Quando si valuta l’implementazione di una nuova piattaforma per le Unified Communications è necessario soppesare il livello di sicurezza garantito sia dalla soluzione sia dai terminali IP: mettere tutto sotto chiave non rende l’infrastruttura più sicura, soprattutto se la chiave è alla portata di chiunque.
Nelle aziende l’adozione di una piattaforma di Unified Communications altamente integrata con l’infrastruttura IP e le applicazioni di rete deve necessariamente prendere in carico una grande sfida: tutelare le conversazioni interne e esterne contro eventuali intercettazioni e proteggere lo scambio di dati tra la soluzione UC, i terminali e le applicazioni condivise, come i CRM. A differenza del passato, oggi i criminali possono sedere comodamente al proprio PC e con appositi strumenti accedere via internet ai sistemi VoIP, intercettare le chiamate e procacciarsi dati e/o informazioni che andrebbero protette. A differenza del passato, dove bastava inserire un microfono nella cornetta o agganciarsi alla centrale in strada, oggi infiltrarsi in una rete IP avanzata o intercettare le telefonate non è più semplicissimo, ma è comunque un rischio noto agli operatori e ai vendor di soluzioni e terminali IP, che si adoperano quotidianamente per garantire ai propri clienti un maggior livello di sicurezza con l’introduzione di tecnologie di cifratura punto-punto per i telefoni IP senza fili e cablati, per il traffico voce e la trasmissione di dati e altre misure di protezione. Per essere certi di beneficiare di soluzioni all’avanguardia senza scendere a compromessi con la sicurezza delle conversazioni, è quindi necesario soppesare il livello e la metodologia di protezione offerti dalla piattaforma UC e supportati dai terminali anche in base al costo e al concreto beneficio in termini di utilizzo.
Snom, il noto produttore berlinese di telefoni IP da tavolo, cordless e da conferenza, ha identificato tre criteri discriminanti che qualunque azienda dovrebbe esaminare prima di procedere all’adozione di una nuova soluzione completa per la telefonia via IP.
Snom D785
Sicurezza della configurazione automatica dei terminali
Il cosiddetto “provisioning automatico” ossia il processo che consente alla soluzione UC di distribuire con un click la configurazione e i parametri utente impostati ai più diversi terminali deve essere tutelato.
Durante il processo, questi dati particolarmente sensibili vanno trasmetti attraverso un protocollo di trasporto sicuro (TLS/SSL). Per mettere ancora più in difficoltà potenziali hacker che tentano di intercettare le chiamate con attacchi “man in the middle”, la soluzione UC e il terminale dovrebbero scambiarsi un certificato necessario per garantire una corretta autenticazione del dispositivo al server per la telefonia, assimilabile al controllo passaporti all’ingresso o all’uscita degli aeroporti. Va da sé che se la soluzione UC offre questo tipo di tecnologie per la configurazione e l’autenticazione ma il terminale IP non le supporta, la comunicazione non sarà protetta.
Allo stesso tempo è imperativo che la trasmissione dei dati utente dal centralino IP al terminale non sia intercettabile e/o che i dati non siano leggibili. Se la soluzione VoIP/UC non assicura questa tutela, persone non autorizzate possono eventualmente accedervi e utilizzare i dati per l’autenticazione dell’utente per effettuare chiamate ovunque a carico, ovviamente, dell’azienda hackerata. Una possibile soluzione, qualora questa forma di tutela manchi, è autorizzare esclusivamente l’accesso di terminali IP specifici alla rete previa autenticazione quale client. Se tuttavia né il centralino, né il telefono IP supportano l’autenticazione “client” indipendentemente dall’autenticazione dell’utente, non sarà possibile porre rimedio al rischio di abuso delle linee telefoniche utilizzando credenziali legittime.
La password
Tutto questo però non è molto di aiuto se l’accesso al terminale non è protetto tramite una password robusta, che non necessariamente deve essere nota all’intero staff. E’ quindi necessario valutare quali addetti possono avere accesso a quale telefono IP e se l’accesso debba essere granulare (utente/admin).
Inoltre, molte applicazioni richiedono codici di accesso individuali. Una regolamentazione complessa delle password abbinata alla necessità di modificarle dopo un certo lasso di tempo non fa altro che favorire il buon vecchio post-it attaccato al monitor o alla testiera. Una pratica i cui rischi si possono prevenire se la piattaforma UC, il terminale IP e ovviamente l’utente supportano l’autenticazione a due fattori (p.es. password e codice inviato tramite SMS) o un accesso unico valido per tutti i servizi.
La cifratura
La cifratura va applicata anche all’invio di segnali tra le diverse connessioni e al trasferimento di dati vocali. Un elemento è imperativo affichè l’altro funzioni: chiudere una porta non previene l’accesso indesiderato se la chiave è sotto lo zerbino.
Un avviso: una cifratura totale che copra tutte le connessioni, i terminali e le applicazioni è più o meno inesistente nella telefonia business. La cifratura dei dati termina nel punto in cui raggiunge i sistemi dell’operatore telefonico. La ragione di ciò è da un lato l’obbligo di consentire eventuali intercettazioni su richiesta del giudice, dall’altro l’elevata complessità tecnica legata all’impiego di un sistema di cifratura “end-to-end”.
Se è richiesto un alto livello di sicurezza, l’unico modo è implementare una VPN (virtual private network), come i telefoni IP Snom o una rete MPLS (multiprotocol network switching).
Conclusioni
Tutto era più semplice qualche tempo fa! C’era un firewall che proteggeva l’accesso a internet e tutti i dati erano archiviati localmente. Oggi numerose soluzioni e servizi sono dislocati “fisicamente” in luoghi diversi e i dati si trovano spesso nel cloud. Varrebbe quindi la pena chiedere dove siano archiviati effettivamente i dati sensibili (log del centralino, contatti della rubrica / CRM, impostazioni utente) e come essi vengano trattati. Di interesse ancora maggiore è sapere se i dati sono ospitati su server nel proprio Paese o distribuiti in tutto il mondo. Un problema di sicurezza che riguarda meno il rischio di hackeraggio quanto più l’uso dei dati a scopo statistico o per spionaggio industriale ad opera di terzi.
Continua a leggere →
Snom, noto specialista berlinese della telefonia IP, incrementa i servizi erogati alla clientela e estende la garanzia sui terminali IP ordinati a partire dal primo luglio 2018 da due anni a tre.
SAB Communications snc 