О запрете использования skype
Спецслужбы видят угрозу национальной безопасности в том, что россияне используют службы передачи данных, применяющие системы шифрования на основе зарубежных алгоритмов.
Начальник центра защиты информации и спецсвязи ФСБ Александр Андреечкин заявил о необходимости запрета российским гражданам пользоваться такими сервисами, как Skype и Gmail. По его словам, спецслужбы видят угрозу национальной безопасности в том, что россияне используют службы передачи данных, применяющие системы шифрования на основе зарубежных алгоритмов.
«В последнее время проблема использования в сетях связи общего пользования шифровальных криптографических средств – в первую очередь иностранного производства – вызывает все большую озабоченность ФСБ. Распространяются различные программные средства, позволяющие шифровать трафик. Это, в частности, такие сервисы, как Gmail, Hotmail и Skype», – сказал Андреечкин в ходе заседания правительственной комиссии по федеральной связи и технологическим вопросам информатизации.
«Бесконтрольное использование таких сервисов может привести к масштабной угрозе безопасности России», – добавил представитель ФСБ.
После его выступления заседание проходило в закрытом режиме. По словам Минкомсвязи Ильи Массуха, ФСБ предложила ввести в России запрет на использование этих сервисов, пояснив это тем, что применение алгоритмов шифрования в значительной мере затрудняет осуществление оперативных мероприятий.
«Например, к Gmail доступ со стороны правоохранительных органов сейчас не регламентирован», – отметил Массух.
По итогам заседания было решено создать межведомственную рабочую группу, которая к 1 октября должна выработать предложения правительству по урегулированию вопроса использования криптографических средств в сетях связи общего пользования.
По мнению Массуха, до запрета использования этих сервисов дело не дойдет.
«Граждан ограничивать каким-то техническим образом мы, наверное, не будем, – сказал замминистра. – Позиция Минкомсвязи заключается в том, что гражданам ничего нельзя запрещать, особенно Интернет. Можно предлагать какие-то средства шифрования, но они должны быть бесплатными».
Он также сообщил, что рабочая группа будет состоять из представителей государственных органов власти. Из операторов возможно участие только «Ростелекома».
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
«Ростех» лишил своих сотрудников возможности пользоваться иностранными мессенджерами. Запрет распространяется только на деловое общение – рабочие моменты теперь нельзя обсуждать в WhatsApp, Skype и Zoom, но их использование на личных гаджетах работников не регулируется.
Роль безопасности при использовании Skype
Возвращаясь к результатам опроса, отметим, что 33,7% специалистов считают, что дополнительные риски не препятствуют внедрению Skype на предприятиях. Это категория прагматиков, кто достаточно объективно и логично оценивает все выгоды от использования Skype. Тем не менее, 66,4% респондентов уверено в обратном. Получается, что риски ИБ, возникающие вследствие использования Skype, являются довольно существенным препятствием на пути внедрения этой VoIP-программы в компаниях. Между тем, эту точку зрения вряд ли можно назвать логичной, так как источником дополнительных угроз являются сами служащие предприятия. В результате, если защитить информацию, как таковую, то она вряд ли сможет уйти по каналам Skype.
Методология исследования и портрет респондента
Аудиторию участников исследования составляют в большинстве своем квалифицированные специалисты по ИБ (37,1%). За ними следуют системные администраторы (34,3%) и пользователи (28,6%). Таким образом, около 71% респондентов являются профессионалами в ИТ-индустрии.
Угрозы Skype
Основная часть исследования направлена на выявление рисков, сопутствующих использованию Skype, и источников этих рисков. Как оказалось, абсолютное большинство респондентов видит целый ряд угроз в связи с применением Skype (см. рис. 3). Лишь 5,3% опрошенных специалистов считают, что использование Skype в корпоративной среде полностью безопасно.
Наибольшая угроза, по мнению 55,6% респондентов, это риск утечки конфиденциальной информации. Другими словами, более половины специалистов уверено, что из-за Skype закрытая корпоративная информация может просочиться наружу. По результатам исследования, угроза утечки конфиденциальной информации в 2 раза (55,6% против 29%) превышает риск хакерской атаки на ресурсы внутренней сети. Промежуточные позиции заняли риск несанкционированного доступа к информации (37,2%), риск потери данных (33,2%) и угрозы проникновения вредоносных программ на рабочие станции (31,7%). Еще 7,4% голосов набрали прочие угрозы.
Решения для VoIP, и это касается не только Skype, действительно создают целый комплекс угроз ИБ для предприятий. Программы для голосовой и видеосвязи достаточно просты и удобны для инсайдеров. Контролировать использование Skype непросто, так как голосовой трафик чрезвычайно трудно фильтровать в автоматическом режиме. Вместе с тем, работа с приложением не вызывает трудностей даже у малоопытных пользователей. Кроме того, как и большинство программных продуктов, VoIP-клиенты имеют уязвимости, которыми теоретически могут воспользоваться недоброжелатели.
«Программа Skype предоставляет уникальную возможность сэкономить на дальних телефонных разговорах. Так что компании сами заинтересованы в использовании VoIP. Разговоры о том, что применение Skype несет фатальную угрозу корпоративным сетям, по сути, не состоятельны. Отрицать риски тоже не имеет смысла, но другие сетевые приложения (почта, браузеры, даже сами операционные системы) зачастую более опасны, чем Skype. Отказываться от перспективных и экономически выгодных технологий преступно. Необходимо лишь правильно их использовать и создать благоприятное окружение».
В то же самое время, по мнению аналитического центра InfoWatch, риск хакерской атаки несколько переоценен. Популярность этого ответа объясняется скорее исторически сложившимися опасениями взлома компьютеров. Реально, в настоящее время угроза со стороны хакеров не столь остра. Также преувеличены угрозы проникновения вредоносных программ. Зафиксирован лишь один случай, когда троянец проникал через брешь в приложении Skype. Однако следует учитывать, что вирус не мог распространяться самостоятельно и предварительно собственноручно скачивался пользователем.
Что такое «корпоративный» Skype
Сам по себе мессенджер Skype существует с августа 2003 г. Microsoft купила его в мае 2011 г. Skype долгое время был одним из наиболее востребованных средств онлайн-общения, предлагая возможность голосового и даже видеообщения, пока другие сервисы позволяли общаться лишь текстом.
На июнь 2021 г. мессенджер утратил былую популярность. По данным Statista, он не входит даже в топ-6 самых распространенных программ такого рода.
Skype for Business – это в некотором роде форк (ответвление) обычного Skype, ориентированное на корпоративных клиентов. Microsoft запустила его в марте 2015 г. По сути, Skype for Business – это перелицованный Lync, предыдущий бизнес-мессенджер корпорации, последнее обновление которого вышло в 2012 г.
У мессенджера есть своя серверная часть (Skype for Business Server), позволяющая компаниям разворачивать его внутри собственной локальной сети, без использования интернет-серверов. В последний раз она получала масштабное обновление в 2019 г., и ее поддержка будет прекращена в октябре 2025 г.
Таким образом, Microsoft сворачивает работу исключительно онлайновой версии Skype for Business. На сайте компании указано, что закрытие сервиса никак не скажется на работе обычного Skype.
Ключевые выводы
-
Skype действительно лидирует по популярности среди всех VoIP-продуктов. Почти половина всех респондентов (46,8%) использует Skype, а если отбросить тех, кто вообще не использует VoIP-средства, то доля Skype возрастет до 64,9%. Риск утечки конфиденциальной информации является самой опасной угрозой (55,6%) для корпоративной сети, в которой используется Skype. Другими словами, респонденты прекрасно осведомлены, какие дополнительные каналы утечки получают в свое распоряжение инсайдеры. Сам Skype вряд ли виноват в появлении дополнительных рисков. Вся проблема в человеческом факторе (44,6%), а не слабостях программы. Тем не менее, почти две трети респондентов (66,4%) склоняются к тому, что угрозы, сопутствующие применению Skype в корпоративной среде являются серьезным препятствием на пути распространения такого рода программ. Лишь треть опрошенных специалистов (33,7%) уверены, что проблемы с ИБ не помешают дальнейшему распространению Skype в компаниях.
Введение
Однако программа Skype получила достаточно широкое распространение не только у домашних пользователей, но и в корпоративных сетях. Неудивительно, ведь она позволяет значительно сократить расходы на междугородные и международные разговоры, упростить коммуникации между офисами и отдельными людьми. Кроме того, для установки и использования утилита вовсе не требует привилегий администратора. Поэтому служащие могут бесплатно скачать Skype из Интернета и спокойно установить его на корпоративной рабочей станции. Между тем, именно в этом месте возникает совершенно новая проблема – дополнительные риски информационной безопасности (ИБ), которые возникают в связи с использованием Skype в корпоративной среде.
Отметим, что проблема защищенности Skype сегодня очень актуальна. Это довольно популярная программа, приковывающая к себе внимание, как инсайдеров, так и хакеров. Например, при помощи Skype внутренние нарушители легко могут выкрасть ценную информацию. При этом история таит немало примеров того, как хакеры отыскивали уязвимости в Skype.
Дата | Уязвимость |
---|---|
Ноябрь, 2004 г. | Обнаруженная дыра позволяла хакеру получить полный контроль над компьютером пользователя посредством переполнения буфера в Skype. |
Апрель, 2005 г. | Программа Skype не всегда аккуратно сбрасывала права доступа. В результате злоумышленник мог подменять оригинальные приложения модифицированными вариантами с уже полученной авторизацией. |
Октябрь, 2005 г. | Выявлена лазейка, с помощью которой злоумышленник мог вызвать ошибку переполнения буфера на машине жертвы и получить доступ к системе. |
Октябрь, 2005 г. | Брешь в Skype позволяла организовать атаку типа отказ в обслуживании на удаленный компьютер. |
Май, 2006 г. | Новая брешь давала возможность украсть файл с машины пользователя. Правда, для этого необходимо было послать жертве специально сформированные пакеты, чтобы спровоцировать аварийное завершение программы. |
Декабрь, 2006 г. | В нескольких странах распространился червь, инфицирующий рабочие станции с программой Skype, использующейся в режиме чата. |
Настоящее исследование является первым российским проектом в сфере изучения возможности безопасного использования Skype в корпоративной среде. Исследование ставило своей целью выявить опасения специалистов в области ИТ и ИБ по поводу применения Skype в интрасетях компаний, определить дополнительные угрозы ИБ, которые этому способствуют, а также причину возникновения этих рисков.
WhatsApp в «черном» списке
В Ростехе подтвердили CNews, что ограничения на использование иностранных мессенджеров в госкорпорации действительно были введены. Ее представители уточнили, что программы теперь нельзя устанавливать и использовать на корпоративных ноутбуках и компьютерах, но на личные гаджеты, с их слов, запрет не распространяется.
Иначе говоря, сотрудники «Ростеха» по-прежнему могут пользоваться WhatsApp и другими программами из «черного» списка, но только если они будут установлены на их личных смартфонах и планшетах. Ноутбуки, не являющиеся собственностью «Ростеха», под ограничения тоже не попадают.
Microsoft избавляется от Skype
Корпорация Microsoft закрыла поддержку своего корпоративного мессенджера Skype for Business Online. Сервис прекратил свое существование 31 июля 2021 г., сообщается на сайте Microsoft.
Развитие Skype for Business Online было остановлено в угоду продвижения нового корпоративного мессенджера Teams, запущенного Microsoft осенью 2016 г. За шесть лет своего существования он претерпел ряд трансформаций, расширяющих его возможности, и даже стал частью Windows 11 – новейшей операционной системы, которую Microsoft подготовила на замену Windows 10. Skype, которым Microsoft владеет с 2011 г., ни разу не входил в базовый состав ОС корпорации.
Используемые VoIP-средства
На рис. 2. представлены предпочтения респондентов в отношении различных средств VoIP. Лидирующая позиция Skype (46,8%) нисколько не удивляет. Это первая и, пожалуй, самая удобная программа для передачи голоса через Интернет. Все конкуренты, взятые вместе, едва набрали четверть всех голосов (25,3%). Правда, отметим, чуть больше четверти (27,9%) опрошенных специалистов, в интрасетях которых VoIP-средства вообще не используются. Вероятно, в этом виноваты угрозы, которые несет применение Skype.
«Проблема безопасности Skype отнюдь не надуманна. Во-первых, программа использует собственный протокол, который не поддерживается традиционными межсетевыми экранами. Во-вторых, выловленный голосовой трафик трудно фильтровать электронными системами, а привлекать для этого специального человека малоэффективно. Самым простым решением, конечно же, будет запрет трафика Skype. Но и это не выход, ведь программа удобна и полезна».
Денис Зенкин,
директор по маркетингу компании InfoWatch.
Что послужило причиной
Основной причиной введения запрета на использование перечисленных приложений стало, как стало известно CNews, несоответствие требованиям «Ростеха» к информационной безопасности. В чем именно заключается эти несоответствия, остается неизвестным, а сотрудники госкорпорации объяснили это так: «Ростех – крупнейшая промышленная компания, которая работает в оборонной сфере и развивает высокотехнологичные гражданские направления – в авиации, двигателестроении, электронике, медицине, фарме, других областях. Это диктует очень серьезные требования к обеспечению информационной безопасности».
«С новой политикой WhatsApp это никак не связано – корпоративные ограничения были введены значительно раньше. То есть риски не сейчас возникли, они существовали всегда, и мы обязаны были их нивелировать», – рассказали CNews в «Ростехе».
Заключение
Исследование показало, что использование Skype в корпоративной среде небезопасно. И наибольшей угрозой (55,6%) является риск потери конфиденциальных данных. В этом нет ничего удивительного, ведь средства VoIP вообще очень удобны для внутренних нарушителей. А вот угрозы хакерской атаки (29,0%) и проникновения в интрасеть зловредных программ (31,7%) существенно преувеличены респондентами. Свою роль тут сыграли традиционные опасения взлома и зомбирования компьютеров. Реально же, проблема хакеров не столь остра в настоящее время, а черви и троянцы, использующие программы для голосовых конференций, достаточно малочисленны.
В то же время выяснилось, что в принципе небезопасен любой IT-инструмент, который используется неверно. И, согласно данным опроса, именно человеческий фактор является главной проблемой (44,6%) при работе со Skype. Помимо людей, негативно на защищенности сказывается программное окружение (26,7%). Лишь 23,4% респондентов считают основным недостатком бреши в самих VoIP-клиентах.
Подводя итоги, можно заметить, что почти половина респондентов полагает, что с помощью Skype внутренние нарушители смогут значительно легче красть конфиденциальную информацию. Действительно, Skype предоставляет целый ряд дополнительных каналов утечки. Во-первых, голосовой трафик. Так же, как с помощью мобильного телефона, можно позвонить по Skype и зачитать какой-то фрагмент текста. Во-вторых, пересылка файлов. Здесь все аналогично отсылке файлов по FTP, вместе с e-mail или по ICQ. В-третьих, копирование ценных данных в буфер обмена, а потом вставка в чат, который поддерживается программой Skype. Это аналог ICQ или чата в Интернете. Однако из всех этих каналов относительно новым является только голосовой трафик. Все остальные возможности легко контролируются теми же средствами, что используются для защиты от утечек через электронную почту, пейджеры и Интернет. Что же касается VoIP-трафика, то это вряд ли можно считать опасным каналом утечки. Здесь и сослуживцы инсайдера прекрасно услышат, о чем он рассказывает по Skype, да и много информации таким способом не передать. Так что можно не беспокоиться об утечке данным посредством голоса, если пользователь Skype работает в окружении своих коллег. Между тем, другие каналы утечки должны быть взяты под контроль, иначе конфиденциальная информация очень быстро попадает к конкурентам или будет опубликованы для доступа всем и каждому.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Принудительное импортозамещение
Взамен запрещенным иностранным сервисам госкорпорация предложила своим сотрудникам перейти к использованию их отечественных аналогов, в том числе и тех, что были разработаны непосредственно в самом «Ростехе». Список разрешенных к использованию сервисов предоставлен не был, но представители «Ростеха» рассказали CNews, что в период самоизоляции, вызванной пандемией коронавируса, для проведения видеоконференций компания использовала платформу IVA.
Data Fusion Awards: синергия разнородных данных становится неотъемлемой частью бизнеса, науки и государства
По информации РБК, в данном случае речь может идти про сервис защищенной видеоконференц-связи IVA AVES S. Он представляет собой программно-аппаратный комплекс (ПАК) для организации онлайн-совещаний, а создали его сотрудники ООО «НТЦ «ХайТэк» и НИИ «Масштаб» - последний входит в холдинг «Росэлектроника», а тот в свою очередь является частью «Ростеха».
«Сегодня “Ростех” и в целом отечественная ИТ-индустрия предлагают корпоративным заказчикам большой набор безопасных программных продуктов, которые позволяют легко, без ущерба для бизнес-процессов обходиться без распространенных зарубежных аналогов», – сообщили CNews представители госкорпорации.
Следует отметить, что «Ростех» как минимум с августа 2020 г. работает над собственным аналогом американского видеосервиса Zoom. Тогда же стало известно о планах российских властей выделить более 46 млрд руб. на создание отечественных конкурентов Zoom и корпоративного мессенджера Microsoft Teams из США. Часть этих средств также пойдет на создание новой российской ОС.
Microsoft остановила поддержку онлайн-версии своего корпоративного мессенджера Skype for Business. Вместо него она теперь продвигает Teams – свой новый бизнес-сервис для интернет-общения. На работе обычного Skype закрытие его корпоративной версии пока не скажется, однако еще в апреле 2021 г. Microsoft выпустила пользовательскую и полностью бесплатную версию Teams.
Исход был предрешен
Microsoft, как сообщал CNews, задумалась об уничтожении Skype for Business четыре года назад, в конце сентября 2015 г. Другими словами, безоблачным будущее сервиса было лишь первые два с половиной года его существования.
Причина отказа от Skype for Business за прошедшее время не изменилась. Microsoft с самого начала планировала отказаться от него в пользу Teams, которому на момент первого заявления компании о планах по закрытию Skype for Business не было еще и года (Teams вышел в ноябре 2016 г.).
Конкурент победил
Data Fusion Awards: синергия разнородных данных становится неотъемлемой частью бизнеса, науки и государства
Teams не только уничтожил Skype for Business Online, он покушается еще и на классический пользовательский Skype. Весной 2021 г. силами Microsoft началось распространение полностью бесплатной версии Teams, доступной для личного использования.
Во freeware-версию Teams разработчики перенесли почти все функции платной модификации, не забыв даже про групповые звонки. Еще один тревожный «звоночек» для пользовательского Skype заключается в том, что для работы бесплатной версии Teams не потребуется заводить новую учетную запись – подойдет та, которая используется в Skype.
Интеграция Teams в Windows 11, о которой Microsoft объявила в конце июня 2021 г., тоже может негативно отразиться на пользовательской активности в Skype. Этот мессенджер всегда нужно устанавливать вручную, тогда как Teams будет доступен при первом же запуске новой операционной системы.
Точные сроки релиза Windows 11 пока не установлены. Microsoft планирует выпустить ее до конца 2021 г. Еще до анонса она была доступна в бета-версии для разработчиков, а в конце июля 2021 г. Microsoft открыла доступ к ее пользовательской превью-версии.
Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуре
Что до нововведений, то в последний раз Microsoft по-крупному обновляла Skype в мае 2020 г., когда весь мир перешел на удаленную работу из-за пандемии коронавируса. Она встроила в мессенджер массу новых функций, но с тех пор подобных масштабных апдейтов он не получал.
Для Teams подобное по своим размерам обновление Microsoft создала в июле 2020 г. Также мессенджер регулярно получает небольшие апдейты.
Недавно по страницам отечественных СМИ и блогов прокатилась волна возмущения действиями чиновников, которые запретили использовать в госструктурах открытую почту и Skype для служебной переписки. Теперь служащие могут пользоваться только продуктами, сертифицированными в ФСБ. Но так ли ужасно это постановление? Может быть, чиновники Свердловской области и президент РФ, одобривший эту инициативу, не так уж неправы?
Не так давно правительство Свердловской области обратилось к главам муниципальных образований с просьбой провести анализ состояния информационной безопасности. По его результатам предписывалось использовать для служебной переписки только сертифицированные программные продукты, а также запретить Skype и бесплатный e-mail. Документ, предназначенный "для служебного пользования", попал в Сеть и вызвал всеобщее негодование.
Однако его причины не очень понятны, поскольку перечисленный комплекс мероприятий не содержит ничего нового по сравнению с указом президента РФ от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности". Пункт а) указа не предполагает разночтений: подключение информационных систем, применяемых для передачи информации, содержащей сведения, составляющие государственную или служебную тайну, к международной компьютерной сети "Интернет" не допускается. Если без подключения к публичной сети не обойтись, пункт б) предписывает использовать средства шифрования, сертифицированные ФСБ.
Указ правительства Свердловской области о запрете использования сервисов бесплатной электронной почты и интернет-телефонии Skype
Вероятно, дело в том, что журналисты и интернет-социум никак не воспринимают простую формулировку "подключение не допускается", но остро реагируют на имена собственные. Как назло, помимо цитирования указа президента свердловский чиновник упомянул Skype. Язвительные статьи сразу же появились в бумажных и электронных СМИ, за ними последовало обсуждение "в одни ворота" на форумах и в блогах. Сошлись на том, что Skype и Gmail – флагманы инновационного развития РФ, но спецслужбы ими недовольны. Так что же беспокоит президента России и правительство Свердловской области? Оставим в покое бесплатную электронную почту, с которой всё понятно. Рассмотрим Skype и алгоритмы шифрования.
Кто может "слушать" Skype?
Проведите эксперимент. Войдите в Skype под своим именем с двух компьютеров и запустите чат на одном из них. Обратите внимание: всё, что вы читаете и пишете, незаметно копируется на второй компьютер, даже если он подключился к сети уже после окончания разговора. Иными словами, достаточно иметь "золотой пароль", чтобы получить оперативный доступ к "одному из самых защищенных от прослушивания средств современной связи".
Откройте закладку "О программе" в любой системе "банк-клиент". Зайдите на сайт разработчика и обратите внимание на количество сертификатов соответствия от ФСБ. Разработчик реализует алгоритмы шифрования по ГОСТу, и для чувствительной информации это важнее убогого пользовательского интерфейса. Потому что все остальные сертификаты централизованно выдает американский Verisign.
Недавно к российским разработчикам в области VoIP обратилась служба новостей одного из федеральных телеканалов. Без претензии на оригинальность редакция использует бесплатные видеоконференции Skype для связи с корпунктами. Однако обсуждение выпусков новостей они вынуждены проводить строго после окончания эфира. Наложенное самоограничение объяснили просто: "неизвестно, кто в Америке нас слушает". Телевизионщики попросили разработать для них конкурентный продукт, конечно, уже не бесплатный. Да и сертификация от спецслужб не потребуется. Лишь бы было удобно общаться с корреспондентами до выхода сюжетов в эфир, а не после.
Data Fusion Awards: синергия разнородных данных становится неотъемлемой частью бизнеса, науки и государства
Skype использует закрытые технологии. Это является одновременно и сильной, и слабой стороной их услуги. Декларация гарантированной конфиденциальности имеет серьезные основания, однако проверить это утверждение не представляется возможным. Нельзя проверить - нельзя сертифицировать. Для государственных органов это означает одно - нельзя использовать.
О чем молчат SIP-операторы
Однако CNews известны случаи, когда госкомпания желает использовать для корпоративного общения услуги отечественных операторов, работающих с сигнальным протоколом SIP, но не может это сделать. Дело в том, что такой компании зачастую необходимо иметь коды программного обеспечения оконечных устройств, чтобы проверить их на наличие следящей аппаратуры. И в большинстве случаев, когда российская компания – поставщик SIP-услуг обращается к производителю этих устройств с просьбой предоставить коды, она получает отказ. Что, в свою очередь, делает невозможным использование в компании-заказчике SIP.
Протокол RTP (англ. Real-time Transport Protocol) работает на транспортном уровне и используется при передаче трафика реального времени. Протокол переносит в своём заголовке данные, необходимые для восстановления голоса или видеоизображения в приёмном узле, а также данные о типе кодирования информации. Установление и разрыв соединения не входит в список возможностей RTP, такие действия выполняются сигнальным протоколом (например, RTSP или SIP протоколом).
Как известно, сам SIP является открытым протоколом соединения, коды его открыты, но по сути это лишь система сигнализации, способ соединения абонентских устройств. Человек набирает номер - работает SIP, ищет, кого вызывают. Как только абонент ответил, SIP завершает свою работу, а голос и видео идут открытым RTP-потоком. При необходимости можно передавать и шифрованные данные, в этом случае используется другой протокол (SRTP). Завершается соединение опять с помощью SIP.
Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуре
Но и тут есть сложности, которые делают услуги SIP-операторов неприменимыми для госструктур и организаций, имеющих дело с секретной информацией. Например, не исключено возникновение следующей ситуации: двое разговаривают по шифрованному каналу, казалось бы, все отлично. Но поставщик услуги может с неизвестной целью с помощью SIP подключить третьего. Получается что-то вроде конференции, о которой не знают два человека из трех подключенных к каналу. Двое разговаривают, а третий – слушает.
Итак, как мы выяснили, для передачи секретной информации не подходят ни Skype, ни SIP. Что же остается на долю госслужащих, у которых нет ни времени, ни сил, чтобы вместо проведения видеоконференций ездить по городам и весям России? Пока этот вопрос открыт.
Проект ставил своей целью выявить опасения специалистов в области ИТ и ИТ-безопасности (ИБ) по поводу применения Skype в корпоративной сети, определить возникающие при этом угрозы ИБ, а также причину возникновения этих рисков.
Источник угрозы
На предыдущем этапе исследования удалось выяснить, что использование Skype приводит к возникновению дополнительных рисков ИБ. Далее аналитический центр InfoWatch предложил респондентам указать источники возникновения новых угроз ИБ (рис. 4). Ведь помимо проблем в самой утилите Skype, уязвимости могут быть обусловлены недостатками программного окружения, злонамеренностью или халатностью пользователей и т.д. Как оказалось, большинство опрошенных специалистов (44,6%) видят главный источник угрозы в самих людях. Другими словами, именно человеческий фактор при использовании Skype может привести к инцидентам ИБ наиболее часто.
На втором месте (26,7%) стоят недостатки программного окружения Skype. Речь идет либо об уязвимостях операционной системы, либо используемых средств защиты и любого другого прикладного ПО, которое может приводить к реализации угроз ИБ при взаимодействии со Skype. В то же самое время лишь 23,4% респондентов считают, что претензии можно предъявлять к разработчикам Skype. Наконец, только каждый двадцатый опрошенный специалист (5,4%) высказался за то, что использование Skype не несет в себе вообще никаких угроз ИБ.
Таким образом, сами по себе VoIP-программы вряд ли являются основным источником рисков ИБ. Почти половина случаев – вина самих работников предприятия, которые не умеют должным образом пользоваться инструментами или имеют скрытый умысел украсть информацию. Подводя итог, можно заметить, что отказываться от использования Skype все равно, что запрещать использовать Интернет или электронную почту. Средства VoIP полезны и удобны, но чтобы исключить реализацию самой опасной угрозы – утечки конфиденциальной информации, предприятиям следует защищать эти данные точно так же, как они защищаются от кражи по каналам электронной почты и Интернета, через принтеры и USB-носители.
Читайте также: