Gli attacchi contro il VoIP sono in aumento ed è importante che le aziende sappiano come difendersi, rispettando al tempo stesso le normative che richiedono la prova che la sicurezza del sistema rispetta le normative in continua evoluzione.
Quali sono le minacce?
Secondo gli esperti del settore, molte aziende non dispongono ancora nemmeno di una protezione crittografica di base contro problemi come il rifiuto di servizio VoIP, gli attacchi di intercettazione e le frodi telefoniche. Si tratta di una questione che deve essere affrontata con urgenza a causa del rischio che ciò possa renderli non conformi al fiorente quadro normativo, tra cui HIPPA (Health Insurance Portability & Accountability Act), PCI (standard delle carte di pagamento) e Sarbanes Oxley. Atto che viene rivisto così spesso da diventare una sorta di bersaglio mobile.
Questo problema è venuto alla ribalta negli ultimi anni a causa di eventi riguardanti richiami di prodotti legati alla sicurezza, frodi finanziarie e, purtroppo, disastri in termini di salute e sicurezza ambientale. I regolatori statunitensi e gli organismi di altre giurisdizioni hanno intensificato la lotta rafforzando il loro controllo legislativo. In generale, queste normative mirano a proteggere le informazioni personali che potrebbero portare a casi di furto di identità, conti bancari compromessi, frodi telefoniche aziendali o utilizzo fraudolento di carte di credito.
Sebbene il VoIP sia raramente affrontato direttamente in queste normative riviste, in molti casi le regole si applicano ancora a questa tecnologia. Gli standard PCI, ad esempio, impongono l’utilizzo di sicurezza e crittografia come SSL/TLS/IPSEC per salvaguardare i dati dei titolari di carta durante la trasmissione su reti pubbliche e aperte.
Ciò significa che le chiamate VoIP che viaggiano su Internet e includono i dettagli della carta di credito devono essere crittografate. Anche se ciò non si applica alle chiamate VoIP effettuate su reti interne, gli esperti temono che le aziende possano essere obbligate a verificare che queste chiamate siano crittografate. A seconda del linguaggio utilizzato nelle normative, ciò potrebbe essere interpretato come riferimento al VoIP.
Ad esempio, HIPAA ha affermato che le aziende devono adottare misure per rendere sicure le informazioni sanitarie gestite elettronicamente. Ciò potrebbe non essere immediatamente associato alle chiamate VoIP, ma potrebbe avere un impatto sulle chiamate registrate o sull'archiviazione della posta vocale digitale, che fanno entrambi parte della maggior parte dei sistemi VoIP. Allo stesso modo, se si utilizza un sistema vocale interattivo per navigare verso informazioni protette, il suo utilizzo deve essere monitorato e documentato.
Al contrario, la Federal Deposit Insurance Corporation (FDIC) degli Stati Uniti ora pubblica linee guida specifiche per VoIP che cercano di proteggere tutti i dati dei clienti che viaggiano nelle reti vocali IP secondo le normative Graham Leach Billey. I rischi associati all'uso del VoIP devono essere valutati insieme ad altre valutazioni periodiche del rischio aziendale in base a questo consiglio. Eventuali punti deboli devono essere corretti non appena vengono identificati e vengono elencate altre nove raccomandazioni che le organizzazioni devono rispettare.
Un esempio di minaccia reale alla sicurezza è descritto da un insider del settore VoIP come segue. Un cliente che sospettava un'intercettazione ha deciso di inserire informazioni falsificate nelle chiamate VoIP per vedere se venivano poi riferite dalle persone che sospettavano stesse ascoltando. È emerso che le chiamate VoIP erano state intercettate da terzi che avevano accesso alla rete aziendale. C'è un altro esempio spesso citato in cui si è avuto accesso illecito alle comunicazioni video di un amministratore delegato.
Terminazione vocale: il futuro
Alcuni leader aziendali cercano di istruirsi per restare al passo con le normative, ma questo è notoriamente difficile da fare. Molti altri trascurano completamente il VoIP, considerandolo “semplicemente” un sistema telefonico invulnerabile. Man mano che le normative diventano più complesse, le aziende saranno costrette ad affrontare frontalmente la conformità VoIP, possibilmente investendo in strutture interne per monitorarle e implementarle o pagando per i servizi di un esperto di terze parti.
I compiti possono diventare rapidamente travolgenti per un dipartimento IT di medie dimensioni, che oltre a soddisfare le richieste delle autorità di regolamentazione e produrre report di conformità ogni trimestre, può anche richiedere la verifica della sicurezza come parte di altri contratti. Le aziende che registrano abitualmente le proprie chiamate VoIP dovranno considerare le normative in termini di archiviazione delle stesse, nel caso in cui si verifichi un accesso illecito alle conversazioni.
È una buona idea rispondere ai dettagli degli attacchi pubblicati confrontando i sistemi coinvolti con i propri per esaminare attentamente le difese. Avresti potuto impedire che si verificasse un attacco simile? Se la risposta è no, sarà necessario intraprendere ulteriori azioni. Tuttavia, l’opportunità di imparare dalle disgrazie degli altri è limitata perché non vi è alcun incentivo per le aziende a rivelare se hanno subito una violazione.
Qui a IDT siamo un'azienda che può trarre vantaggio dai servizi di consulenti e altri specialisti e ha una comprovata esperienza nell'implementazione di soluzioni VoIP.
