تتزايد الهجمات على بروتوكول الصوت عبر بروتوكول الإنترنت (VoIP) ومن المهم أن تعرف الشركات كيفية الدفاع عن نفسها ، مع الالتزام أيضًا بالمنظمين الراغبين في إثبات أن أمان النظام يطيع الأنظمة المتغيرة باستمرار.
ما هي التهديدات؟
لا تزال العديد من الشركات تفتقر حتى إلى حماية التشفير الأساسية ضد مشاكل مثل رفض خدمة VoIP وهجمات التنصت والاحتيال في الرسوم ، وفقًا لخبراء الصناعة. هذه مشكلة تحتاج إلى معالجة عاجلة بسبب الخطر الذي قد يجعلها غير متوافقة مع الإطار التنظيمي المزدهر ، بما في ذلك HIPPA (قانون نقل التأمين الصحي والمساءلة) و PCI (معايير بطاقة الدفع) و Sarbanes Oxley القانون الذي يتم مراجعته في كثير من الأحيان يكون شيئًا من الهدف المتحرك.
برزت هذه المشكلة في المقدمة في السنوات الأخيرة بسبب الأحداث التي تنطوي على عمليات سحب سلامة المنتجات ، والاحتيال المالي ، وللأسف ، الكوارث في الصحة والسلامة البيئية. صعد المنظمون والهيئات الأمريكية في ولايات قضائية أخرى المعركة من خلال تشديد الرقابة التشريعية. بشكل عام ، تسعى هذه اللوائح إلى حماية المعلومات الشخصية التي يمكن أن تؤدي إلى حالات سرقة الهوية ، أو الحسابات المصرفية المخترقة ، أو الاحتيال في رسوم هاتف الشركة أو الاستخدام الاحتيالي لبطاقات الائتمان.
في حين نادراً ما يتم تناول بروتوكول VoIP مباشرة في هذه اللوائح المعدلة ، لا تزال القواعد تنطبق على هذه التكنولوجيا في كثير من الحالات. على سبيل المثال ، تحدد معايير PCI متطلبات استخدام الأمن والتشفير مثل SSL / TLS / IPSEC من أجل حماية بيانات حامل البطاقة أثناء نقلها عبر شبكات عامة مفتوحة.
هذا يعني أنه يجب تشفير مكالمات VoIP التي تمر عبر الإنترنت المفتوح وتتضمن تفاصيل بطاقة الائتمان. على الرغم من أن هذا لن ينطبق على مكالمات VoIP التي يتم إجراؤها على الشبكات الداخلية ، إلا أن الخبراء يخشون أن تكون الشركات ملزمة بالتحقق من أن هذه المكالمات مشفرة. اعتمادًا على اللغة المستخدمة في اللوائح ، يمكن تفسير ذلك على أنه يشير إلى VoIP.
على سبيل المثال ، قال HIPAA أن الشركات تحتاج إلى اتخاذ خطوات لجعل المعلومات الصحية المدارة إلكترونيًا آمنة. قد لا يرتبط هذا على الفور بمكالمات الصوت عبر بروتوكول الإنترنت (VoIP) ولكنه قد يؤثر على المكالمات المسجلة أو تخزين البريد الصوتي الرقمي ، وكلاهما جزء من معظم أنظمة الاتصالات عبر بروتوكول الإنترنت. بنفس الطريقة ، إذا تم استخدام نظام صوت تفاعلي في التنقل إلى المعلومات المحمية ، فيجب مراقبة استخدامه وتوثيقه.
على العكس من ذلك ، تنشر شركة تأمين الودائع الفيدرالية الأمريكية (FDIC) الآن إرشادات محددة لـ VoIP التي تسعى إلى حماية أي بيانات عميل تنتقل عبر شبكات IP الصوتية بموجب لوائح Graham Leach Billey. يجب تقييم المخاطر المرتبطة باستخدام VoIP إلى جانب تقييمات دورية أخرى لمخاطر الأعمال وفقًا لهذه النصيحة. يجب تصحيح أي نقاط ضعف بمجرد تحديدها وإدراج تسع توصيات أخرى للمنظمات التي يجب أن تمتثل لها.
أحد الأمثلة على وجود تهديد حقيقي للأمان يصفه أحد المطلعين على الاتصالات عبر بروتوكول VoIP على النحو التالي. قرر العميل الذي يشتبه في إجراء التنصت أن يزرع معلومات مزيفة في مكالمات VoIP لمراقبة ما إذا كان قد أشار إليها لاحقًا من قِبل الأطراف التي كان يشتبه أنه يستمع إليها. تبين أن مكالمات الصوت عبر بروتوكول الإنترنت (VoIP) قد تم استغلالها من قبل طرف ثالث لديه إمكانية الوصول إلى شبكة الشركة. هناك مثال آخر يتم الاستشهاد به غالبًا حيث تم الوصول بشكل غير قانوني إلى اتصالات الفيديو الخاصة بالرئيس التنفيذي.
إنهاء الصوت - المستقبل
يحاول بعض قادة الأعمال تثقيف أنفسهم من أجل مواكبة الأنظمة ولكن هذا أمر صعب للغاية. يتجاهل كثيرون آخرون الصوت عبر بروتوكول الإنترنت بالكامل ، معتبرين أنه "مجرد" نظام هاتف غير قابل للكسر. نظرًا لأن اللوائح تصبح أكثر تعقيدًا ، ستضطر الشركات إلى معالجة وجها لوجه بشأن الامتثال لبروتوكول VoIP ، ربما عن طريق الاستثمار في الهياكل الداخلية لرصدها وتنفيذها أو عن طريق الدفع مقابل خدمات خبير خارجي.
يمكن أن تصبح المهام مرهقة بسرعة لقسم تكنولوجيا المعلومات متوسط الحجم ، والذي بالإضافة إلى الامتثال لمطالب المنظمين وإنتاج تقارير الامتثال كل ثلاثة أشهر ، قد يطلب أيضًا التحقق الأمني كجزء من العقود الأخرى. ستحتاج الشركات التي تسجل مكالمات VoIP بشكل روتيني إلى النظر في اللوائح المتعلقة بتخزينها ، في حالة وجوب الوصول إلى المحادثات بشكل غير قانوني.
من الجيد الرد على تفاصيل الهجمات المنشورة من خلال مقارنة الأنظمة المتضمنة بأنظمتك من أجل فحص الدفاعات. هل يمكن أن تكون قد أوقفت وقوع هجوم مماثل؟ إذا كان الجواب لا ، فسيكون من الضروري اتخاذ مزيد من الإجراءات. ومع ذلك ، فإن فرصة التعلم من مصائب الآخرين محدودة لأنه لا يوجد حافز للشركات للإفصاح عما إذا كانت قد تعرضت لخرق.
نحن في IDT نحن شركات يمكن أن تستفيد من خدمات الاستشاريين وغيرهم من المتخصصين ولديهم سجل حافل في نشر حلول VoIP.