České firmy nepovažují VoIP za bezpečnou

Informace v tomto článku pochází z výzkumu, který byl realizován v listopadu až prosinci 2008 mezi českými firmami. Výzkumu se zúčastnilo 2174 respondentů, kteří odpovídali na otázky týkající se problematiky IT bezpečnosti, jak oblasti zabezpečení telekomunikací, tak oblasti zabezpečení automobilů a budov prostřednictvím IT techniky. Zde prezentujeme část výsledků, které se týkaly názorů na dostatečnost zabezpečení VoIP volání. Dále předesíláme, že prezentujeme odpovědi firemních respondentů, nehodnotíme skutečnou míru zabezpečení jednotlivých prvků. Technické znalosti lidí z firem jsou velmi různorodé a velmi často spíše nižší, než je průměr u čtenářů Lupy.

Firemní respondenti odpovídali na následující otázku, s možnostmi odpovědí „ano“, „spíše ano“, „spíše ne“ a „ne“ pro jednotlivé prvky:

„Uveďte, zda je zabezpečení následujících prvků dostatečné?“

• Počítače ve firmě
• WiFi síť ve firmě
• Volání přes pevné linky
• Volání přes Internet pomocí Skype (a jiných bezplatných typů VoIP)
• Volání přes VoIP pomocí IP telefonů, IP brány, či připojení ústředny přes IP

Hodnoceny byly ještě další síťové prvky, které v rámci tohoto článku neuvádíme. Volání přes VoIP pomocí IP telefonů, IP brány, či připojení ústředny přes IP v tomto článku pro jednoduchost nazýváme „plnohodnotnou“ VoIP. Volání pomocí Skype a jiných bezplatných typů VoIP zužujeme v interpretacích na Skype, jelikož tento zabírá přes 90 % trhu s tímto typem IP telefonie. Některé firmy však používají i jiné typy bezplatných volání (např. volání přes MSN, ICQ atp.). Je třeba ještě předeslat, že na otázku odpovídaly i firmy, které nepoužívají všechny příslušné prvky – tedy např. uživatelé i neuživatelé VoIP.

Frekvenční výsledky odpovědí na uvedenou otázku ukazuje následující graf:

Vidíme, že z hlediska hodnocení všemi firmami vychází volání přes „plnohodnotnou VoIP“ jako nejméně bezpečné, dokonce méně bezpečné než volání přes Skype, či používání WiFi sítě ve firmě. Rozdíl v hodnocení proti dalším typům volání je obrovský: zatímco plnohodnotnou VoIP označilo v součtu za bezpečnou jen 42 % firem, Skype označilo v součtu za bezpečný 64 % firem a volání přes pevné linky pak 84 % firem.

Čím jsou dány tyto obrovské rozdíly? Patrně dvěma skutečnostmi, které zatím nazveme hypotézami:

(1) Podíl firem používajících plnohodnotnou VoIP je velmi nízký, více firem používá jako doplněk k volání Skype a téměř všechny firmy pak pevné linky. Lidé mají tendenci hodnotit neznámé jako více nebezpečné, tedy i méně zabezpečené. Čím méně uživatelů má příslušný prvek či technologii, tím méně je považován příslušný prvek za dostatečně bezpečný.

(2) Druhým faktorem pak jsou patrně očekávání od jednotlivých typů volání. Zatímco Skype je téměř výhradně používán jako doplněk pevných linek a nároky na jeho zabezpečení jsou poměrně nízké, plnohodnotná VoIP se stává (nebo spíše by se měla stát) úplnou náhradou pevných linek. Plnohodnotná VoIP je tak srovnávána více s pevnými linkami a ve srovnání s těmito v očích respondentů neobstojí. Jaké je reálné zabezpečení VoIP, je jiná otázka, uvedený výsledek pouze ukazuje, jak toto zabezpečení vnímají lidé ve firmách. Kterým se ovšem operátoři snaží svoje VoIP prodat.

Následující graf pak ukazuje hodnocení bezpečnosti „plnohodnotné VoIP“ dle míry využití a současného zájmu o IP telefonii ve firmě.

Vidíme, že v součtu celých 80 % firem, které IP telefonii nepoužívají a ani o ní neuvažují (první řádek), VoIP nepovažují za dostatečně zabezpečenou. Podobně v součtu 75 % firem, které nemají VoIP, ale do budoucna o ní uvažují, nepovažuje VoIP za dostatečně zabezpečenou. Naopak, v součtu pouze 28 % firem z těch, které k volání používají pouze VoIP, nepovažují tento způsob volání za dostatečně zabezpečený. Tento názor pak sdílí 38 % firem, které používají souběžně VoIP a pevné linky. Vidíme, že tento výsledek potvrzuje hypotézu (1): Firmy používající VoIP považují tento způsob volání mnohem častěji za bezpečný, než ostatní firmy. Otázkou samozřejmě je, jakou roli zde hrají technické znalosti lidí ve firmách, kde VoIP ne/používají (podíly jsou vyšší např. u IT firem). Nicméně znalost a použití technologie jsou dvě propojené nádoby.

Zajímavé je, že při stejném dělení firem jsou podstatně menší rozdíly v názoru na dostatečnost zabezpečení Skype a jiných neplacených typů volání, což ukazuje následující graf.

52 až 55 % firem, které používají pevné linky a nepoužívají VoIP, nepovažují Skype za dostatečně zabezpečený – což je podstatně nižší číslo než při hodnocení bezpečnosti plnohodnotné VoIP (tam bylo kritických 75 až 80 % firem). Podobně 15 až 20 % z firem, které již VoIP používají, nepovažují Skype za dostatečně zabezpečený – vůči plnohodnotné VoIP bylo kritických 28 až 38 % firem.

Tento výsledek by tak z části mohl podpořit hypotézu (2) respondenti od Skypu nemají tak vysoká očekávání a jsou vůči němu tudíž méně kritičtí. Samozřejmě je možno se také dohadovat, že respondenti prostě považují Skype za celkově více zabezpečený než plnohodnotné typy VoIP, což se mi však nejeví jako pravděpodobné. Jinak prostě hodnotíme dostatečnost zabezpečení například v domě kde bydlíme (VoIP nahrazující pevné linky) a jinak v kůlně na zahrádce, která je jenom jakýmsi příjemným doplňkem našeho bydlení (Skype).

Co tedy plyne z našich výsledků a úvah pro uživatele a operátory? Je zřejmé, že na dostatečnost zabezpečení VoIP hovorů má většina firemních respondentů negativní názor a tedy tato problematika není operátory dostatečně komunikována. I já se přiznám, že si nejsem jist, nakolik jsou či nejsou moje aktuální VoIP hovory šifrovány. Sám nejsem v tomto ohledu obezřetný a ani mi na případném odposlechu příliš nezáleží, cenná data „ukrývám“ jinde. Firemní hovory však mohou mít v mnoha případech obrovskou cenu a tudíž názory ohledně nízkého zabezpečení VoIP mohou být faktorem, který rozhodne o jejím nepoužívání. Je evidentní, že operátoři nabízející VoIP by měli otázku bezpečnosti této služby výrazně lépe sdělovat vůči svým zákazníkům. VoIP operátoři, snažte se!