Quando si valuta l’implementazione di una nuova piattaforma per le UC va valutato il livello di sicurezza garantito sia dalla soluzione che dai terminali IP
Nelle aziende l’adozione di una piattaforma di Unified Communication (UC) integrata con l’infrastruttura IP e le applicazioni di rete deve oramai necessariamente affrontare una ulteriore sfida: tutelare le conversazioni interne e esterne contro eventuali intercettazioni e proteggere lo scambio di dati tra la soluzione UC, i terminali e le applicazioni condivise, come i CRM.
Rispetto al passato, dove soluzioni proprietarie rendevano pressoché impossibile qualsiasi infiltrazione nei PABX, oggi i criminali cibernetici si trovano la strada facilitata dalla tecnologia, possono sedere al proprio PC e con appositi strumenti accedere via internet ai sistemi VoIP, intercettare le chiamate e procacciarsi dati e/o informazioni che andrebbero protette.
Va pur detto che nel passato bastava individuare all’angolo di strada l’armadio delle terminazioni derivate di un palazzo e collegarsi al doppino, e che farlo oggi col pc è più pratico, meno osservabile ma che qualche complessità in più pur prevede.
E’ tuttavia un rischio noto agli operatori e ai vendor di soluzioni e terminali IP, che hanno sviluppato adeguate contromisure, anche se non tutte allo stesso livello. Questa differenza, suggerisce Snom, al fine di beneficiare di soluzioni all’avanguardia senza scendere a compromessi con la sicurezza delle conversazioni, deve far soppesare il livello e la metodologia di protezione offerti dalla piattaforma UC e supportati dai terminali anche in base al costo e al concreto beneficio in termini di utilizzo.
Snom, produttore berlinese di telefoni IP da tavolo, cordless e da conferenza, ha identificato in proposito tre criteri discriminanti che un team aziendale dovrebbe esaminare prima di procedere all’adozione di una nuova soluzione completa per la telefonia via IP. Vediamoli in sintesi
Sicurezza della configurazione automatica dei terminali
Un primo punto chiave è Il “provisioning automatico”, ossia il processo che consente alla soluzione di UC di distribuire con un click la configurazione e i parametri utente impostati ai più diversi terminali, un processo che deve essere sicuro e protetto.
Durante il processo dati particolarmente sensibili vengono trasmessi attraverso un protocollo di trasporto sicuro (TLS/SSL). Ma questo può non bastare per proteggersi da attacchi del tipo “man in the middle”. Per farlo, questo richiede che la soluzione UC e il terminale si scambino un certificato atto a garantire una corretta autenticazione del dispositivo nei confronti del server di telefonia. E’ implicito che se il server UC dispone della funzione ma il terminale IP non le supporta, la comunicazione non risulta protetta.
Allo stesso tempo, osserva SNOM, è necessari che la trasmissione dei dati di utente dal centralino IP al terminale non sia intercettabile e/o che i dati non siano leggibili in chiaro. In caso contrario persone non autorizzate possono eventualmente accedervi e utilizzare i dati per l’autenticazione dell’utente per effettuare chiamate a carico dell’azienda. Una soluzione può consistere nell’autorizzare esclusivamente l’accesso di terminali IP alla rete previa autenticazione quale client.
La password: meglio se a due fattori
Quanto discusso nel paragrafo precedente si basa su un assunto: che l’accesso al terminale sia protetto tramite una password robusta, che non necessariamente deve essere nota all’intero staff. Ciò implica che si debba valutare quali addetti possono avere accesso a quale telefono IP e se l’accesso debba essere granulare o meno (utente/admin).
Si deve però stare attenti a non eccedere. Come in una gaussiana, passato il picco si rischia di far decadere la sicurezza rapidamente. Una regolamentazione complessa delle password abbinata alla necessità di modificarle dopo un certo lasso di tempo non fa altro che favorire il classico post-it attaccato al monitor o alla testiera.
Una pratica i cui rischi si possono prevenire se la piattaforma UC, il terminale IP e ovviamente l’utente supportano una autenticazione a due fattori (p.es. password e codice inviato tramite SMS) o un accesso unico valido per tutti i servizi.
La cifratura: puntare su VPN e MPLS
Un aspetto chiave della sicurezza è la cifratura, che andrebbe applicata in modo esteso, a partire dall’invio di segnali tra le diverse connessioni e al trasferimento di dati vocali. Un elemento è però imperativo, osserva con ottimo buon senso pratico del tutto condivisibile Snom, affinché l’altro funzioni: chiudere una porta non previene l’accesso indesiderato se la chiave è sotto lo zerbino.
Va però osservato che una cifratura totale d un sistema UC end to end che coinvolga le connessioni, i terminali e le applicazioni è più o meno inesistente nella telefonia business e il motivo risiede nel fatto che da un lato vi è l’obbligo di consentire eventuali intercettazioni su richiesta di un giudice, dall’altro vi è l’elevata complessità tecnica legata all’impiego di un sistema di cifratura “end-to-end”.
In sostanza, se è richiesto un alto livello di sicurezza, spiega Snom, l’unico modo è implementare una VPN come è possibile con i telefoni IP Snom o una rete MPLS.