SecurityWorldMarket

18-02-2021

Robert Jansson, Stid: Åben teknologi giver sikrere adgangskontrolsystemer

Robert Jansson, salgschef for Norden og Østeuropa hos Stid Security, fortæller om, hvorfor han synes, det er så vigtigt at bruge sikkerhedssystemer baseret på åbne platforme, og hvordan man beskytter systemerne.

Kan noget andet end åbne adgangssystemer virkelig sikre det, du prøver at beskytte? Spørgsmålet kommer fra Robert Jansson, salgschef for Norden og Østeuropa hos den franske virksomhed Stid Security. I denne artikel forklarer han, hvorfor han synes, det er så vigtigt at bruge sikkerhedssystemer baseret på åbne platforme, og hvordan man beskytter systemerne.

Virksomheder og organisationer rundt om i verden bruger hvert år mange millioner på adgangskontrolsystemer. De fleste af disse købere investerer måske i et eller to store adgangskontrolsystemer i løbet af deres karriere. Og når de er parate til at bruge pengene på at sikre deres lokaler, er de kravspecifikationer, de bruger i deres indkøbsdokumenter, ofte dem, der anbefales af konsulentfirmaer.

Mit arbejde handler om at henlede folks opmærksomhed på vigtigheden af et nøje kontrolleret adgangskontrolsystem, og på hvordan man kan sikre, at systemet gør, hvad det er  konstrueret til at gøre. Det vil sige at lade de rigtige mennesker komme ind - og at holde de forkerte mennesker ude. Efter min erfaring er mange af de fejl, der begås, faktisk indbygget i systemerne, og det gør dem ekstremt vanskelige at rette, når de senere  identificeres. I de fleste tilfælde har et adgangskontrolsystem en arkitektur i fire niveauer:

• Software med database, lokalt og i skyen, til at styre folk med kalendere, tidsplaner og tilladelser.

• Et kontrolniveau, hvor et autonomt liv uden kobling til overordnet software sikres, og hvorhen det underliggende niveau af læsere bliver koblet.

• Et læserniveau forbundet til et overordnet kontrolniveau, hvor mennesker, der skal passere, identificerer sig med et kort, en chip eller i moderne systemer via en smartphone.

• En identitetsbærer i form af et kort, et tag eller et virtuelt kort, hvor personligt linkede oplysninger matches i systemet med kalender, tid og tilladelser.

Problematisk med proprietære systemer
For 20-30 år siden var markedet ekstremt fragmenteret, og i princippet blev alle systemer bygget af en enkelt leverandør på alle eller de fleste af ovennævnte niveauer. Så når du først havde installeret systemet, blev du låst fast af denne udbyder i hele systemets levetid, og livet var og er stadig meget længere end systemets forventede levetid. Problemet med proprietære systemer er der stadig trods en stærk tendens mod åbne platforme. Konverteringen er langsom, og kunderne betaler prisen. Forestil dig, at du køber en bil, og at du skal købe alle dæk samt  benzinen fra én leverandør, der kontrollerer både pris og kvalitet, så længe du ejer bilen. Hvem ville gøre det? Dette er faktisk hvad du gør, når du køber et proprietært system, hvor du ikke kan opdatere nogen af de ovenstående niveauer af arkitektur individuelt. For eksempel bør du være i stand til at kunne vælge læsere eller kortteknologier fra en række udbydere over tid. Dette er absolut nødvendigt for at kunne imødegå de risici og trusler, som du ved vil komme, men du ved ikke nøjagtigt, hvordan de vil se ud.

Opgraderbar sikkerhed et must
Den, der vil have fingre i det, som du beskytter bag adgangskontrolsystemet, vil altid forsøge at få adgang til det på den nemmeste måde. Hvorfor åbne døren, hvis man bare kan gå lige igennem uden registrering? Du ville ikke have et dyrt adgangskontrolsystem, hvis der ikke var noget at beskytte, så dine aktiver er den værdi, tyven er interesseret i. Normalt er en ubuden gæst i dag ikke bevæbnet med en koben, men med meget sofistikerede værktøjer til digitalt at bryde ind i dit system - muligvis uden at efterlade spor. Denne værktøjskasse vokser hver dag, og et adgangskontrolsystem skal kunne imødegå disse nye trusler og denne værktøjskasse i samme tempo.

Grundlæggende sikkerhed
De fleste læsere af denne artikel ved, at det er usikkert at bruge et brugernavn og en adgangskode til at logge ind på et sikkerhedssystem. Men de gør det stadig. Derfor er første trin at lukke den åbne dør i sikkerhedssystemet ordentligt ved hjælp af to-faktor login. Dette er uden tvivl den nemmeste del at håndtere, og det kan gøres med åbne standarder sammen med din it-afdeling.

Kontroller - kompatibilitetskrav
På det andet niveau er kontrolenhederne, og jeg ville sørge for, at de overliggende softwaresystemer kan arbejde med mindst tre forskellige kontrolproducenter og helst på samme tid. Udviklingen og konkurrencen om at lagre, transportere og administrere dine identitetsdata udvikles hele tiden, så du skal til enhver tid være i stand til at bruge de nyeste og mest sikre produkter.

Sikker protokol med open source-kode
Kortlæserne, der opretter forbindelse til dit kontrolniveau, skal også være åbne, men sikre. Derfor skal der bruges et sæt sikre open source-protokoller. De fleste producenter af kontroller og læsere bruger dem som standard i dag. US OSDP (Open Supervised Device Protocol) opført af SIA og European SSCP (Smart Secure Communication Protocol) er to af de mest almindelige sikre protokoller mellem styreenhed og læser, som også giver fjernopdateringer med både åben, standard, AES-kryptering for at beskytte datastrømmen fra læserne til styreenhederne.

GDPR-kompatibilitet
I dag presser regeringer, især siden GDPR blev lov i EU, på for at sikre strømmen af personoplysninger, ofte i perifert udstyr såsom kortlæsere. Sikkerhed på alle niveauer opretholdes gennem kryptering og nøglehåndtering. Men hvor sikkert, og hvor henne skal du lagre nøglerne for at være GDPR-kompatibel? Jeg anbefaler kraftigt, at du aldrig går under de sædvanlige kriterier EAL5 + i nøglelagring af perifert udstyr, for eksempel i kortlæsere, der normalt er installeret - i det mindste delvist - i perimetersikringen uden for det, du ønsker sikret.

Ingen nøgler lagres i læserne
Jeg ville også se på at bruge såkaldt "transparent mode", hvor der slet ikke er lagret nogen nøgler i læserne, men hvor adgangskortet kommunikerer transparent med kontrolenheden gennem læseren. Sørg for, at du som slutbruger har fuld kontrol over sikkerhed på alle niveauer, og at du kan få kortlæserprodukter fra mange forskellige leverandører, der passer til dine styreenheder længere oppe i systemet såvel som til adgangskortene nedenunder. Læseren skal være designet således, at den ikke på nogen måde låser dig inde i proprietære teknologier. Og den skal kunne opdateres til at bruge den senest tilgængelige teknologi. Et sikkert valg af en "defacto-standard" på kort bør være NXP Desfire-familien nu ved evolution 3.

Brug Desfire
Desfire bruges i vid udstrækning over hele verden og nyder stor tillid, fordi den er baseret på åbne standarder. Ud over dette ser vi fordele som sikkerhed, fleksibilitet, men også enorme omkostningsbesparelser ved at bevæge sig mod virtuelle kort. De fleste medarbejdere i dag er udstyret med smartphones med enten en PIN-kodelås eller i de fleste tilfælde biometriske låse, så, hvis du kan, sørg for, at det virtuelle højsikkerhedskort kun genkendes i kortlæseren, hvis du har låst det op med en PIN-kode eller en biometrisk skabelon. Disse kort kan normalt tilbagehentes fra brugernes telefoner enten via offline-løsninger og / eller mere fleksible online-løsninger. Virtuelle kort kan i de fleste tilfælde arbejde parallelt med almindelige højsikkerhedskort hos læserne, og dette er en vigtig faktor, fordi overgangen fra kort til mobile ID'er kan tage tid.

Konklusion i korte træk
Altså: Brug to- eller trefaktorautentificering for at logge ind som bruger på sikkerhedssystemet. Brug aldrig brugernavne og adgangskoder i noget sikkerhedssystem. Brug open source, og prøv om muligt at gøre dette med kvalificerede certifikater for at sikre brugernes integritet og logfilernes gyldighed. Slå kryptering til mellem systemet og systemenhederne, og stol aldrig på proprietær kryptering. Brug en læser, der er åben og sikker både opad mod systemet og nedad mod de sikre kodebærere i form af kort, tags eller virtuelle kort i telefoner, og lad den nyeste teknologi til enhver tid beskytte dig og dine aktiver. Og endelig, lad dig aldrig blive kidnappet af forældet, proprietær eller patenteret teknologi. Åbne adgangskontrolsystemer er en nødvendighed for sikrere beskyttelse.

Robert Jansson,
Salgschef, Stid Security


Tags


Leverandører
Tilbage til toppen