Vad är access control?

I de flesta moderna kontorsmiljöer styrs tillträdet av ett system som kallas access control, eller passerkontroll på svenska, som avgör vem som får komma in i en byggnad, en lokal eller en digital resurs och under vilka omständigheter. Branschen använder termen främst i internationella sammanhang och i produktblad, standarder och upphandlingar. I praktiken är access control både den fysiska infrastrukturen vid dörrar och grindar och det programvarulager som hanterar behörigheter, loggar och regler.

Vad används access control till?

Access control finns i de flesta moderna kontor, lager och vårdmiljöer i Sverige. Kontor begränsar tillträde till våningsplan och serverrum, lager skyddar lossningskajer mot obehörig hämtning, sjukhus separerar personalområden från publika delar och datacenter kräver flerstegsverifiering vid varje slussdörr. Skolor och förskolor använder systemen för att hindra okända vuxna från att röra sig fritt i lokalerna under skoltid.

Många organisationer kombinerar access control med kameraövervakning och inbrottslarm. När en behörig kortläsning sker dokumenteras den i loggen, och vid ett larm kan operatören snabbt se vem som senast passerade en specifik dörr.

Komponenter och dataflöde

Tekniskt består systemet av fyra huvuddelar som arbetar tillsammans. En användare presenterar något som identifierar honom eller henne, en läsare avläser uppgiften, en styrenhet jämför den mot en regeluppsättning och en låsmekanism släpper in eller stänger ute. Mellan dessa delar går både ström och data, oftast via skyddade nätverk.

Komponenterna i ett typiskt access control-system är:

  • identifierare i form av kort, tagg, mobil eller biometri
  • läsare vid dörren eller grinden som registrerar identifieraren
  • styrenhet eller controller som tar beslut om åtkomst
  • låsenhet, slutbleck eller magnetlås som öppnar passagen
  • hanteringsmjukvara för behörigheter, scheman och loggar
  • nätverksanslutning som binder ihop delarna och möjliggör fjärrstyrning

Tillsammans avgör dessa komponenter både hur tryggt och hur smidigt systemet upplevs. Ett välsatt system släpper in rätt personer på under en sekund och blockerar resten utan dramatik.

Olika typer av identifiering och autentisering

Identifiering inom access control sker traditionellt i tre breda kategorier som branschen kallar something you have, something you know och something you are. Säkerhetsbranschen rekommenderar att åtminstone två av dem kombineras för känsliga utrymmen, vilket kallas tvåfaktorsautentisering eller MFA.

Kort och taggar med RFID är den vanligaste lösningen i kontorsmiljöer. Mobila autentiseringslösningar med Bluetooth eller NFC har vunnit mark sedan smartphones blev arbetsverktyg. PIN-koder är fortfarande vanliga i kombination med kort, framför allt vid kassaskåp och serverrum. Biometri som fingeravtryck och ansiktsigenkänning passar miljöer med högre säkerhetskrav, men omfattas av Dataskyddsförordningen och kräver särskild rättslig grund.

Fyra modeller för åtkomststyrning: DAC, MAC, RBAC och ABAC

När administratörer ska bestämma vilka regler som ska gälla utgår de oftast från en av fyra accesskontroll-modeller. Modellen påverkar både flexibilitet och säkerhetsnivå, och valet beror på verksamhetens behov.

  • Discretionary Access Control (DAC) ger ägaren av en resurs rätt att själv bestämma vilka som får åtkomst. Modellen passar mindre miljöer och klassiska filsystem.
  • Mandatory Access Control (MAC) är en strikt modell där en central instans tilldelar säkerhetsklasser till både användare och resurser. MAC används främst inom myndigheter och försvar, där sekretessnivåer är reglerade.
  • Role-Based Access Control (RBAC) tilldelar åtkomst baserat på roll snarare än identitet. En ekonomiassistent får automatiskt åtkomst till ekonomisystemet, ingenting mer. RBAC används brett i större organisationer eftersom den är enkel att administrera vid personalförändringar.
  • Attribute-Based Access Control (ABAC) tar hänsyn till flera attribut samtidigt, till exempel användarens roll, tidpunkt, plats och enhet. Modellen är mest finkornig men kräver mer arbete att underhålla. ABAC är vanlig i moderna molnbaserade lösningar.

RBAC är en bra startpunkt för många svenska företag eftersom rollerna sällan ändras snabbt. För verksamhetens mest skyddade områden som serverrum, säkerhetsskyddsobjekt eller områden med starkare krav på spårbarhet kompletteras RBAC ofta med ABAC-regler.

Krav vid val av access control

Tre faktorer avgör i praktiken om ett access control-system fungerar: skalbarhet, integration och drift. Skalbarheten handlar om hur många dörrar och användare lösningen klarar utan att prestanda eller administration blir lidande. Integrationen avgör om systemet kan prata med larm, kameror och HR-system på ett vettigt sätt. Driften påverkar både kostnad och säkerhet över tid, eftersom firmware-uppdateringar och kortbyten är vardagsmat i en installation med många dörrar.

Tidigt i processen kartlägger man vilka grupper som ska ha åtkomst, vilka tider som gäller och vilka utrymmen som kräver extra skydd. Den kartläggningen styr både val av identifierare och val av autentiseringsnivå. Hanterar verksamheten känslig information ska cybersäkerhet stå uttryckligen i kravspecifikationen, eftersom moderna lösningar är nätverksuppkopplade och därmed potentiella mål för dataintrång.

Dokumentation och förvaltning bär systemets skyddsvärde över tid och hamnar ofta utanför kravspecifikationen trots det. En lösning som installeras korrekt men inte uppdateras när personal slutar tappar snabbt i värde. Rutinerna för behörighetstilldelning, avregistrering och periodisk översyn är systemets verkliga skyddsmekanism över tid.