VoIP w krótkim czasie wkroczył do różnych branż. Trudno znaleźć organizację, która nie ma planów skorzytania z technologii VoIP w najbliższej przyszłości. Część decyzji podsycana jest obawami, że PSTN zostanie zlikwidowane w ciągu kilku lat. Jednak w większości przypadków niższe koszty i zaawansowane funkcje są wystarczającą zachętą dla organizacji.
Jednak nie wszystkie sektory przyjęły VoIP w takim samym stopniu. Niektóre firmy muszą przestrzegać określonych przepisów dotyczących bezpieczeństwa i prywatności. Nie wszyscy dostawcy są w stanie zaoferować certyfikowane rozwiązania, co ogranicza klientom wybór. Inni mogą działać na obszarach o słabym dostępie do Internetu, co ogranicza korzystanie z VoIP. Organy ścigania należą do tych, które muszą być ostrożne przy przechodzeniu na nowe rozwiązania.
Polityka bezpieczeństwa systemów informacyjnych wymiaru sprawiedliwości w sprawach karnych (CJIS)
Jedną z korzyści przejścia na VoIP jest to, że organizacje nie muszą utrzymywać dwóch oddzielnych sieci do przesyłania głosu i danych. Chociaż zmniejsza to koszty początkowe i konserwacyjne, oznacza to również, że głos i dane współdzielą tę samą infrastrukturę sieciową. Może to stanowić problem dla organów ścigania, które muszą przestrzegać polityki bezpieczeństwa CJIS.
Polityka bezpieczeństwa usług CJIS chroni i zarządza wszystkimi bazami danych usług CJIS. Te bazy danych zawierają niezwykle wrażliwe informacje, takie jak dane o odciskach palców, akta, numery tablic rejestracyjnych i tak dalej. Agencje i użytkownicy uzyskujący dostęp do danych muszą spełniać rygorystyczne wymogi bezpieczeństwa określone w polityce bezpieczeństwa CJIS. Powód tego jest łatwo zrozumiały – naruszenia bezpieczeństwa związane z tego typu danymi mogą mieć bardzo szkodliwe konsekwencje.
Mówiąc ogólnie, połączenia telefoniczne i infrastruktura głosowa nie są zabezpieczone w takim stopniu, jak serwery, na których przechowywane są dane wrażliwe. Kiedy policja korzystała z systemów PSTN, istniał wyraźny rozdział między połączeniami głosowymi a bazami danych. Jeśli jednak firmy chcą przejść na VoIP, wymagania bezpieczeństwa komplikują proces. Chociaż hostowane usługi VoIP są najpopularniejszą alternatywą dla firm, nie spełniają wymagań bezpieczeństwa niezbędnych organom ścigania.
Istnieją również ograniczenia związane z lokalnymi wdrożeniami SIP. Na przykład bezpieczeństwo fizyczne jest bardzo ważne w ramach polityki CJIS. Agencje muszą blokować sprzęt sieciowy, taki jak skrzynki LAN, a dostęp do nich powinni mieć tylko certyfikowani technicy. Podobnie wiele firm korzysta z softfonów – aplikacji instalowanych na komputerach, które mogą wykonywać połączenia – w celu obniżenia kosztów. Naraża to jednak sieć VoIP na zewnętrzne zagrożenia bezpieczeństwa, dlatego organy ścigania nie mogą z nich korzystać.
Kto musi przestrzegać polityki bezpieczeństwa CJIS?
Każda agencja lub organizacja, która ma dostęp do baz danych CJIS, musi przestrzegać polityki bezpieczeństwa. Niektóre organizacje mogą mieć dostęp do wszystkich danych, podczas gdy inne mają ograniczony dostęp w określonych okolicznościach. Komendy policji miejskiej lub powiatowej zazwyczaj mają pełny dostęp. Oznacza to, że cała infrastruktura IT, jak również wszyscy pracownicy są objęci polityką.
Z drugiej strony istnieją kontrahenci rządowi, których dział HR może od czasu do czasu uzyskać dostęp do tych baz danych w określonym celu (kontrola przeszłości, weryfikacja potencjalnych kandydatów do pracy itp.). W takich przypadkach tylko kilka komputerów i użytkowników podlega polityce CJIS. Tak więc poruszanie się po krajobrazie bezpieczeństwa i projektowanie odpowiednich rozwiązań jest procesem znacznie bardziej skomplikowanym niż w przypadku innych firm.
Kwestie związane ze zgodnością z usługami CJIS
Organizacje objęte polityką CJIS muszą przestrzegać określonych wymagań.
- Zarządzaj wszystkimi rodzajami zagrożeń dla danych i systemów informatycznych podczas wdrażania VoIP
- Zapewnij dostęp do łączności alarmowej E-911
- Kontrole fizyczne są bardzo ważne, a sprzęt musi być stale monitorowany
- Należy wdrożyć odpowiednie systemy ochrony. Powinny one być włączone przez cały czas i testowane pod kątem skuteczności
- Nacisk na hasła i kontrolę dostępu, szczególnie dla jednostek mobilnych
- Konieczność przestrzegania wszystkich odpowiednich ustawowych wymogów dotyczących prywatności i bezpieczeństwa
Istnieją różne problemy w zależności od tego, czy organy ścigania rozważają hostowane usługi VoIP, czy lokalne wdrożenia SIP. Jedną z głównych trudności jest oddzielenie dostępu do danych od połączeń głosowych. Ponieważ VoIP wykorzystuje tę samą infrastrukturę sieciową do obu tych funkcji, stworzenie takiej separacji zwiększa koszty.
W wielu przypadkach agencje policyjne decydują się na wdrożenie oddzielnej sieci LAN dla VoIP. Oznacza to, że infrastruktura VoIP nie musi spełniać wymagań CJIS rządzących danymi. Ostatecznie organy ścigania mogą być zmuszone wydawać na VoIP dwa razy więcej niż inne organizacje o podobnej wielkości. Na szczęście wielu dostawców opracowuje rozwiązania zgodne z CJIS, które są przeznaczone dla organów ścigania i organizacji miejskich.
