Kulunvalvonnassa, turvatulostuksessa ja työajanseurannassa käytettävät tunnisteet ja lukijat pitävät huolta päivittäisen kulkemisen ja toiminnan turvallisuudesta: niihin määritellyt kulkuoikeudet sanelevat, keillä henkilöillä on pääsy mihinkin tiloihin tai niissä säilytettäviin tietoihin.
Nämä teknologiat ovat kehittyneet viime vuosien aikana hurjasti muun teknologiakehityksen mukana. Kehitys on tuonut mukanaan myös turvallisuusriskejä: kaikki käytössä olevat tunnisteet ja lukijat eivät enää vastaa nykypäivän turvallisuusstandardeja.
Tunnisteiden, lukijoiden ja päätteiden tietoturvallisuutta täytyy seurata aktiivisesti samoin kuin minkä tahansa muun avaimen tai sovelluksen, joka antaa pääsyn suojattuihin tiloihin tai tietoihin. Joskus turvattomiin kulunvalvonnan teknologioihin havahdutaan vasta tietoturva-auditointien yhteydessä.
Mitä riskejä pääsyoikeuksia yksilöiviin teknologioihin liittyy ja kuinka voit varmistua käytössänne olevien tunnisteiden turvallisuudesta?
Vanhoihin tunnisteisiin liittyy kaksoiskappaleiden riski
Turvallinen tunniste on henkilökohtainen ja yksilöllinen: kun tunnistetta käytetään kulkemisessa, täytyy kulkutapahtumien pohjalta voida yksilöidä, kuka on kulkenut esimerkiksi tietystä ovesta tai hakenut turvatulostimelta tietyn dokumentin.
Kulku- ja käyttöoikeudet määritellään tunnisteisiin koodilla, joka erottaa tunnisteet ja niiden käyttöoikeudet toisistaan. Koodeihin sisällytetään tieto siitä, missä tietyllä tunnisteella pääsee kulkemaan ja kuka tunnistetta käyttää. Tämä koodi on käytännössä jono merkkejä, joiden taakse käyttöoikeustieto järjestelmässä tallennetaan.
Keskenään erilaisia ja uniikkeja tunnisteita voidaan luoda vain tietty lukumäärä - sitä pienempi, mitä lyhyempää merkkijonoa yksilöinnissä käytetään. Tämän määrän ylityttyä useammalle tunnisteelle voi syntyä sama yksilöivä koodi, jolloin tunnisteista tulee toistensa kaksoiskappaleet.
Tämä tarkoittaa, että vaikka tunnisteet ovat fyysisesti toisistaan erilliset, tunnisteilla voi kulkea kummankin tunnisteen kulkuoikeuksiin määritellyissä tiloissa, vaikka ne sijaitsisivat täysin eri kulunvalvontaympäristöissä. Pahimmillaan täysin ulkopuolinen henkilö voi siis kulkea suojatuissa tiloissa ilman, että uhkaa tai poikkeamaa edes havaitaan.
Osa kulunvalvonnassa käytetyistä tunnisteista on ollut markkinoilla hyvin pitkään - jopa kymmeniä vuosia - ja tunnisteita voi määritellä (koodata) käyttöön useampi markkinoilla toimiva valmistaja. Mitä pidempään tunnisteita on käytetty ja mitä useampi valmistaja niille määrityksiä tekee, sitä suurempi on kaksoiskappaleiden riski etenkin lyhytkoodisilla tunnisteilla.
Vanhoihin kulunvalvonnan tunnisteisiin liittyy myös kopiointiriski
Mobiiliteknologian kehityksen myötä osa vanhoista tunnisteista on mahdollista kopioida puhelinsovelluksella, ja tunnistekopiota väärinkäyttää luvattomaan kulkemiseen.
Esimerkiksi edulliset, sarjanumerointiin perustuvat tunnisteet voidaan nykypäivänä lukea tai kopioida älypuhelinsovelluksella sekä erillisellä pienellä laitteella. Myös lukijan ja ovipäätteen välinen liikennöinti voidaan salaamattomana kopioida ja toistaa uudelleen erillisellä laitteella.
Kopiointi onnistuu oikeilla työkaluilla jopa muutamissa sekunneissa - tunnisteen käyttäjä ei välttämättä edes huomaa mitään erikoista tapahtuneen. Siksi kopiointiriskin tunnistaminen ja siihen reagoiminen on äärettömän tärkeää turvallisuuden varmistamiseksi.
Valvo tunnisteteknologian ja lukijoiden turvallisuutta jatkuvasti
Varmista aina järjestelmäpäivityksen yhteydessä käytössänne olevat tunnisteteknologiat ja selvitä tunnisteisiin ja lukijoihin liittyvät mahdolliset riskit. Jos käytössänne on turvattomia tunnisteita, selvitä teknologioiden päivitysmahdollisuudet ja toimi ohjeiden mukaisesti.
Suosittelemme käyttämään DESFire® EV3 tai HID Seos –tunnisteita, jotka noudattavat AES128-tiedostosalausta. Näissä tunnisteissa ei ole kopiointiongelmia eikä kaksoiskappaleiden riskiä. Lukijoissa OSDPV2-liikennöinti (Open Supervised Device Protocol) on turvallisin vaihtoehto, sillä sekin hyödyntää AES128-salausta.
Tunnisteiden käytössä kannattaa huomioida myös normaalit, hyvän käytännön mukaiset säännöt:
- Älä luovuta kulkutunnistetta toiselle henkilölle.
- Suojaa PIN-koodin syöttö esimerkiksi kädellä, kuten pankkiautomaatillakin.
- Käytä PIN-koodikyselyä ulko-ovilla ja muissa turvallisuuskriittisissä ovissa.
Autamme tunnistamaan turvattomat teknologiat ja vaihtamaan ne uusiin
Teknologian ulkonäön perusteella ei voi vielä todeta sen turvallisuutta tai turvattomuutta: tunnisteet ja lukijat voivat näyttää ulkoisesti samalta toistensa kanssa, vaikka hyödyntävät eri salaustekniikoita. Siksi kulkemisessa käytetyn teknologian tunnistamiseen kannattaa hyödyntää asiantuntija-apua, ja selvittää samalla mahdolliset jatkotoimenpiteet päivityksen suhteen.
Kaikkia turvattomia tunnisteita ja lukijoita ei välttämättä tarvitse vaihtaa kerralla, vaan voit aloittaa ulkokuoresta ja muista turvallisuuskriittisistä ovista ja parantaa yrityksesi turvallisuustasoa vähitellen. Uuteen tunnisteteknologiaan siirtymisen yhteydessä myös jokainen ovipääte kannattaa päivittää käyttämään uutta liikennöintiprotokollaa.
Autamme tunnistamaan teillä käytössä olevan teknologian ja selvitämme sen turvallisuuden puolestanne. Suunnittelemme kanssanne myös sujuvan ja turvallisen siirtymän uusiin lukijoihin, tunnisteisiin ja ovipäätteisiin.
Ota yhteyttä meihin myynti@certego.fi niin kartoitetaan kulunvalvontanne turvallisuuden tila!
