Ip-telefoni är inte längre en nisch. Det har blivit ett självklart val för företag som vill ha telefoner på skrivborden.
Under tredje kvartalet ökade försäljningen av ip-telefoner med 40 procent, enligt analysföretaget Dell’Oro.

Hos leverantörerna jublas det, men myntet har en baksida. Den kraftiga tillväxten har också gjort att ip-telefoni blivit ett mer intressant mål för hackare.

Utvecklingen bekräftas av att antalet hittade säkerhetshål tredubblats i år jämfört med förra året.

– Säkerheten är fortfarande omogen på ip-telefoniområdet, men många företag stoppar huvudet i sanden och satsar ändå, vilket är en farlig kombination, säger säkerhetsexperten Robert Malmgren.

Hos kunderna är kunskapen om området mycket begränsad.

– Leverantörerna pratar bara om möjligheterna, ingenting om riskerna. Därför ser företagen bara möjligheterna och underskattar riskerna, säger Ulf Eriksson, it-chef på Alcro-Beckers.

Det senaste tecknet på omogenheten är att Ciscos ip-telefoner kan avlyssnas på grund av att det har en inbyggd webbserver som inte krypteras och dessutom är påslagen som standard.

– Dagens ip-telefoner är inga dumma terminaler utan liknar mer en vanlig pc med en webbläsare. Det får stora konsekvenser för säkerheten, säger Ulf Eriksson.

Just avlyssning är den första säkerhetsrisken som många kommer att tänka på. Men för hackarna finns det ett smörgåsbord av andra attacker som kan göras – allt från möjligheten att förfalska identiteter, skicka om samtal och på olika sätt avbryta dem. Det kan användas vid till exempel bedrägerier. Det går också att hoppa in i pågående ett samtal och helt slå ut ip-telefonin, berättar Robert Malmgren.

För alla dessa finns det ett hela tiden växande utbud av verktyg som underlättar hackarnas arbete.

Ytterligare en dimension på hotet mot ip-telefonin är att växlarna numera installeras på vanliga servrar.

– Det innebär att växlarna är lika sårbara för skadlig kod och attacker från hackare som vilken annan server som helst, säger Niklas Eklöv, systemingenjör på McAfee.

Men även om leverantörerna har en bit kvar på säkerhetsområdet satsas det trots allt mer på säkerhet. En av de viktigaste funktionerna i kampen mot hackarna är kryptering, vilket byggs in på allt fler ställen. Men för att kryptering ska skydda måste den användas och så är inte fallet.

– Bara en minoritet av företagen använder kryptering. Orsaken är att de gamla telefoniväxlarna också gick att avlyssna, men det var inget större problem. Men då glömmer de bort att det är mycket enklare att avlyssna ip-telefonisystem, säger Johan Dahl, ip-telefoni­expert på Starc Consulting.

Läget bekräftas av Ulf Eriksson på Alcro-Beckers.

– Jag har aldrig hört talas om ett företag som använder kryptering. Vilket jag tror beror på att många är rädda för sämre kvalitet, säger han.

Fakta

För den som vill lära sig mer om ip-telefoni och säkerhet finns det en massa källor.
Den amerikanska organisationen Nist, eller National Institute of Standards and Technology, har till exempel tagit fram säkerhetsrekommendationer som går att läsa på
cstjanster.idg.se/d/122.
En annan bra källa för att hålla koll på läget är organisationen Voip Security Alliance. De finns på
www.voipsa.org