Tot deze conclusie komt Attachmate-divisie NetIQ na een wereldwijde onderzoek onder 155 organisaties die gebruikmaken van VoIP-systemen of van plan zijn deze in te gaan zetten. De meerderheid van de respondenten gebruikt een firewall ter bescherming van hun infrastructuur, maar minder dan de helft heeft een security management tool voor VoIP geïnstalleerd.

Uit de enquête blijkt dat meer dan de helft van de respondenten (57 procent) het risico van dreigingen van virussen of wormen op hun VoIP-systeem als 'laag' tot 'zeer laag' schat. Slechts 10 en 13 procent van de respondenten zien respectievelijk Spam over IP (SPIT) en SIP-compromises als ernstige dreigingen voor de beveiliging. Slechts 18 procent van de respondenten ziet telefoonkostenfraude als gevaar.

"Organisaties hebben de focus gelegd op gesprekskwaliteit en prestaties, maar vergeten hierbij de security", vindt zegt Ulrich Weigel, bij NetIQ Chief Security Strategist. “Maatregelen als het versleutelen van voice services en het uitvoeren van security audits zijn net zo belangrijk.”

Cisco

Cisco luidde eind vorig jaar ook al de noodklok over de aandacht voor VoIP-beveiliging. “Er is in het begin veel aandacht geweest in de media over de veiligheid van IP telefonie”, zei Cisco Distinguished Consulting Engineer Eric Vyncke. “Maar als ze nu nieuwe verbindingen aanleggen, dan gebeurt dat niet op een veilige manier.”

“De beveiliging wordt meestal ingebracht op netwerkniveau, en dat is goed want trucjes als spoofing worden zo tegengegaan”, zegt Vyncke. “Maar de gesprekken zelf worden niet versleuteld, en er wordt geen authenticatie gebruikt.” Het gevaar bestaat volgens de technicus dat vertrouwelijke gesprekken worden afgeluisterd, of dat hackers zich voordoen als medewerkers om zo wachtwoorden buit te maken.

Tsunami

"De aandacht voor VoIP-beveiliging is nu nihil", vindt ook directeur Ronald Jansen van Abraxax dat is gespecialiseerd in netwerkmonitoring. "Kostenbesparing is een eerste push om op VoIP over te stappen; beveiliging komt er pas later als een tsunami achteraan."

Volgens Jansen zijn de dreigingen reëel genoeg om meer aandacht te besteden aan de beveiliging van VoIP. "Traditionele telefonie maakt gebruik van een geschakeld netwerk terwijl VoIP een open netwerk is dat uiteraard ook kan worden afgeluisterd. Vergelijk het met een gebouw met een portier waar je je moet melden tegenover een publiek gebouw waar je zo naar binnen kunt lopen.”

Nauwelijks incidenten

Dat VoIP kwetsbaar is voor zaken als afluisteren, spam en cyberaanvallen is zeker geen nieuw geluid. VoIP is net zo kwetsbaar als alle andere applicaties op het IP-netwerk. Het SANS instituut heeft onlangs VoIP-servers en -telefoons in hun top 20 security risks opgenomen.

Toch halen beveiligingsincidenten die betrekking hebben op het VoIP-netwerk zelden het nieuws. “Ik ken er eigenlijk niet één”, zegt Jansen. “Maar bedrijven zullen ook niet naar buiten treden met incidenten.”

Bron: Techworld