W większości przypadków kradzież danych jest możliwa z powodu niefrasobliwego podejścia użytkowników tej technologii do zasad bezpieczeństwa. Podobnie jak w przypadku systemów IT, gdzie większości włamań mogłaby zapobiec regularna aktualizacja aplikacji zabezpieczających i ochrona poufności hasła do komputera osobistego, tak również technologia IP stosująca „najmocniejsze szyfrowanie na świecie”, może być nieskuteczna, jeżeli nie wspierają jej prawidłowe, efektywnie realizowanie procesy. Pracownicy firmy mogą wzmocnić stosowane zabezpieczenia albo też przeciwnie, stać się ich najsłabszym ogniwem. Dlatego najsolidniejszy program bezpieczeństwa łączy technologię z surowymi procesami możliwymi do zastosowania w stosunku do systemów i danych biznesowych, a także ludzi, którzy rozumieją te procesy i się do nich stosują.

Rodzaje zagrożeń

Wyróżniłbym trzy typy ataków. Pierwszy z nich, szczególnie popularny wśród hakerów, to podsłuchiwanie rozmów przechwytywanie wartościowych informacji (sniffing, czyli przechwytywanie i ewentualne analizowanie danych przepływających w sieci). Możemy mieć tutaj do czynienia zarówno z zewnętrznym podsłuchem i wykradaniem informacji, jak i możliwością nielegalnego użytkowania danych przez pracowników firmy.

REKLAMA

REKLAMA

Kolejnym jest możliwość sparaliżowania komunikacji w firmie - atak typu DoS (Denial of Services). Atak ten, znany od dawna użytkownikom internetu, jest w przypadku komunikacji VolP o wiele bardziej niebezpieczny. Brak dostępu do strony www może spowodować irytację użytkownika, jednak brak kontaktu telefonicznego z firmą najprawdopodobniej doprowadzi do utraty klienta.

Inny typ ataku, na który komunikacja IP jest bardzo podatna, to wydobywanie poufnych danych dzięki podszyciu się pod rozmówcę (vishing, czyli phishing poprzez VolP).

Jak chronić się przed podsłuchem

Ataki polegające na przechwyceniu danych podczas ruchu w sieci lub kradzieży zapisanych plików są możliwe głównie wtedy, gdy system komunikacji nie stosuje kodowania wiadomości. Szyfrowanie wiadomości powinno rozpoczynać się już na poziomie urządzenia, czyli telefonu (lub ekranu komputera) i rozciągać się na cały proces transportu wiadomości przez sieć, a także obejmować nagrywanie i przechowywanie informacji.

Zalecaną praktyką w stosunku do ochrony rozmów w sieci komunikacyjnej IP jest szyfrowanie wiadomości za pomocą TLS (Transport Layer Security) oraz SRTP (Real-time Transport Protocol). Innym użytecznym środkiem bezpieczeństwa jest IPsec (Internet Protocol Security), szkielet o otwartym standardzie, na którym wdrażane są procesy bezpieczeństwa kryptograficznego w celu ochrony komunikacji w sieci IP. IPsec umożliwia m.in. uwierzytelnianie peerów na poziomie sieci, uwierzytelnienie źródła danych, kodowanie danych dla zachowania poufności oraz ochronę ponownego odczytu. W przypadku telefonii korporacyjnej dostawcy zaawansowanego oprogramowania telekomunikacyjnego bazują na standardzie AES 256. Jest to jeden z najsilniejszych kluczy szyfrowania, który jest potwierdzonym i zalecanym standardem bezpieczeństwa przez wiele międzynarodowych instytucji oraz departamentów bezpieczeństwa.

Wyobraźmy sobie sytuację, gdy klient podaje przez telefon numer konta, co zostaje następnie zmagazynowane w pliku nagraniowym. Rozmowa jest świetnym celem dla złodzieja, zatem możliwość szyfrowania rozmowy, jak również kodowanie monitorowanego nagrania jest niezbędną najlepszą praktyką. Najlepiej nagrywać, monitorować i szyfrować rozmowy równocześnie. Interactive Intelligence to jeden z niewielu dostawców, którzy oferują taką możliwość.