Het aantal aanvallen op VoIP neemt toe en het is belangrijk dat bedrijven weten hoe ze zichzelf moeten verdedigen, terwijl ze tegelijkertijd de regelgeving naleven die bewijs wil dat de systeembeveiliging voldoet aan de steeds veranderende regelgeving.
Wat zijn de bedreigingen?
Volgens deskundigen uit de sector hebben veel bedrijven nog steeds geen enkele basisbeveiliging voor encryptie tegen problemen als Denial of Service bij VoIP, afluisteraanvallen en tolfraude. Dit is een probleem dat dringend moet worden aangepakt vanwege het risico dat ze hierdoor niet meer voldoen aan het snelgroeiende regelgevingskader, waaronder HIPPA (Health Insurance Portability & Accountability Act), PCI (Payment card standaarden) en de Sarbanes Oxley-wet. Wetgeving die zo vaak wordt herzien dat ze een soort bewegend doelwit wordt.
Deze kwestie is de afgelopen jaren op de voorgrond gekomen als gevolg van gebeurtenissen zoals terugroepingen op het gebied van productveiligheid, financiële fraude en, helaas, rampen op het gebied van milieu, gezondheid en veiligheid. Amerikaanse toezichthouders en instanties in andere rechtsgebieden hebben de strijd opgevoerd door hun wetgevende controle te verscherpen. Over het algemeen zijn deze regels bedoeld om persoonlijke informatie te beschermen die zou kunnen leiden tot gevallen van identiteitsdiefstal, gecompromitteerde bankrekeningen, fraude met zakelijke telefoontarieven of frauduleus gebruik van creditcards.
Hoewel VoIP zelden rechtstreeks aan bod komt in deze herziene regelgeving, zijn de regels in veel gevallen nog steeds van toepassing op deze technologie. PCI-standaarden leggen bijvoorbeeld de vereisten vast voor het gebruik van beveiliging en cryptografie zoals SSL/TLS/IPSEC om kaarthoudergegevens te beschermen terwijl deze via openbare, open netwerken worden verzonden.
Dit betekent dat VoIP-gesprekken die via het open internet gaan en creditcardgegevens bevatten, gecodeerd moeten zijn. Hoewel dit niet van toepassing zou zijn op VoIP-gesprekken die via interne netwerken worden gevoerd, vrezen deskundigen dat bedrijven verplicht zullen zijn te valideren dat deze gesprekken gecodeerd zijn. Afhankelijk van de taal die in de regelgeving wordt gebruikt, kan dit worden geïnterpreteerd als een verwijzing naar VoIP.
HIPAA heeft bijvoorbeeld gezegd dat bedrijven stappen moeten ondernemen om elektronisch beheerde gezondheidsinformatie veilig te maken. Dit wordt misschien niet direct in verband gebracht met VoIP-gesprekken, maar het kan invloed hebben op opgenomen gesprekken of de opslag van digitale voicemail, die beide deel uitmaken van de meeste VoIP-systemen. Op dezelfde manier moet, als een interactief spraaksysteem wordt gebruikt bij het navigeren naar beschermde informatie, het gebruik ervan zowel worden gecontroleerd als gedocumenteerd.
Omgekeerd publiceert de Amerikaanse Federal Deposit Insurance Corporation (FDIC) nu specifieke richtlijnen voor VoIP, die tot doel hebben alle klantgegevens die via IP-spraaknetwerken reizen te beschermen onder de Graham Leach Billey-regelgeving. De risico's die verbonden zijn aan het gebruik van VoIP moeten volgens dit advies samen met andere periodieke bedrijfsrisicobeoordelingen worden geëvalueerd. Eventuele zwakke punten moeten worden gecorrigeerd zodra ze worden geïdentificeerd. Er worden nog eens negen aanbevelingen vermeld waaraan organisaties moeten voldoen.
Een voorbeeld van een reële bedreiging voor de veiligheid wordt als volgt beschreven door een insider uit de VoIP-industrie. Een klant die vermoedde dat er werd afgeluisterd, besloot vervalste informatie in VoIP-gesprekken te stoppen om te zien of er later naar werd verwezen door de partijen waarvan hij vermoedde dat ze meeluisterden. Het bleek dat de VoIP-gesprekken waren afgeluisterd door een derde partij die toegang had tot het bedrijfsnetwerk. Er is nog een voorbeeld dat vaak wordt aangehaald, waarbij op illegale wijze toegang werd verkregen tot de videocommunicatie van een CEO.
Spraakbeëindiging – de toekomst
Sommige bedrijfsleiders proberen zichzelf te onderwijzen om aan de regelgeving te voldoen, maar dit is notoir moeilijk om te doen. Veel anderen zien VoIP volledig over het hoofd en beschouwen het als ‘slechts’ een onkwetsbaar telefoonsysteem. Naarmate de regelgeving complexer wordt, zullen bedrijven gedwongen worden hun VoIP-compliance direct aan te pakken, mogelijk door te investeren in interne structuren om deze te monitoren en te implementeren of door te betalen voor de diensten van een externe deskundige.
De taken kunnen snel overweldigend worden voor een IT-afdeling van gemiddelde grootte, die naast het voldoen aan de eisen van de toezichthouders en het opstellen van compliancerapporten elk kwartaal ook beveiligingsverificatie kan eisen als onderdeel van andere contracten. Bedrijven die routinematig hun VoIP-gesprekken opnemen, zullen rekening moeten houden met de regelgeving wat betreft het opslaan ervan, voor het geval dat gesprekken illegaal toegankelijk zouden zijn.
Het is een goed idee om op de details van gepubliceerde aanvallen te reageren door de betrokken systemen met uw eigen systemen te vergelijken om de verdediging onder de loep te nemen. Had u een soortgelijke aanval kunnen voorkomen? Als het antwoord nee is, zullen er verdere maatregelen moeten worden genomen. De mogelijkheid om te leren van de tegenslagen van anderen is echter beperkt, omdat er geen stimulans is voor bedrijven om bekend te maken of er sprake is van een inbreuk.
Hier bij IDT zijn we een bedrijf dat kan profiteren van de diensten van consultants en andere specialisten en een bewezen staat van dienst heeft in het implementeren van VoIP-oplossingen.