Dersom digitalisering var/er det seneste paradigmeskiftet innen adgangs- og ID-kontroll så er Internet of Things det som kommer. Og det har allerede startet, ikke minst på forbrukermarkedet med en drøss av «smarte produkter» som er online og en del av det smarte hjemmet. Det drives fremover av bekvemmelighet – det er smidig å styre sine termostater, sikkerhetskamera eller å låse dører med sin mobil.

Det kommersielle markedet derimot drives av effektivitet og muligheten til å spare penger. Hver enkelt detektor og kortleser blir koblet direkte i nettverket og tilgang kan kontrolleres umiddelbart. Det er ikke lenger et lukket system – det kan eksempelvis være en separat, batteridrevet leser som er festet på en container. I tillegg økes antallet tilkoblede sensorer av andre typer, alt fra måling og styring av varme, belysning, aktivitet med mer.

Over en lang tid - som en del av digitaliseringsprosessen - har det blitt snakket om å sikre sikkerhetssystemer ved å kreve sterk godkjenning av brukere og administratorer. Den store utfordringen med IoT-perspektivet er at de "tingene" som nå kommuniserer med systemene, også skal kunne bevise sin identitet på en lignende måte.

Fordeler med IoT-basert ID- og adgangskontroll: 

• Mulighet til å innføre kontroller på steder med begrenset oppkobling og strøm (batteri)
• Økt bekvemmelighet for sluttkunden
• Mye mer detaljert-informasjon - f.eks. kontinuerlig minuttinformasjon og statuskontroll
• Gir mulighet for å handle mer proaktivt
• Kostnadseffektiv - krever færre servicebesøk og er mer miljømessig bærekraftig
• Større fleksibilitet – enkelt å utstede og enkelt å endre tilgang og tilgangsnivåer
• Mulighet for å utnytte arbeidsplasser mer effektivt når man via informasjon vet hvor folk er, og hvor der er tomt.

Risiko og cybersikkerhet 
Internett stiller nye krav til sikkerhet, og det gjelder i enda større grad for IoT. Jo flere ting og enheter som er sammenkoblet, desto større bliver sikkerhetsutfordringene. Systemer og komponenter eksponeres på en annen måte, og fysisk og logisk tilgang flyter mer og mer sammen.

Datamaskiners it-sikkerhet er forholdsvis høy, men når det dreier seg om forskjellige former for smarte hjemmeprodukter stopper man nesten opp sikkerhetstanken. Selv adgangskontrollsystemer ligger etter, og flere av de mest populære kortsystemene har blitt hacket over lang tid, men anbefales og selges fremdeles.

Cybersikkerhet i praksis 
Det er et stadig tydeligere ønske om at sikkerhetsproduktprodusenter allerede fra starten skal gi hvert produkt en unik ID basert på Public Key Infrastructure (PKI). Med hensyn til ID-verifisering har det vist seg at bare brukernavn og passord er utilstrekkelig. Identifisering av to-faktorer (eller to trinn), som krever to forskjellige faktorer for innlogging, for eksempel mobilapp og PIN, har blitt vanligere. En annen metode er adaptiv autentisering, noe som betyr at omstendighetene bestemmer hva brukeren må logge på. Hvis brukeren er på kontoret, er det bare nødvendig med et passord, men hvis det gjøres fra et annet sted eller en enhet, kan systemet kreve to-faktoridentifikasjon for å sikre at det ikke er en uautorisert person som forsøker å få tilgang. En sterk trend er også å sikre beskyttelse av privilegerte brukeres (Administratorers) tilgang og identiteter. Dette bør skje med et såkalt smartkort, og at du ikke tillater brukernavn og passord i noen form.

Sporbarhet er et nøkkelord for økt cybersikkerhet: Ved at tildele unike ID til alle enheter og brukere kan sikkerheten forbedres betydelig, og handlinger kan utledes og spores både i realtid og i etterkant. Det gir klarhet til hvem som er ansvarlig for hva, noe som ofte kan være en svakhet i IoT-systemer.

Huskeliste - Til produsenter, distributører, systemleverandører og sluttkunder

Produsenter: 
• Sikkerhet bør være en grunnleggende komponent allerede i designfasen av et produkt eller en tjeneste og gjennom hele prosessen

• Vurder å levere alle enheter med en eller annen form av transportidentitet (ID) allerede fra fabrikken, og en identitet som kan videreutvikles
• Slutt å produsere lesere som kun håndterer gammel teknologi, som har blitt hacket for lenge siden, for eksempel EM og Mifare (classic) lesere

Distributører: 
• Våg å stille krav til standarder for kommunikasjon mellom kortlesere og oppover for at sikre en kryptert kommunikasjonskjede

• Ikke selg gamle systemer med usikre kortlesere

Systemleverandører: 
• Finn ut hva sluttkundene virkelig behøver. Hvilke funksjoner gjør forretningen mer smidig og sikker, og hvordan kan løsningen bidrag til økt rentabilitet?

• Lag en sikker pakkeløsning med mobilapper og to-faktor identifisering
• Lag en tjeneste-pakkeløsning med en passende forretningsmodell basert på ovenstående
• Planlegg sikkerheten for tilkobling av enhetene og hvem som har adgang til informasjonen
• Installer ikke et sikkerhetssystem som mangler sikker adgangshåndtering. Dette kravet gjøres av innehaver/sluttkunden
• Foreslå / krev bruk av to-faktors godkjennelse og sikre logfiler
• Velg produsenter som oppfyller ovenstående

Sluttkunder: 
• Velg en framtidssikret ID- og adgangskontrolløsning med sikkerhetstips og migrasjonsmuligheter

• Lav en risikoanalyse, før du kjøper en løsning
• Sterkere identiteter giver bedre sporbarhet
• Du må spesielt sikre beskyttelse av privilegerte brukere (administratorens) tilgang og identiteter (med smartkort).
• Bruk PKI (Public Key Infrastructure) eller flere lag av sikkerhet for å sikre identiteter - det er mye bedre enn passord
• Med signerte logfiler (som for eksempel viser hvem som gav en tillatelse på et bestemt tidspunkt) blir det vanskelig å stille spørsmål om hvem som hvem som var ansvarlig ved en hendelse
• Unngå manuelle prosesser for adgang – det bør skje dynamisk og automatisert - for eksempel når en medarbeider slutter og dennes rettigheter / adgang skal slettes.

Informasjonskilde: 
Tidsskriftet Säkerhet Plus  har hentet hjelp fra Nexus, markedsførende innenfor PKI og identitetshåndtering, med hensyn til at produksjon og kvalitetssikring av innholdet i denne artikkel.