Перехід до 5G не скасовує базового правила телеком-безпеки: довіра між мережами має бути перевірюваною, а не припущеною. Для CTO та керівників безпеки операторів ключовий ризик сьогодні полягає не лише в нових сервісах, а й у поєднанні старих сигнальних протоколів, підміни ідентифікаторів абонентів і недостатньо формалізованих процесів антифроду.
За даними CFCA Global Fraud Loss Survey 2025, глобальні втрати від телеком-шахрайства у 2025 році оцінено приблизно у 41.82 мільярда доларів США проти 38.95 мільярда у 2023 році. Це не доказ неефективності окремої технології, але чіткий сигнал для операторів: захист периметра треба доповнювати контролем сигнального трафіку, криптографічною автентифікацією викликів і процесами виявлення фроду на рівні операційної моделі.
Аналіз глобальних загроз: чому SS7 та Diameter досі залишаються в зоні ризику
ENISA Threat Landscape 2025, у якому проаналізовано 4 875 інцидентів за період з 1 липня 2024 року до 30 червня 2025 року, підтверджує: експлуатація застарілих сигнальних протоколів SS7 і Diameter залишається актуальним ризиком для мобільних мереж.
Для операторів це означає, що програма безпеки не може обмежуватися лише захистом нових 5G-компонентів. Потрібно регулярно перевіряти сигнальні інтерфейси, політики взаємодії з партнерами, правила маршрутизації та контроль аномальних запитів. Особливо важливо не розглядати SS7 і Diameter як суто спадкову інфраструктуру, яка не впливає на поточний ризик-профіль: за даними ENISA, ці протоколи залишаються частиною актуального ландшафту загроз.
Криптографічний захист викликів: RFC 8224 та STIR/SHAKEN
Окремий напрям захисту — боротьба з підміною номера абонента. Для IP-голосу важливу роль відіграє підхід STIR/SHAKEN, який спирається на криптографічну автентифікацію ідентичності виклику.
Технічна основа описана в RFC 8224: стандарт визначає використання SIP Identity header для перенесення криптографічно підписаної інформації про походження виклику. У практичній архітектурі STIR/SHAKEN, описаній FCC, використовується Identity header у SIP INVITE, а перевірка виконується за допомогою публічного ключа.
FCC виділяє два ключові компоненти STIR/SHAKEN:
- Authentication/Verification Caller ID: технічний процес, у межах якого інформація про ідентичність виклику підписується та перевіряється приймаючою стороною.
- Certificate governance: управління сертифікатами, яке підтримує довіру до ключів, що використовуються для автентифікації Caller ID.
Важливо не переоцінювати цей механізм. STIR/SHAKEN допомагає перевіряти автентичність Caller ID, але не замінює всі політики обробки ризикових викликів і не ліквідує всі види телеком-фроду. Оператору все одно потрібні правила реагування, аналітика підозрілої активності та узгоджені процедури між мережевими, антифрод- і SOC-командами.
Боротьба з фродом підписок та ідентифікації на практиці
Фрод підписок і зловживання ідентифікаційними даними варто розглядати окремо від суто сигнальних атак, але в межах єдиної програми управління ризиками. CFCA розглядає subscription fraud серед напрямів телеком-шахрайства, а загальна оцінка глобальних втрат у 2025 році показує, що проблема має суттєвий фінансовий масштаб.
Практичний мінімум для оператора — формалізувати контрольні точки на всьому життєвому циклі клієнтського підключення: перевірка джерела заявки, розмежування доступу до документів, фіксація змін, аудит дій співробітників і передача підозрілих кейсів у антифрод-процес. Такі заходи не замінюють мережевий моніторинг, але зменшують операційні прогалини, через які фрод може залишатися непоміченим.
Інтеграція моніторингу сигнального трафіку в операційні процеси
Моніторинг сигнального трафіку має бути не окремим технічним проєктом, а частиною операційної моделі безпеки. Для цього оператору доцільно поєднати дані з мережевих систем, механізмів автентифікації викликів, антифрод-інструментів і SOC-процесів.
Практичний підхід включає чотири рівні. По-перше, інвентаризацію сигнальних інтерфейсів і зон відповідальності. По-друге, регулярну перевірку ризиків SS7 і Diameter, оскільки ENISA підтверджує актуальність їх експлуатації. По-третє, впровадження перевірки SIP Identity header згідно з RFC 8224 там, де оператор працює з SIP-викликами. По-четверте, операційні правила: хто отримує сповіщення, які події блокуються, які лише маркуються, як документуються винятки та як результати розслідувань повертаються в політики безпеки.
Якщо оператор паралельно оновлює бек-офісні процеси, важливо відділяти мережевий антифрод від систем документообігу та BPM. У цьому другому контурі можуть використовуватися продукти Megapolis.DocNet або Scriptum.DMS, побудовані на low-code платформі UnityBase компанії InBase. Платформа UnityBase підтримує рольову безпеку, row-level security, audit trail, кваліфіковані підписи RSA/PDF/DSTU та інтеграції з Active Directory, Oracle і Microsoft SQL Server. Це не захищає SS7 чи SIP саме по собі, але може бути корисним для контрольованого документообігу, аудиту доступів і збереження матеріалів розслідувань.
Чек-лист готовності телеком-оператора до захисту сигнального трафіку
- Аудит SS7 та Diameter: визначити всі сигнальні інтерфейси, перевірити правила взаємодії з партнерами та зафіксувати відповідальних за регулярний перегляд ризиків.
- Підтримка SIP Identity header згідно з RFC 8224: перевірити, чи мережеві компоненти, що обробляють SIP-виклики, можуть передавати та перевіряти криптографічно підписану інформацію про походження виклику.
- Certificate governance у межах STIR/SHAKEN: описати процеси керування сертифікатами та ключами, які забезпечують довіру до автентифікації Caller ID.
- Процес обробки ризикових викликів: визначити, які події блокуються, які маркуються як підозрілі, а які передаються на додатковий аналіз.
- Контроль subscription fraud: інтегрувати перевірку клієнтських документів, аудит дій співробітників і правила ескалації підозрілих заявок у єдиний антифрод-процес.
- Зв’язок із SOC та антифрод-командою: забезпечити, щоб результати мережевого моніторингу, перевірки Caller ID і розслідувань фроду впливали на оновлення політик безпеки.
Головний висновок для телеком-оператора: 5G не усуває автоматично старі сигнальні ризики. Ефективна стратегія має поєднувати аудит SS7 і Diameter, криптографічну автентифікацію SIP-викликів за RFC 8224 та STIR/SHAKEN, а також операційні процеси, які дозволяють швидко виявляти, документувати й обробляти фрод.
Поширені питання
Які основні фінансові загрози несе використання застарілих протоколів SS7?
За даними ENISA, експлуатація застарілих сигнальних протоколів SS7 і Diameter залишається актуальним ризиком для мобільних мереж. У фінансовому вимірі це підвищує загальну експозицію оператора до телеком-фроду, глобальні втрати від якого CFCA у 2025 році оцінює приблизно у 41.82 мільярда доларів США.
Як стандарт STIR/SHAKEN допомагає боротися з підміною номерів?
STIR/SHAKEN використовує криптографічну автентифікацію Caller ID. Згідно з описом FCC, підхід спирається на Identity header у SIP INVITE та перевірку за допомогою публічного ключа. Це допомагає приймаючій стороні оцінити автентичність ідентичності виклику, але не замінює всі антифрод-політики.
Яка роль криптографічних ключів у верифікації SIP-дзвінків?
Ключі забезпечують перевірювану довіру між сторонами, що обробляють SIP-виклик. Інформація про походження виклику переноситься в SIP Identity header у криптографічно підписаному вигляді, а приймаюча сторона перевіряє її за допомогою публічного ключа. Certificate governance у STIR/SHAKEN підтримує довіру до таких ключів.