Cryptography: Infowatch представила результаты первого российского исследования безопасности Skype

Infowatch представила результаты первого российского исследования безопасности Skype
20 Марта 2007 | 17:51
По материалам: Cybersecurity.ru
Компания Infowatch представила результаты первого российского исследования безопасности Skype.

Проект ставил своей целью выявить опасения специалистов в области ИТ и ИТ-безопасности (ИБ) по поводу применения Skype в корпоративной сети, определить возникающие при этом угрозы ИБ, а также причину возникновения этих рисков.

Ключевые выводы

- Skype действительно лидирует по популярности среди всех VoIP-продуктов. Почти половина всех респондентов (46,8%) использует Skype, а если отбросить тех, кто вообще не использует VoIP-средства, то доля Skype возрастет до 64,9%.

- Риск утечки конфиденциальной информации является самой опасной угрозой (55,6%) для корпоративной сети, в которой используется Skype. Другими словами, респонденты прекрасно осведомлены, какие дополнительные каналы утечки получают в свое распоряжение инсайдеры.

- Сам Skype вряд ли виноват в появлении дополнительных рисков. Вся проблема в человеческом факторе (44,6%), а не слабостях программы.

- Тем не менее, почти две трети респондентов (66,4%) склоняются к тому, что угрозы, сопутствующие применению Skype в корпоративной среде являются серьезным препятствием на пути распространения такого рода программ. Лишь треть опрошенных специалистов (33,7%) уверены, что проблемы с ИБ не помешают дальнейшему распространению Skype в компаниях.

Таким образом, почти половина респондентов полагает, что с помощью Skype внутренние нарушители смогут значительно легче красть конфиденциальную информацию.

Действительно, Skype предоставляет целый ряд дополнительных каналов утечки. Во-первых, голосовой трафик. Так же, как с помощью мобильного телефона, можно позвонить по Skype и зачитать какой-то фрагмент текста. Во-вторых, пересылка файлов. Здесь все аналогично отсылке файлов по FTP, вместе с e-mail или по ICQ. В-третьих, копирование ценных данных в буфер обмена, а потом вставка в чат, который поддерживается программой Skype. Это аналог ICQ или чата в Интернете. Однако из всех этих каналов относительно новым является только голосовой трафик. Все остальные возможности легко контролируются теми же средствами, что используются для защиты от утечек через электронную почту, пейджеры и Интернет. Что же касается VoIP-трафика, то это вряд ли можно считать опасным каналом утечки. Здесь и сослуживцы инсайдера прекрасно услышат, о чем он рассказывает по Skype, да и много информации таким способом не передать. Так что можно не беспокоиться об утечке данным посредством голоса, если пользователь Skype работает в окружении своих коллег. Между тем, другие каналы утечки должны быть взяты под контроль, иначе конфиденциальная информация очень быстро попадает к конкурентам или будет опубликована для доступа всем и каждому.