SecurityWorldMarket

22-01-2018

Sådan skaber man god business ud af ID- og adgangskontrol samt IoT

Hvad betyder IoT for ID- og adgangskontrol, og hvordan kan det påvirke slutbrugerenes forretning? Hvordan skal man tackle de sikkerhedsproblemer, som IoT fører med sig? Det svenske sikkerhedstidsskrift Säkerhet Plus har undersøgt, hvordan ID- og adgangskontrol samt IoT kan skabe forretningsmuligheder for leverandører, og hvordan det kan give slutbrugerne store fordele.

Hvis digitalisering var / er det seneste paradigmeskifte inden for adgangs- og ID-kontrol, så er Internet of Things det, der kommer. Og det er allerede begyndt, ikke mindst på forbrugermarkedet med et drys ”smarte” produkter, som er online og en del af det smarte hjem. Det marked drives af bekvemmelighed - det er smidigt at styre sine termostater, sikkerhedskameraer eller låse døre fra sin mobil.

Erhvervsmarkedet, på den anden side, er drevet af effektivitet og evnen til at spare penge. Her bliver individuelle detektorer og adgangslæsere forbundet direkte til netværket, og adgangen kan styres øjeblikkeligt. Det er ikke længere et lukket separat system – det kan for eksempel være en separat batteridrevet læser, der sidder på en container. Derudover øges antallet af tilsluttede sensorer af andre typer, alt lige fra måling og styring af varme, flows, belysning eller aktivitet.

I lang tid - som en del af digitaliseringsprocessen - er der blevet talt om at sikre sikkerhedssystemer ved at kræve en stærk godkendelse af brugere og administratorer. Den store udfordring med IoT-perspektivet er, at de "ting", der nu kommunikerer med systemerne, også skal kunne bevise deres identitet på en tilsvarende måde.

Fordele ved IoT-baseret ID- og adgangskontrol:
• Mulighed for at indføre kontroller på steder med begrænset opkobling og strøm (batteri)

• Øget bekvemmelighed for slutkunden

• Meget mere detalje-information - f.eks. kontinuerlig minutinformation og statuskontrol

• Giver mulighed for at handle mere proaktivt

• Omkostningseffektiv - kræver færre servicebesøg og er mere miljømæssigt bæredygtig

• Større fleksibilitet - nem at udstede og nemt at ændre tilladelser og tilladelsesniveauer

• Mulighed for at udnytte arbejdspladser mere effektivt, når man via information ved, hvor folk er, og hvor der er tomt.

Risici og cybersikkerhed
Internettet stiller nye krav til sikkerhed, og det gælder i endnu højere grad for IoT. Jo flere ting og enheder der er forbundet, desto større bliver sikkerhedsudfordringerne. Systemer og komponenter eksponeres på en anden måde, og fysisk og logisk adgang flyder mere og mere sammen.

Computeres it-sikkerhed er forholdsvis høj, men når det drejer sig om forskellige former for smarte hjemmeprodukter, holder man næsten op med at tænke sikkerhed. Selv adgangskontrolsystemer er bagud, og flere af de mest populære kortsystemer er blevet hacket i lang tid, men anbefales og sælges stadig.

Cyber sikkerhed i praksis
Der er et stadig mere klart ønske om, at sikkerhedsproduktproducenter allerede fra starten skal give hvert produkt et unikt ID, baseret på Public Key Infrastructure (PKI). Med hensyn til ID-kontrol har man fundet ud af, at alene brugernavn og adgangskode er utilstrækkelige. To-faktors (eller to-trins) identificering, hvor der kræves to forskellige faktorer til login, for eksempel mobilapp og PIN-kode, er blevet mere almindelige. En anden metode er adaptiv godkendelse, hvilket betyder, at omstændighederne bestemmer, hvad brugeren skal logge ind. Hvis brugeren er på kontoret, er det kun nødvendigt med en adgangskode, men hvis det gøres fra et andet sted eller en enhed, kan systemet kræve to-faktor-identificering for at sikre, at det ikke er en uvedkommende, som forsøger at få adgang. En stærk trend er også at sikre beskyttelsen af privilegerede brugeres (administratorers) adgang og identiteter. Dette bør ske med et såkaldt smart card, og at du ikke tillader brugernavne og adgangskoder i nogen form.

Sporbarhed er et nøgleord for øget cybersikkerhed: Ved at tildele unikke enheder til alle enheder og brugere kan sikkerheden forbedres betydeligt, og handlinger kan udledes og spores både i realtid og efterfølgende. Det bringer klarhed til, hvem der er ansvarlig for hvad, hvilket ofte kan være en svaghed med IoT-systemet.

Huskeliste - Til producenter, distributører, systemleverandører og slutkunder

Producenter:
• Sikkerhed bør være en grundlæggende komponent allerede i designfasen af et produkt eller en tjeneste og gennem hele processen

• Overvej at levere alle enheder med en eller anden form for transportidentitet (ID) allerede fra fabrikken, og en identitet, som kan videreudvikles

• Stop med at producere læsere, der kun håndterer gammel teknologi, som er blevet hacket for længe siden, som for eksempel EM og Mifare (classic) læsere

Distributører:
• Vov at stille krav til standarder for kommunikation mellem kortlæsere og opad for at sikre en krypteret kommunikationskæde

• Sælg ikke gamle systemer med usikre kortlæsere

Systemleverandører:
• Find ud af, hvad slutkunderne virkelig har brug for. Hvilke funktioner gør forretningen mere smidig og sikker, og hvordan kan løsningen bidrage til øget rentabilitet?

• Lav en sikker pakkeløsning med mobilapps og to-faktor identificering

• Lav en tjeneste-pakkeløsning med en passende forretningsmodel baseret på ovenstående

• Planlæg sikkerheden for tilslutning af enhederne, og hvem der har adgang til informationen

• Installer ikke et sikkerhedssystem, der mangler sikker adgangshåndtering. Dette krav kan foretages af indehaveren / slutkunden

• Foreslå / kræv brug af to-faktors godkendelse og sikre logfiler

• Vælg producent, der opfylder ovenstående

Slutkunder:
• Vælg en fremtidssikret ID- og adgangskontrolløsning med sikkerhedstips og migreringsmuligheder

• Lav en risikoanalyse, inden du køber en løsning

• Stærkere identiteter giver bedre sporbarhed

• Du skal specifikt sikre beskyttelsen af privilegerede brugeres (administratorers) adgang og identiteter (med smart cards).

• Brug PKI (Public Key Infrastructure) eller flere lag af sikkerhed for at sikre identiteter - det er meget bedre end passwords

• Med signerede logfiler (som for eksempel viser, hvem der gav en tilladelse på et bestemt tidspunkt) bliver det svært at stille spørgsmålstegn ved, at der skete noget, og hvem der var ansvarlig for det, der skete

• Undgå manuelle processer for adgang – det bør ske dynamisk og automatiseret - for eksempel når en medarbejder holder op, og hans / hendes rettigheder / adgang skal slettes.

Informationskilde:
Tidsskriftet Säkerhet Plus  har hentet hjælp fra Nexus, markedsførende inden for PKI og identitetshåndtering, med hensyn til at producere og kvalitetssikre indholdet af denne artikel.


Tags

Leverandører
Tilbage til toppen