Os ataques contra o VoIP estão aumentando e é importante que as empresas saibam se defender, além de permanecer em conformidade com os órgãos reguladores que desejam provar que a segurança do sistema obedece às regulamentações em constante mudança.
Quais são as ameaças?
Muitas empresas ainda não possuem proteção de criptografia básica contra problemas como negação de serviço VoIP, ataques de espionagem e fraude de tarifação, de acordo com especialistas do setor. Este é um problema que precisa ser abordado com urgência devido ao risco de que isso possa torná-los não conformes com a estrutura regulatória crescente, incluindo HIPPA (Health Insurance Portability & Accountability Act), PCI (padrões de cartão de pagamento) e Sarbanes Oxley Atos que são revisados com tanta frequência que são uma espécie de alvo móvel.
Este problema veio à tona nos últimos anos devido a eventos envolvendo recalls de segurança de produtos, fraude financeira e, infelizmente, desastres em saúde e segurança ambiental. Os reguladores dos Estados Unidos e órgãos em outras jurisdições intensificaram a luta ao aumentar o controle legislativo. De modo geral, esses regulamentos buscam proteger as informações pessoais que podem levar a casos de roubo de identidade, contas bancárias comprometidas, fraude telefônica corporativa ou uso fraudulento de cartões de crédito.
Embora o VoIP raramente seja diretamente abordado nesses regulamentos revisados, as regras ainda se aplicam a essa tecnologia em muitos casos. Por exemplo, os padrões PCI estabelecem o requisito para o uso de segurança e criptografia como SSL / TLS / IPSEC, a fim de proteger os dados do titular do cartão enquanto eles são transmitidos em redes públicas abertas.
Isso significa que as chamadas VoIP que atravessam a Internet aberta e incluem detalhes do cartão de crédito devem ser criptografadas. Mesmo que isso não se aplique às chamadas VoIP realizadas em redes internas, os especialistas temem que as empresas sejam obrigadas a validar que essas chamadas estão sendo criptografadas. Dependendo do idioma usado nos regulamentos, isso pode ser interpretado para se referir a VoIP.
Como exemplo, o HIPAA disse que as empresas precisam tomar medidas para tornar seguras as informações de saúde gerenciadas eletronicamente. Isso pode não estar associado imediatamente às chamadas VoIP, mas pode afetar as chamadas gravadas ou o armazenamento digital de correio de voz, os quais fazem parte da maioria dos sistemas VoIP. Da mesma forma, se um sistema de voz interativo for usado na navegação para informações protegidas, seu uso deverá ser monitorado e documentado.
Por outro lado, a Corporação Federal de Seguros de Depósitos dos EUA (FDIC) agora publica diretrizes específicas para VoIP, que procuram proteger todos os dados de clientes que viajam em redes de voz IP de acordo com os regulamentos Graham Leach Billey. Os riscos associados ao uso do VoIP devem ser avaliados junto com outras avaliações periódicas de risco comercial, de acordo com este conselho. Quaisquer pontos fracos devem ser corrigidos assim que identificados e outras nove recomendações são listadas para as organizações cumprirem.
Um exemplo de uma ameaça real à segurança é descrito por um membro do setor de VoIP da seguinte maneira. Um cliente que suspeitava que a escuta estava ocorrendo decidiu plantar informações falsas nas chamadas VoIP para observar se elas foram posteriormente consultadas pelas partes que ele suspeitava estar ouvindo. Constatou-se que as chamadas VoIP haviam sido acessadas por terceiros que tinham acesso à rede corporativa. Há outro exemplo frequentemente citado em que as comunicações de vídeo de um CEO foram acessadas ilegalmente.
Terminação de voz - o futuro
Alguns líderes empresariais tentam se educar para acompanhar as regulamentações, mas isso é notoriamente difícil de fazer. Muitos outros ignoram completamente o VoIP, considerando-o "apenas" um sistema telefônico invulnerável. À medida que as regulamentações se tornam mais complexas, as empresas serão forçadas a lidar diretamente com a conformidade com o VoIP, possivelmente investindo em estruturas internas para monitorá-las e implementá-las ou pagando pelos serviços de um especialista externo.
As tarefas podem rapidamente se tornar opressivas para um departamento de TI de tamanho médio, que além de atender às demandas dos reguladores e produzir relatórios de conformidade a cada trimestre, também pode ter a verificação de segurança exigida como parte de outros contratos. As empresas que gravam rotineiramente suas chamadas VoIP precisarão considerar os regulamentos em termos de armazenamento, caso as conversas devam ser acessadas ilicitamente.
É uma boa ideia responder aos detalhes dos ataques publicados comparando os sistemas envolvidos com os seus, a fim de examinar as defesas. Você poderia ter impedido a ocorrência de um ataque semelhante? Se a resposta for não, será necessário realizar outras ações. No entanto, a oportunidade de aprender com os infortúnios dos outros é limitada porque não há incentivo para as empresas divulgarem se sofreram uma violação.
Aqui na IDT, somos uma empresa que pode tirar proveito dos serviços de consultores e outros especialistas e ter um histórico comprovado na implantação de soluções VoIP.