingen liten bedrift. Om man vill ha stabil uppkoppling, välfungerande användarinteraktion och implementera bästa praxis beträffande säkerhet, måste man kavla upp armarna. Ett livestreamat evenemang kräver aktiva arrangörer, teknisk kunniga individer inom många olika områden och säkerhetsexperter. Aspekter som deltagarnas integritet och säkerhet måste prioriteras, vilket kräver både förberedelse och aktivt samarbete under själva sändningen.
Risker och sårbarheter
Det första man måste tänka på när man sänder någonting live är att vem som helst kan ladda ned och sprida innehållet. Även om inte själva sidan gör det möjligt för användare att direkt ladda ned videon till sin enhet, kan de alltid göra en manuell skärminspelning och därigenom “stjäla” innehållet för egen distribution. Genom att använda liknande strategier kan individer också streama sändningen i andra hand – en stream av en stream, alltså.
Folk som försöker kringgå upphovsrättsskydd är en sak, men ibland kan tjänsterna själva vara otillräckligt säkrade. Det har funnits fall då sårbarheter i autentiseringsprocessen (svaga inloggningssystem eller diverse dataläckage) gjort det möjligt för obehöriga tittare att delta i livesändningen.
För att undvika detta gäller det att man använder rätt teknologi och plattform. Kryptering, skydd mot DDoS-attacker och andra strukturella skydd är väsentliga. Vi vill också poängtera att arrangörer har ett ansvar gentemot deltagare och tittare. Dataintegritet kan inte förbises, utan bör ses som en av beståndsdelarna i ett fullständigt säkerhetsarbete.
Säker arkitektur
Säkerhet bygger på planering. För att skapa en stabil grund krävs det att man implementerar ett skydd som består av flera lager. Specialanpassade säkerhetssystem, DRM-skydd (Digital Rights Management) och moderna krypteringsstandarder är måsten. Ett robust DRM-system är det som stoppar obehöriga användare från att få åtkomst till evenemanget. Vidare ser det till så att innehållet inte stjäls och publiceras på platser som ägaren av upphovsrätten inte godkänt.
Det finns mer avancerade kontrollmekanismer än enbart lösenord. System som implementerar tidsbegränsningar, krav på automatiserade och upprepade signeringar samt andra säkerhetslösningar som tvingar kontinuerlig verifikation rekommenderas. Dessa system kan vara aktiva i bakgrunden och behöver inte nödvändigtvis störa användarupplevelsen.
Att ha rätt arkitektur från början gör att man ligger steget före i säkerhetsarbetet. Se också till att implementera rimlig geoblockering så att enbart behöriga regioner kan komma åt innehållet. Även om det numera är möjligt att kringgå dessa blockeringar genom en VPN-tjänst är det fortfarande viktigt att täcka denna punkt. De flesta använder inte VPN-tjänster, så blockeringen är fortfarande effektiv.
Nätverkssäkerhet
Innehållsskydd är viktigt, men nätverksarkitekturen måste också vara välkonstruerad för att erbjuda en säker och effektiv tittarupplevelse. Arkitekturen är också viktig för att se till så att systemet inte blir överbelastat av de höga hastigheterna som krävs för streaming. Att ha flera reservpunkter och anslutningar gör att man kan fortsätta livestreamen trots att uppkopplingen är dålig eller bryts vid en punkt. Livrem och hängslen!
Ett moståndskraftigt CDN (Content Delivery Network) som klarar av DDoS-attacker och som kan hantera stora volymer av användare (om antalet tittare överskrider det man förväntat sig) är också behövligt.
Kombinera allt detta med professionell realtidsövervakning av prestanda och trafik för att hitta suspekta avvikelser så fort som möjligt. Anlita säkerhetsexperter som kan hantera unika säkerhetsutmaningar och implementera säkra protokoll som HTTPS tillsammans med skräddarsydda krypteringslösningar och en väl genomtänkt segmentering av nätverket.
Integritet
Att hantera personuppgifter på ett säkert sätt är en komplex uppgift. Det första man kan göra är att säkerställa så att tjänsten enbart samlar in absolut nödvändig information. Detta gör det enklare att hålla koll på data. Användarnas personliga integritet bör prioriteras. Informationen som man samlar in måste också anonymiseras. Om någon lyckas göra intrång i nätverket kan de då inte använda informationen för att genomföra identitetsstölder eller på annat sätt utgöra ett direkt hot mot användarna. Vidare bör informationen krypteras och inte lagras i klartextformat.
Om man samlar in kritisk information har man en obligation att se till så att säkerheten är i världsklass. Även om man täcker sig rättsligt har man ändå ett etiskt ansvar gentemot sina användare. Intrång i företagens system kan innebära skadat rykte för företaget och problem för individuella användare på en personlig nivå. Respektera användarnas integritet genom att implementera stark säkerhet!
Incidenthantering
Förebyggande arbete är viktigt, men det är minst lika viktigt att ha protokoll för incidenthantering. Ansvariga individer bör ha en konkret checklista av potentiella strategier som de kan implementera. Beslutsfattande som sker on-the-spot kan såklart också behövas och det är därför man anlitar experter, men bara för att man har ett kompetent säkerhetsteam som själva vet hur de ska hantera diverse situationer betyder inte det att man ska skippa planering av incidenthantering och ha fasta protokoll för hur katastrofscenarion ska hanteras. Om säkerhetsteamet vet exakt vad de ska göra vid en incident kan de agera snabbare samtidigt som de har mentalt utrymme för kreativt tänkande och anpassningar.
Efter en attack kommer incidenten att behöva granskas närmare. Den forensiska undersökningen kräver att systemet sparar all aktivitet i detaljerade loggar. På så sätt finns det möjligheten att hänvisa till saker i efterhand, vilket gör det möjligt att ta reda på vad som hände och använda det man lärt sig för att motverka liknande attacker i framtiden.
Anpassade lösningar
Det finns gott om välutvecklade standardverktyg inom säkerhet, men i vissa fall krävs egenutvecklade interna lösningar. Ledande organisationer verksamma inom livestreaming använder ofta teknologi som är speciellt utformad för att hantera just deras unika utmaningar. Att välja rätt plattform för sitt evenemang eller att konstruera en egen plattform på ett sätt som passar specifika behov är att rekommendera.Det är dock inte alltid man har tillräckligt med resurser för att detta ska gå ihop rent praktiskt. Då kan det istället vara så att man får nöja sig med standardiserade paket. Med AI-baserad övervakning av användare finns det många nya möjligheter. Algoritmerna som används i dagsläget är så pass sofistikerade att specialutvecklade verktyg sällan behövs så länge evenemanget som livestreamas inte har väldigt specifika behov.
