Die Angriffe auf VoIP nehmen zu, und es ist wichtig, dass Unternehmen wissen, wie sie sich verteidigen können. Gleichzeitig müssen sie die Vorschriften einhalten, die nachweisen wollen, dass die Systemsicherheit den sich ständig ändernden Vorschriften entspricht.
Was sind die Bedrohungen?
Laut Branchenexperten fehlt vielen Unternehmen noch ein grundlegender Verschlüsselungsschutz gegen Probleme wie VoIP-Denial-of-Service, Abhörangriffe und Mautbetrug. Dies ist ein Problem, das dringend angegangen werden muss, da das Risiko besteht, dass sie nicht den aufkeimenden rechtlichen Rahmenbedingungen entsprechen, einschließlich HIPPA (Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen), PCI (Standards für Zahlungskarten) und Sarbanes Oxley Handeln Sie, die so oft überarbeitet werden, dass sie so etwas wie ein sich bewegendes Ziel sind.
Dieses Problem ist in den letzten Jahren aufgrund von Ereignissen im Zusammenhang mit Rückrufen zur Produktsicherheit, Finanzbetrug und leider Katastrophen im Bereich Umwelt, Gesundheit und Sicherheit in den Vordergrund gerückt. US-amerikanische Aufsichtsbehörden und Stellen in anderen Gerichtsbarkeiten haben den Kampf verschärft, indem sie ihre gesetzgeberische Kontrolle verschärft haben. Im Allgemeinen zielen diese Bestimmungen darauf ab, personenbezogene Daten zu schützen, die zu Identitätsdiebstahl, kompromittierten Bankkonten, Betrug bei der Maut von Unternehmenstelefonen oder zur betrügerischen Verwendung von Kreditkarten führen können.
Während VoIP in diesen überarbeiteten Bestimmungen selten direkt angesprochen wird, gelten die Regeln in vielen Fällen immer noch für diese Technologie. Zum Beispiel legen PCI-Standards die Anforderung für die Verwendung von Sicherheit und Kryptografie wie SSL / TLS / IPSEC fest, um Karteninhaberdaten zu schützen, während diese über öffentliche, offene Netzwerke übertragen werden.
Dies bedeutet, dass VoIP-Anrufe, die über das offene Internet geführt werden und Kreditkartendaten enthalten, verschlüsselt werden müssen. Auch wenn dies nicht für VoIP-Anrufe in internen Netzen gilt, befürchten Experten, dass Unternehmen verpflichtet sein könnten, zu bestätigen, dass diese Anrufe verschlüsselt sind. Abhängig von der in den Vorschriften verwendeten Sprache kann dies so ausgelegt werden, dass es sich um VoIP handelt.
Beispielsweise hat die HIPAA erklärt, dass Unternehmen Schritte unternehmen müssen, um elektronisch verwaltete Gesundheitsinformationen abzusichern. Dies ist möglicherweise nicht unmittelbar mit VoIP-Anrufen verbunden, kann sich jedoch auf aufgezeichnete Anrufe oder die Speicherung digitaler Voicemails auswirken, die beide Teil der meisten VoIP-Systeme sind. Wenn ein interaktives Sprachsystem zum Navigieren zu geschützten Informationen verwendet wird, muss seine Verwendung auf die gleiche Weise überwacht und dokumentiert werden.
Umgekehrt veröffentlicht die US-amerikanische Federal Deposit Insurance Corporation (FDIC) jetzt spezifische Richtlinien für VoIP, mit denen Kundendaten, die in IP-Sprachnetzen übertragen werden, gemäß den Bestimmungen von Graham Leach Billey geschützt werden sollen. Die mit der Verwendung von VoIP verbundenen Risiken müssen zusammen mit anderen regelmäßigen Bewertungen des Geschäftsrisikos gemäß diesen Empfehlungen bewertet werden. Eventuelle Schwachstellen müssen behoben werden, sobald sie identifiziert wurden, und es werden neun weitere Empfehlungen aufgeführt, die Organisationen einhalten müssen.
Ein Beispiel für eine echte Sicherheitsbedrohung wird von einem VoIP-Branchenkenner wie folgt beschrieben. Ein Kunde, der vermutete, dass ein Abhören stattfand, beschloss, gefälschte Informationen in VoIP-Anrufe einzupflanzen, um zu beobachten, ob die von ihm verdächtigten Parteien später darauf hinwiesen. Es stellte sich heraus, dass die VoIP-Anrufe von einem Dritten abgehört wurden, der Zugang zum Unternehmensnetz hatte. Es gibt ein anderes häufig genanntes Beispiel, in dem auf die Videokommunikation eines CEO illegal zugegriffen wurde.
Sprachbeendigung - die Zukunft
Einige Unternehmer versuchen, sich weiterzubilden, um mit den Vorschriften Schritt zu halten, aber dies ist notorisch schwierig. Viele andere übersehen VoIP völlig und betrachten es als "nur" ein unverwundbares Telefonsystem. Mit zunehmender Komplexität der Vorschriften werden Unternehmen gezwungen sein, ihre VoIP-Compliance direkt zu regeln, indem sie möglicherweise in interne Strukturen investieren, um sie zu überwachen und umzusetzen, oder indem sie die Dienste eines Experten von Drittanbietern bezahlen.
Die Aufgaben können für eine durchschnittlich große IT-Abteilung schnell überwältigend werden, die nicht nur die Anforderungen der Aufsichtsbehörden erfüllt und vierteljährlich Compliance-Berichte erstellt, sondern möglicherweise auch im Rahmen anderer Verträge eine Sicherheitsüberprüfung verlangt. Unternehmen, die ihre VoIP-Anrufe routinemäßig aufzeichnen, müssen die Vorschriften für deren Speicherung berücksichtigen, falls auf illegale Zugriffe zugegriffen werden sollte.
Es ist eine gute Idee, auf Details veröffentlichter Angriffe zu reagieren, indem Sie die beteiligten Systeme mit Ihren eigenen vergleichen, um die Verteidigung zu überprüfen. Könnten Sie einen ähnlichen Angriff gestoppt haben? Wenn die Antwort Nein lautet, müssen weitere Maßnahmen ergriffen werden. Die Möglichkeit, aus dem Unglück anderer zu lernen, ist jedoch begrenzt, da Unternehmen keinen Anreiz haben, offen zu legen, wenn sie einen Verstoß erlitten haben.
Hier bei IDT sind wir ein Unternehmen, das die Dienste von Beratern und anderen Spezialisten in Anspruch nehmen kann und nachweisliche Erfolge bei der Bereitstellung von VoIP-Lösungen vorweisen kann.