Fizyczny wymiar ochrony danych
W czasach, gdy wszyscy skupiają się na ochronie cyfrowych danych, często zapomina się o fizycznych aspektach bezpieczeństwa. W efekcie z serwerowni trudniej wykraść dane przez Internet niż… po prostu do niej wejść. Dlatego gdy w firmie działa system kart zbliżeniowych, warto upewnić się, w jaki sposób przechowywane są ich cyfrowe klucze.
Większość przedsiębiorstw posiada systemy kontroli dostępu (SKD), chroniące przed dostępem osób niepowołanych do określonych pomieszczeń np. biur, magazynów, hal produkcyjnych itp. Coraz częściej organizacje wybierają nowoczesne systemy bazujące na protokole TCP/IP z szyfrowaną komunikacją pomiędzy kontrolerem a serwerem. W wielu budynkach zainstalowane są kontrolery dostępu, wyposażone w procesor, pamięć, system operacyjny i kartę sieciową. Korzystają czasem z wydzielonej sieci LAN, ale zdarzają się jeszcze przypadki, gdy systemy security współużytkują sieć korporacyjną. A – tak samo jak komputery – na atak hakerski mogą być podatne kamery IP, drukarki i właśnie systemy kontroli dostępu.
Ataki hakerskie są przyczyną strat materialnych i wizerunkowych wielu firm. Cyberatak może nastąpić z różnych stron. Nowym trendem jest wykorzystanie do niego urządzeń Interetu rzeczy, co stwarza zagrożenie dla wszystkich systemów sieciowych, a zatem również systemu kontroli dostępu. Coraz więcej polskich przedsiębiorstw, szczególnie z sektora infrastruktury krytycznej, jest już świadomych zasadności ochrony SKD przed cyberatakami. Dlatego firma Nedap stworzyła rozwiązanie End-to-End Security bazujące na najlepszych praktykach stosowanych w rozwiązaniach IT.
Anna Twardowska
Country Manager, Nedap
Firma Nedap jest twórcą bazującej na zaawansowanym oprogramowaniu platformy kontroli dostępu AEOS, gwarantującej wysoki poziom skuteczności systemów zabezpieczeń technicznych. Nasze rozwiązania cały czas są rozwijane, w reakcji na pojawiające się nowe rodzaje zagrożeń oraz oczekiwania klientów dotyczące zarządzania kluczami dostępowymi. Ponieważ wdrażanie tego typu systemów wymaga eksperckiej wiedzy, oferujemy naszym partnerom szczegółowe szkolenia. Zapewniamy także wsparcie naszych inżynierów, którzy pomagają przeanalizować stopień ryzyka występujący w danej firmie oraz stworzyć odpowiednią politykę bezpieczeństwa.
Na świecie zdarzały się przypadki włamań, podczas których kontroler drzwiowy był zastępowany innym – z takim samym adresem IP i MAC oraz teoretycznie tą samą wersją firmware’u, ale zawierającą zainfekowane oprogramowanie. Pozwoliło to na nadanie praw dostępu użytkownikom spoza przedsiębiorstwa oraz usunięcie z dziennika logów zapisów o tych zdarzeniach. Co więcej, za pomocą tak zmodyfikowanych czytników niepowołane osoby mogą uzyskać fizyczny dostęp do innych urządzeń IT, takich jak sprzęt sieciowy, serwery czy stacje robocze. Dlatego przy tworzeniu bezpiecznego systemu dostępu konieczna jest współpraca osób odpowiedzialnych za bezpieczeństwo fizyczne i informatyczne.
Aby przeciwdziałać wystąpieniu tego typu sytuacji eksperci z wielu europejskich krajów stworzyli zbiór zaleceń dotyczących przechowywania cyfrowych kluczy po „bezpiecznej” stronie drzwi. Dzięki temu można zapobiec skopiowaniu kluczy z czytnika po zewnętrznej stronie i uzyskaniu nieautoryzowanego dostępu do zabezpieczonych pomieszczeń. W systemach kontroli dostępu klucze powinny być przechowywane nie w czytniku kart, lecz w centralnym kontrolerze, do którego dostęp wymaga silnego uwierzytelnienia, szczególnie gdy podejmowana jest próba wprowadzenia zmian. Zapewnia to nie tylko właściwą ochronę i minimalizuje ryzyko skopiowania kluczy, ale także gwarantuje wygodę, gdy zajdzie konieczność aktualizacji kluczy.
W zaawansowanych systemach kontroli dostępu w kontrolerze drzwiowym instalowany jest dodatkowy certyfikat uwierzytelniający. W efekcie administrator zyskuje pewność, że wyłącznie to konkretne urządzenie może komunikować się z centralnym kontrolerem.
W systemie Nedap AEOS silna autoryzacja została osiągnięta przez użycie certyfikatów po stronie kontrolera i serwera. Urządzenia te muszą się sobie przedstawić oraz wymienić certyfikatami, dopiero wtedy mogą nawiązać komunikację. Ta praktyka zapewnia, że nawet po podmianie urządzenia na obcy produkt nie będzie możliwy dostęp do systemu kontroli dostępu i sieci LAN. Dzięki temu mamy możliwość dystrybucji kluczy i certyfikatów centralnie, bez chodzenia i konfigurowania każdego czytnika osobno oraz przykładania karty master.
Dodatkowe informacje: Anna Twardowska, Country Manager, Nedap, 
Artykuł powstał we współpracy z firmą Nedap.
Podobne artykuły
Dane torują drogę do innowacji
W lutowej edycji konferencji Technology Live! wzięli udział czterej dostawcy: Keepit, Hammerspace, Nimbus Data oraz Own Company. Przedstawili kilka interesujących nowinek związanych z ochroną oraz przetwarzaniem danych.
G DATA: szkolenia zamiast krytyki
Faktem jest, że użytkownicy stanowią najsłabsze ogniwo w systemie bezpieczeństwa IT, ale na ich usprawiedliwienie przemawia to, iż bardzo rzadko są szkoleni pod tym kątem we właściwy sposób. Wyzwanie polegające na zmianie tej sytuacji podjęła G DATA.
Fudo Security: VPN już nie wystarcza
W dobie bardzo rygorystycznych przepisów wymuszających ochronę danych wrażliwych konieczne staje się m.in. ścisłe zarządzanie dostępem do nich w odniesieniu do użytkowników, ale też do osób z wyższymi uprawnieniami, np. administratorów.