Telecomwereld moet klanten bewust maken van risico’s digitale telefooncentrale

Begin deze maand ging er een schok door de ICT-wereld. In de zeer veel toegepaste open source, OpenSSL software was een bug, die heartbleed bug werd genoemd, ontdekt die het mogelijk maakt om op afstand gedeelten van het geheugen uit te lezen van het systeem waar deze software op draait. De OpenSSL software implementeert het SSL/TLS protocol. Dit wordt  vandaag de dag zo’n beetje overal toegepast waar een beveiligde dataverbinding nodig is. Denk hierbij aan VPN’s (Virtual Private Networks) maar ook websites met een beveiligde HTTPS-verbinding, zoals bij internetbankieren wordt toegepast.   

Door de brede inzet van de OpenSSL software wordt dit door sommigen, onder andere door het gerenommeerde Forbes magazine wel de bug genoemd met de meeste impact sinds het internet voor commerciële toepassingen wordt gebruikt.

Bij Mitel bleef het stil
Fabrikanten van firewalls, routers, switches en web server software werden vervolgens overspoeld door vragen van klanten en haastten zich om patches en nieuwere releases uit te brengen. Op een aantal vragen van klanten na bleef het bij ons relatief stil en dat is best bijzonder aangezien we de OpenSSL software ook toepassen. 

De telefooncentrale als ‘black box’
Blijkbaar wordt de ‘telefooncentrale’ toch nog voornamelijk gezien als een ‘black box’. Zolang het bedrijf nog bereikbaar is en kan bellen, is er niets aan de hand. De realiteit is anders. De telefooncentrale bestaat tegenwoordig voornamelijk uit software en is vaak zowel met het internet als het bedrijfsnetwerk verbonden. Denk hierbij aan SIP-netlijnen, telewerkers en webportals voor samenwerken. Doordat de telefooncentrale zowel met het Internet als het interne bedrijfsnetwerk is verbonden bestaat dus de theoretische mogelijkheid dat een hacker door het benutten van de heartbleed bug toegang tot bedrijfsinformatie verkrijgt. 

Bewustwording over de ‘gevaren’ van de digitale telefooncentrale is nodig
Voor wat betreft het ontwerp, implementatie en beheer is een telefooncentrale vandaag de dag beter vergelijkbaar met een web server dan met de oude telefooncentrale die in de meterkast stond te zoemen. We hebben hier als industrie nog een hoop aan bewustwording te doen.

Check de status van de OpenSSL-bug voor Mitel-producten
Uit onderzoek blijkt gelukkig dat verreweg de meeste Mitel-producten de OpenSSL bug niet hebben, voor een aantal producten loopt dit onderzoek nog. Klanten en partners kunnen contact met ons opnemen op 088 – 23 56 483 om te checken wat de status is van het Mitel-product dat zij hebben. 

Door: Frits Wilmink, Teamleider Pre-Sales consultants Benelux bij Mitel