İnternet Üzerinden Ses Protokolü (VoIP) telefon sistemi kullanan her modern işletme, gizliliğin, müşterinin güveninin ve mevzuata uygunluğun sağlanması açısından güvenliğin sağlanmasının gerekli olduğunu bilir.
Örneğin sağlık hizmetleri gibi sektörlerin iletişimi düzenleyen katı düzenlemeleri vardır ve HIPAA uyumlu VoIP sağlayıcıları, çalışanlar ağa uzak yerlerden erişse bile şirketlerin bu düzenlemelere uymasına yardımcı olacak güvenlik, gizlilik ve erişim yönetimi araçları sunar.
Bu arada, dolandırıcılar ve dolandırıcılar, güvenli olmayan telefon sistemlerinde VoIP dolandırıcılığı yapmak için zayıf noktalardan yararlanmanın yollarını bulacağından, zayıf şifreleme ve güvenlik de kârlılığınızı etkileyebilir. Ücretli dolandırıcılık, yapay ve yüksek hacimli uzun mesafeli aramalar yapmak için bir şirketin telefon sistemini ele geçirerek çalışır. Sistemin sahibi bu aramalar için (çoğunlukla fark etmeden) ücret alıyor ve ardından dolandırıcılara gizli operatör hizmetlerinden elde edilen gelirden bir pay veriliyor.
Ücretli dolandırıcılığın yanı sıra, VoIP sistemlerinde başka birçok güvenlik açığı da vardır; ancak en iyi iş telefonu hizmetlerinden birini kullanıyorsanız, satıcınız VoIP güvenliği ve şifrelemenin zorlu kısımlarını devralacaktır. Kuruluşunuzda temel ağ güvenliğini (güçlü şifreler, erişim kontrolü vb.) geliştirmeniz yeterlidir.
İyi sağlayıcılar VoIP güvenliğini ve şifrelemesini yönetir
Barındırılan bir VoIP hizmeti, internet üzerinden güvenli sesli arama ve mesajlaşma sunan bulut tabanlı bir iletişim çözümüdür.
Bu hizmetlerin güzelliği, güvenlik ve şifrelemenin dahili olarak sunulmasıdır. VoIP sağlayıcıları, yazılımı ve donanım yazılımını günceller, donanımın bakımını yapar ve sizin için mevzuat uyumluluğunu takip etmenize yardımcı olur.
Elbette dolandırıcılar ve dolandırıcılar oyunlarını sürekli geliştiriyorlar, ancak VoIP sağlayıcıları bu saldırılara gerçek zamanlı olarak yanıt vererek sisteminizi en son tehditlere karşı güvende tutuyor.
Barındırılan bir VoIP hizmetiyle çalışanlarınız, VoIP hesaplarına erişmek için bireysel oturum açma kimlik bilgilerine sahip olur ve şirketinizin yaptığı tüm çağrılar, hizmet sağlayıcının ağından geçer. Bu, çağrıları yönlendirirken güvenlik ve şifrelemeyi sizin değil, VoIP sağlayıcısının üstlendiği anlamına gelir.
Bu aynı zamanda çalışanlarınız nerede olursa olsun işletmenizin güvende tutulacağı anlamına gelir çünkü bir VoIP hizmeti onların herhangi bir yazılım telefonundan güvenli iletişim ağına erişmesine olanak tanır. VoIP hizmetleri tüm ağ genelinde en son önlemleri uyguladığı için çalışanlarınıza güvenlikle ilgili ekstra görevler de verilmeyecektir. Uzaktan çalışma güvenliğiyle ilgili baş ağrılarının çoğu artık tamamen ortadan kalktı.
Güvenli bir VoIP sağlayıcısı nelere sahip olmalıdır?
İyi bir VoIP sağlayıcısı, verilerinizi aktarım sırasında güvende tutmak için güçlü şifreleme protokollerine sahip olmalıdır. Bu şekilde, sesli aramalar ve mesajlar, yalnızca alıcının bunları çözebileceği varış noktasına ulaşana kadar çözülemez.
Benzer şekilde, durum bilgisi olan bir güvenlik duvarı ve/veya izinsiz giriş tespit sistemi, saldırıların ve yetkisiz erişimin önlenmesine yardımcı olur. Çok faktörlü kimlik doğrulama (MFA) ve iki faktörlü kimlik doğrulama (2FA) gibi gelişmiş oturum açma güvenlik önlemleri, örneğin daha güvenli erişim ve parola ve belirteç sistemi de istenmeyen sızmalara karşı etkili bir önlem olabilir.
Aşağıdaki teknolojiler VoIP sağlayıcılarının ağlarının güvenliğini sağlamasına yardımcı olur:
- Oturum Sınırı Denetleyicileri (SBC’ler): Bir SBC, IP iletişim akışını düzenleyerek ağın ağ geçidi denetleyicisi olarak görev yapar. SBC’ler özellikle Hizmet Reddi (DoS) ve Dağıtılmış DoS (DDoS) saldırılarına karşı koruma sağlamak için kullanışlıdır.
- Aktarım Katmanı Güvenliği (TLS): TLS protokolleri, VoIP ağının sinyal ve medya kanallarının güvenliğini sağlamak için kriptografi kullanır. TLS protokolleri, tarafların kimliğini doğrulamak ve güvenli iletişim kurmak için dijital el sıkışmayı kullanır.
- Güvenli Gerçek Zamanlı Aktarım Protokolü (SRTP): SRTP, medya erişimine izin verilmeden önce gerekli olabilecek, orijinallik sertifikası gibi davranan bir medya şifreleme önlemidir.
Her kuruluş SBC’ye ihtiyaç duymaz ancak bulut telefon sistemi kullanan herkes VoIP DDoS saldırısının hedefi olabilir. Ağ güvenliği mimarisinin en iyi uygulamalarını takip eden geleceğe hazır bir VoIP telefon sistemi kurmak için satıcınızla birlikte çalışın.
VoIP endüstrisi, şirketlere mevcut en iyi güvenlik uygulamaları konusunda rehberlik edecek standartlar ve çerçevelere sahiptir. Aslında Uluslararası Standardizasyon Örgütü (ISO) bu sektörü kapsayan kılavuzlar yayınlamaktadır.
İyi bir sağlayıcı aşağıdaki akreditasyonlara ve sertifikalara sahip olmalıdır:
- PCI Uyumluluğu: PCI uyumluluğu, kart ödemelerine yönelik bir bilgi güvenliği standardıdır. Bu sertifikaya sahip olmak, önde gelen kredi kartlarından güvenli ödeme yapılmasını kolaylaştırır.
- ISO/IEC 20071: Bu Bilgi Güvenliği Yönetim Sistemi (ISMS), iş verilerinin güvenliğini sağlamaya yardımcı olan küresel bir standartlar dizisinin ana hatlarını çizer.
- ISO/IEC 27002: Bilgi Güvenliği Kontrollerine ilişkin bu Uygulama Kuralları, bilgilerin güvenliğine yönelik kontrolleri ve en iyi uygulamaları özetlemektedir.
- ISO/IEC 27005: Bu sertifika Bilgi Güvenliği Risk Yönetimini ifade eder. Bilgi güvenliği risklerinin değerlendirilmesi ve yönetilmesi için yönergeler sağlar.
- ISO/IEC 27017: Bu, bulut hizmeti sağlayıcıları için protokoller oluşturur. Bulut hizmetlerinin ve ekosistemlerinin açıkça güvence altına alınmasına yardımcı olur.
- ISO/IEC 27018: Bu, genel bulutlarda kişisel olarak tanımlayıcı bilgilerin (PII) nasıl korunacağını özetlemektedir.
Güvenli VoIP sağlayıcılarının aynı zamanda insan katmanı güvenliğinin de farkında olması gerekir. Dolandırıcılıkların çoğu insan hatasından kaynaklanmaktadır; dolayısıyla bir işletme ancak personeli güvenilirse o kadar güvenli olabilir. Bu nedenle işletmeler sosyal mühendislik saldırılarına karşı savunmasızdır.
Sosyal mühendislik, bireyleri hassas bilgilerden vazgeçmeleri için manipüle etme sürecidir. Birçok dolandırıcı, teknik güvenlik açıklarına güvenmek yerine şifreleri, oturum açma ayrıntılarını ve diğer hassas bilgileri elde etmek için insan psikolojisini kullanır.
Dolandırıcılar güven kazanmak için sıklıkla kimlik avı tekniklerini kullanır. Bu teknik, meşru görünen mesaj ve e-postaların gönderilmesini ve sonuçta bireylerin, kaynağın meşruluğuna güvendikten sonra şifrelerinden veya yeni giriş bilgilerinden vazgeçmelerine yol açmayı içerir.
VoIP sağlayıcıları, IVR kimlik doğrulama iş akışlarının bir parçası olarak 2FA veya MFA uygulayarak sosyal mühendislik fırsatlarını sınırlayabilir. Basitçe söylemek gerekirse, ne kadar çok kimlik doğrulama adımı gerekiyorsa, dolandırıcının o kadar fazla bilgi toplaması gerekir ve bir dolandırıcının ne kadar fazla bilgi toplaması gerekiyorsa, sızma şansları da o kadar düşük olur.
Çalışanların eğitimi ve farkındalığı da sosyal mühendislik saldırılarını azaltmada kritik faktörlerdir; çünkü iletişim modellerini izlemek ve düzensizlikleri belirlemek, sosyal mühendislik girişimlerini herhangi bir ilgi görmeden ortadan kaldırabilir.
Udemy, Coursera ve edX, bu önlemlerle mücadele etmek ve çalışanları daha da eğitmek için sosyal mühendislik modülleri içeren siber güvenlik kursları düzenliyor. Benzer şekilde Black Hat ve DEFCON’da psikoloji ve güvenlik arasındaki ilişkiye dair atölye çalışmaları yer alıyor.
Kendi kendine barındırılan VoIP güvenliği ve şifrelemesi zorlu bir iştir
Bazı şirketler kendi VoIP sunucularını şirket tesislerinde barındırmayı tercih ederler. Sıfırdan kendi kendine barındırılan bir sistem oluşturmak size özelleştirme ve kontrol için daha fazla seçenek sunduğundan, bu bazı avantajlarla birlikte gelir.
Ancak birçok zorluk, VoIP hizmeti barındırmayı birçok işletme için kullanışsız hale getiriyor. Bu alanlar şunları içerir:
- Maliyet: Bir VoIP sistemi kurmak, mevcut bir hizmete abone olmaya kıyasla pahalıdır. Bir VoIP servis sağlayıcısı halihazırda gerekli altyapıya, donanıma ve yedek uca sahiptir ve çalışır durumdadır.
- Sorumluluk: Kendi kendine barındırma, bir maliyet karşılığında özelleştirme ve kontrol sunar. Kendi VoIP sisteminizle yazılımı güncellemeli, donanımı yönetmeli ve teknik sorunları gidermelisiniz.
- Ölçeklenebilirlik: Kendi kendine barındırılan VoIP sisteminizdeki kapasitenin arttırılması, donanım yükseltmeleri ve diğer yapılandırmaları gerektirebilir. VoIP hizmetini kullanarak birkaç tıklamayla aynı kapasite artışını sağlayabilirsiniz.
- Güvenlik ve şifreleme: Kendi kendine barındırılan bir VoIP sistemiyle güvenlik ve şifreleme sizin sorumluluğunuzdadır. Birçok işletme sahibi için bu tek başına kendi kendine barındırmayı reddetmek için yeterlidir.
Ek olarak, kendi kendine barındırma genellikle yalnızca özel bir BT ekibi veya yönetilen hizmet sağlayıcıyla mümkündür. Bu olmadan, güvenliğiniz ve şifrelemeniz muhtemelen en son güvenlik protokollerini çalıştırmaya adanmış kendi ekibine sahip olan barındırılan bir hizmet sağlayıcı kadar iyi olmayacaktır.
Kendi kendine barındırılan bir VoIP kullanmak, aynı zamanda güvenliği korurken ağı uzaktan erişim için yapılandırmanız gerektiğinden uzak ekipler için de zorluklara neden olur. Bu işlem genellikle sanal özel ağ (VPN) veya diğer güvenli uzaktan erişim yöntemlerini içerir.
VoIP güvenliği ve şifrelemeyi profesyonellerin halletmesine izin verin
VoIP güvenliği karmaşıktır ve sürekli gelişmektedir, bu nedenle bir VoIP hizmetine dış kaynak sağlamak çeşitli nedenlerden dolayı mantıklıdır.
En ucuz VoIP telefon hizmet sağlayıcıları bile bu işin ağır yükünü sizin yerinize üstlenir; böylece birkaç yıl içinde geçerliliğini yitirecek olan maliyetli şirket içi VoIP altyapısını satın almanıza, yapılandırmanıza ve bakımını yapmanıza gerek kalmaz.
Bu arada güvenlik ve şifreleme, iyi bir VoIP işinin temel taşlarıdır ve çoğu VoIP hizmet sağlayıcısı, uzun vadede kendi kendine barındırılan çözümlerden daha iyi güvenlik ve şifrelemeye sahip olacaktır.
Bu nedenle, telekomünikasyon sektöründe değilseniz ve önemli iletişim güvenliği bilgileriniz yoksa, muhtemelen en iyisi bu işi profesyonellerin halletmesine izin vermektir.
Kaynak: https://www.techrepublic.com/article/voip-security-and-encryption/