Атаки на VoIP растут, и важно, чтобы предприятия знали, как защитить себя, одновременно соблюдая требования регулирующих органов, желающих доказать, что безопасность системы соответствует постоянно меняющимся правилам.
Каковы угрозы?
По мнению отраслевых экспертов, многим предприятиям до сих пор не хватает даже базовой защиты шифрования от таких проблем, как отказ в обслуживании VoIP, атаки с перехватом и мошенничество с междугородной связью. Это проблема, которую необходимо срочно решить из-за риска того, что это может привести к несоответствию их растущей нормативной базе, включая HIPPA (Закон о переносимости и подотчетности медицинского страхования), PCI (Стандарты платежных карт) и Закон Сарбейнса-Оксли. Законы, которые пересматриваются так часто, что представляют собой нечто вроде движущейся цели.
Эта проблема вышла на первый план в последние годы из-за событий, связанных с отзывами продукции, финансовым мошенничеством и, к сожалению, катастрофами в области охраны окружающей среды и безопасности. Регулирующие органы США и органы других юрисдикций активизировали борьбу, ужесточив законодательный контроль. Вообще говоря, эти правила направлены на защиту личной информации, которая может привести к краже личных данных, взлому банковских счетов, мошенничеству с корпоративными телефонными звонками или мошенническому использованию кредитных карт.
Хотя VoIP редко прямо упоминается в этих пересмотренных правилах, во многих случаях правила по-прежнему применяются к этой технологии. Например, стандарты PCI устанавливают требование использования средств безопасности и криптографии, таких как SSL/TLS/IPSEC, для защиты данных держателей карт во время их передачи по общедоступным открытым сетям.
Это означает, что VoIP-вызовы, которые проходят через открытый Интернет и включают данные кредитной карты, должны быть зашифрованы. Хотя это не будет применяться к VoIP-вызовам, осуществляемым во внутренних сетях, эксперты опасаются, что компании могут быть обязаны подтверждать, что эти вызовы зашифрованы. В зависимости от языка, используемого в правилах, это может быть истолковано как ссылка на VoIP.
В качестве примера HIPAA заявило, что предприятиям необходимо предпринять шаги для обеспечения безопасности медицинской информации, управляемой в электронном виде. Это может не быть напрямую связано с вызовами VoIP, но может повлиять на записанные вызовы или хранилище цифровой голосовой почты, которые являются частью большинства систем VoIP. Точно так же, если для перехода к защищенной информации используется интерактивная голосовая система, то ее использование должно как контролироваться, так и документироваться.
И наоборот, Федеральная корпорация страхования депозитов США (FDIC) теперь публикует конкретные рекомендации для VoIP, которые направлены на защиту любых данных клиентов, которые передаются в голосовых IP-сетях в соответствии с правилами Грэма Лича Билли. Риски, связанные с использованием VoIP, должны оцениваться наряду с другими периодическими оценками бизнес-рисков в соответствии с этими рекомендациями. Любые недостатки должны быть исправлены, как только они выявлены, и перечислены еще девять рекомендаций, которые организации должны соблюдать.
Один из примеров реальной угрозы безопасности описан инсайдером в отрасли VoIP следующим образом. Клиент, который подозревал, что имеет место подслушивание, решил внедрить фальсифицированную информацию в VoIP-вызовы, чтобы проверить, не упоминалась ли она позже сторонами, которые, как он подозревал, прослушивали. Выяснилось, что VoIP-звонки были прослушаны третьей стороной, имевшей доступ к корпоративной сети. Есть еще один часто приводимый пример незаконного доступа к видеокоммуникациям генерального директора.
Голосовая терминация – будущее
Некоторые бизнес-лидеры пытаются обучаться, чтобы идти в ногу с правилами, но это, как известно, сделать очень сложно. Многие другие полностью игнорируют VoIP, считая его «просто» неуязвимой телефонной системой. По мере того, как правила становятся более сложными, предприятия будут вынуждены напрямую заниматься вопросами соблюдения требований VoIP, возможно, инвестируя во внутренние структуры для их мониторинга и внедрения или оплачивая услуги стороннего эксперта.
Задачи могут быстро стать непосильными для ИТ-отдела среднего размера, который не только выполняет требования регулирующих органов и ежеквартально готовит отчеты о соответствии, но и может требовать проверки безопасности в рамках других контрактов. Предприятиям, которые регулярно записывают свои VoIP-вызовы, необходимо будет учитывать правила их хранения на случай, если к разговорам может быть получен незаконный доступ.
Хорошей идеей будет ответить на детали опубликованных атак, сравнив задействованные системы с вашими, чтобы тщательно изучить защиту. Могли бы вы остановить подобную атаку? Если ответ отрицательный, необходимо будет предпринять дальнейшие действия. Однако возможность учиться на чужих неудачах ограничена, поскольку у компаний нет стимула раскрывать информацию о том, пострадали ли они от нарушений.
Здесь, в IDT, мы представляем собой компанию, которая может воспользоваться услугами консультантов и других специалистов и имеет успешный опыт внедрения решений VoIP.