H ενοποίηση δύο “κόσμων” : Σύγκλιση φυσικού και IT ελέγχου πρόσβασης

Τα συστήματα ελέγχου φυσικής πρόσβασης συγκλίνουν όλο και πιο πολύ και με τα συστήματα ελέγχου πρόσβασης στον ψηφιακό κόσμο των πληροφοριακών συστημάτων. Τι σημαίνει όμως στην πράξη αυτή η σύγκλιση;
Οι εξελίξεις στον έλεγχο πρόσβασης παρουσιάζουν ιδιαίτερο ενδιαφέρον τα τελευταία χρόνια. Βρισκόμαστε μπροστά σε σημαντικές εξελίξεις που θα επηρεάσουν συνολικά τις διαδικασίες ασφάλειας ενός Οργανισμού ή μιας επιχείρησης.

Μέχρι σήμερα όσοι προέρχονταν από το χώρο της φυσικής ασφάλειας, με τη χρήση του όρου ελέγχου πρόσβασης εννοούσαν προφανώς την προστασία από μη εξουσιοδοτημένη είσοδο προσώπων σε χώρους όπως κτίρια γραφείων, στρατιωτικές εγκαταστάσεις, εργοστάσια, εργαστήρια, αεροδρόμια, σταθμούς παραγωγής ενέργειας, και άλλους διαβαθμισμένους χώρους. Τα συστήματα access control λοιπόν, από την πλευρά της φυσικής ασφάλειας τοποθετούνταν σε ορισμένα σημεία προκειμένου οι υπεύθυνοι ασφάλειας να μπορούν να δίνουν δικαιώματα πρόσβασης σε συγκεκριμένα εξουσιοδοτημένα άτομα.

Όμως ασφάλεια δεν είναι πλέον μόνο η φυσική. Τις τελευταίες δεκαετίες η ανάπτυξη της πληροφορικής έδωσε μια άλλη διάσταση στον τρόπο με τον οποίο λειτουργούν οι σύγχρονες επιχειρήσεις ή Οργανισμοί. Τα πληροφοριακά συστήματα αποτελούν αναπόσπαστο στοιχείο μιας εταιρείας (ανεξάρτητα από το μέγεθός της) ενώ οι πληροφορίες που διακινούνται μέσω αυτών είναι σημαντικές για την εύρυθμη λειτουργία τους. Η υφαρπαγή πληροφοριών ή η καταστροφή μέρους ή ακόμα χειρότερα όλου του συστήματος μπορεί να δημιουργήσει ανυπέρβλητα προβλήματα για οποιαδήποτε επιχείρηση. Προβλήματα, που πολλές φορές μπορεί να είναι πιο σημαντικά και από τυχούσες φθορές ή ζημιές στην υλική υποδομή της επιχείρησης.

Το ιστορικό
Διαπιστώνουμε λοιπόν ότι όπως στο προσκήνιο υπάρχουν δύο έννοιες που εμπεριέχουν και οι δύο τον όρο ασφάλεια, δηλαδή φυσική ασφάλεια και λογική ασφάλεια ή αλλιώς IT security, το ίδιο συμβαίνει και με τον όρο "access control".
Παρότι όμως υπάρχει αυτό το κοινό προσδιοριστικό στον ορισμό τους, μπορούμε να πούμε ότι τουλάχιστον μέχρι σήμερα και ιδιαίτερα στον ελληνικό χώρο δεν είχαν τόσο πολύ μεγάλη σχέση, κυρίως σε ό,τι αφορά στην αντιμετώπιση και κοινή διαχείρισή τους. Αυτό διότι ξεκίνησαν από εντελώς διαφορετικές αφετηρίες. Η φυσική ασφάλεια ή ο φυσικός έλεγχος πρόσβασης ξεκίνησε από την ανάγκη προστασίας χώρων και συνήθως τα τμήματα που ασχολούνταν με αυτά τα θέματα επανδρώνονταν με ανθρώπους που γνώριζαν το συγκεκριμένο αντικείμενο, ενώ είναι προφανές ότι με το IT security ασχολήθηκαν άτομα από το χώρο της πληροφορικής, τα οποία δεν είχαν καμία σχέση με τη φυσική ασφάλεια των χώρων. Αλλά και η υλοποίηση των συστημάτων φυσικής ασφάλειας και των συστημάτων προστασίας των πληροφοριακών συστημάτων (IT security) υλοποιούνταν με εντελώς διαφορετικό τρόπο.

Αρχικές διαφορές
Στην πρώτη κατηγορία λοιπόν, είχαμε τη χρήση των γνωστών συστημάτων access control για τα οποία πολλές φορές έχει ασχοληθεί το Security Manager, περιγράφοντας την εξέλιξή τους, τις τεχνολογίες και τον τρόπο βέλτιστης χρήσης τους. Αυτά τα συστήματα, στον κλασικό τρόπο υλοποίησής τους, αποτελούνται από μια μονάδα ελέγχου (δικτυακή ή συμβατική), τους καρταναγνώστες και, φυσικά, τα μέσα ταυτοποίησης που μπορεί να είναι κάρτες (τύπου proximity ή smart cards) ή σε πιο εξελιγμένα συστήματα κάποιο βιομετρικό χαρακτηριστικό.
Ο κάτοχος του μέσου ταυτοποίησης το επιδεικνύει στη συσκευή ανάγνωσης και τότε ξεκινάει η διαδικασία αναγνώρισης και αποδοχής ή απόρριψης του αιτήματος εισόδου. Μια άλλη διαδικασία εισόδου σε συστήματα ελέγχου φυσικής πρόσβασης είναι με τη χρήση κωδικού, όπου αντί για τον αναγνώστη υπάρχει δίπλα στην ελεγχόμενη θύρα ένα πληκτρολόγιο στο οποίο εισάγει ο χρήστης έναν κωδικό για να μπορέσει να μπει στο χώρο. Αυτές φυσικά είναι μόνο μερικές από τις μεθόδους υλοποίησης ενός συστήματος ελέγχου φυσικής πρόσβασης, καθώς υπάρχουν και προτάσεις στις οποίες γίνεται συνδυασμένη εφαρμογή αυτών των μεθόδων.
Στα πληροφοριακά συστήματα ο έλεγχος πρόσβασης στην κλασική μορφή του γίνεται με τη χρήση δύο στοιχείων ταυτοποίησης, του ονόματος χρήστη (username) και του κωδικού (password). Αυτά τα δύο στοιχεία ταυτοποίησης είναι μοναδικά για κάθε χρήστη, αποδίδονται σε αυτόν από το τμήμα πληροφορικής και μόνο αυτός ή ένας με δικαιώματα διαχειριστή (administrator) μπορεί να επέμβει και να τα αλλάξει. Όμως η αυξανόμενη είσοδος της πληροφορικής στις καθημερινές λειτουργίες των επιχειρήσεων πολλές φορές έκανε αναγκαία και τη χρήση άλλων συστημάτων εκτός των απλών υπολογιστών με τα απλά προγράμματα γραφείου. Μπορεί σε μια εταιρεία να υπάρχει παραδείγματος χάρη ένα υπολογιστικό σύστημα μέτρησης κάποιων χημικών παραμέτρων, το οποίο μπορούν να χρησιμοποιούν μόνο κάποιοι συγκεκριμένοι χρήστες. Το σύστημα αυτό μπορεί να είναι ανεξάρτητο από τους κοινούς υπολογιστές, οπότε για να το χρησιμοποιήσουν οι χρήστες που έχουν το ανάλογο δικαίωμα θα πρέπει να εισάγουν ένα συγκεκριμένο συνδυασμό ονόματος χρήστη και κωδικού. Επίσης για να μπαίνουν στο χώρο που θα υπάρχει το σύστημα οφείλουν να έχουν και την ανάλογη διαβαθμισμένη δυνατότητα πρόσβασης, που όμως αυτή τους δίνεται από το σύστημα ελέγχου πρόσβασης που ανήκει στη φυσική προστασία.

Τα προβλήματα
Αντιλαμβανόμαστε λοιπόν ότι όσο αναπτύσσεται μία επιχείρηση, τόσο αυξάνουν οι φυσικοί χώροι της αλλά και τα διάφορα υπολογιστικά συστήματά της. Με αποτέλεσμα να αυξάνονται και οι ανάγκες διαβαθμισμένης πρόσβασης είτε σε φυσικό επίπεδο είτε σε επίπεδο πληροφοριακών συστημάτων (λογισμικό ή hardware). Με την υφιστάμενη δομή όμως των διάφορων συστημάτων ελέγχου πρόσβασης, όλες αυτές οι διαδικασίες αποκτούν ένα χαρακτήρα έντονης πολυπλοκότητας. Δηλαδή ο κάθε χρήστης ανάλογα με τα δικαιώματα πρόσβασης που έχει σε φυσικούς χώρους και σε υπολογιστικούς πόρους, οφείλει να έχει μαζί του την ανάλογη κάρτα ή μέσο διαπίστευσης, ενώ πολλές φορές θα πρέπει να θυμάται και μια πλειάδα διαφορετικών συνδυασμών ονόματος χρήστη – κωδικού. Οι επιπτώσεις αυτές της πολυπλοκότητας είναι αρκετές. Καταρχήν οι εργαζόμενοι πολλές φορές για να αντισταθμίσουν εν μέρει την πολυπλοκότητα αυτής της κατάστασης και προκειμένου να διευκολυνθούν στη γρηγορότερη εκτέλεση της εργασίας τους, κάνουν ενέργειες που θέτουν σε κίνδυνο την ασφάλεια είτε των φυσικών χώρων είτε των υπολογιστικών πόρων. Αν και ακούγεται τουλάχιστον εξωφρενικό, είναι σύνηθες – παραδείγματος χάρη – το φαινόμενο να υπάρχει ένα χαρτάκι με όνομα χρήστη και κωδικό δίπλα σε ένα υπολογιστικό σύστημα στο οποίο εργάζονται περισσότεροι του ενός χρήστες. Επίσης πολλές φορές δανείζεται το όνομα χρήστη και ο κωδικός χρήστη από ένα χρήστη σε άλλο, προκειμένου να κάνει την εργασία του σε ένα τερματικό.
Όλα αυτά τα προβλήματα αντιμετωπίζονται αποτελεσματικά με τη σύγκλιση των συστημάτων πρόσβασης για τη φυσική ασφάλεια και την προστασία των πληροφοριακών συστημάτων (λογική ασφάλεια). Η τεχνολογική εξέλιξη πλέον, όχι μόνο επιτρέπει αυτή τη διεργασία αλλά ουσιαστικά τη στρέφει προς αυτήν την κατεύθυνση. Φυσικά προκύπτουν ερωτήματα για το πώς μπορεί να επιτευχθεί αυτή η σύγκλιση και ποια τα πλεονεκτήματα που θα ακολουθήσουν αυτήν την εξέλιξη.

Η λύση της ενοποίησης
Θα αναρωτηθεί κάποιος και εύλογα, ποιοι οι λόγοι που αυτή η τάση είναι τόσο έντονη. Η απάντηση είναι απλή και κρύβεται στην επέκταση της ψηφιακής τεχνολογίας και των IP δικτύων στα συστήματα ελέγχου φυσικής πρόσβασης. Όλο και πιο συχνά εγκαθίστανται με μεγάλη επιτυχία δικτυακά συστήματα ελέγχου πρόσβασης. Ουσιαστικά, συνδέονται σε μία πρίζα δομημένης καλωδίωσης του δικτύου, σαν ένας απλός υπολογιστής. Η πρίζα αυτή συνδέεται κατευθείαν με ένα τοπικό κατανεμητή και έτσι το σύστημα ελέγχου πρόσβασης ενσωματώνεται στο πληροφοριακό δίκτυο της επιχείρησης.
Όμως επειδή ενσωματώνεται το σύστημα ελέγχου πρόσβασης σε επίπεδο hardware δεν σημαίνει ότι πετυχαίνουμε και την πολυαναφερόμενη σύγκλιση των δύο συστημάτων. Διότι σύγκλιση σημαίνει ότι θα υπάρχει μια κοινή πλατφόρμα πάνω στην οποία θα λειτουργούν τα δύο συστήματα, με ένα ενιαίο περιβάλλον εργασίας. Οι χρήστες του συστήματος θα μπορούν να αποδίδουν στους εργαζόμενους μια συγκεκριμένη αντιστοίχιση, βάσει της οποίας θα γίνεται η αναγνώρισή τους είτε από τις συσκευές ανάγνωσης για την πρόσβαση στους διάφορους χώρους είτε από τα υπολογιστικά συστήματα.
Είναι φανερό και από τα προηγούμενα, ότι καρδιά του συστήματος θα αποτελεί το πληροφοριακό δίκτυο και ουσιαστικά το σύστημα ελέγχου φυσικής πρόσβασης θα αποτελεί ένα υποσύστημά του. Αυτό διότι τόσο η υποδομή αλλά και η διαχείριση των πληροφοριών θα γίνεται μέσω του πληροφοριακού δικτύου. Μέχρι σήμερα η διαχείριση που μπορούσε να κάνει ένα σύστημα ελέγχου φυσικής πρόσβασης είναι η αντιστοίχιση αν το μέσο ταυτοποίησης που επιδεικνύει κάποιος μπροστά από έναν καρταναγνώστη, του δίνει πρόσβαση σε αυτόν το χώρο. Σε πιο προχωρημένες καταστάσεις και όταν γινόταν χρήση των βιομετρικών συστημάτων αναγνώρισης, μπορούσε το σύστημα ελέγχου φυσικής πρόσβασης να κάνει και έναν "καλύτερο και ακριβέστερο" έλεγχο ταυτοποίησης.
Όμως πλέον θα μπορούν να χρησιμοποιούνται με αυτόματη ανανέωση και όλα τα δεδομένα που τηρούνται στα πληροφοριακά συστήματα της επιχείρησης. Για να γίνουμε πιο σαφείς, αν κάποιος αποχωρούσε από την επιχείρηση, αυτό φαινόταν μεν στο πληροφοριακό σύστημα του τμήματος του Ανθρώπινου Δυναμικού αλλά για να φανεί στο σύστημα ελέγχου πρόσβασης θα έπρεπε να καταχωρηθεί από κάποιον χειριστή. Πλέον οι υπάλληλοι ή οι εξωτερικοί εργολάβοι των οποίων τερματίζεται η συνεργασία τους με την επιχείρηση, δεν θα μπορούν να χρησιμοποιούν ούτε καν για κάποιο μικρό διάστημα την κάρτα τους, καθώς μέσω του ενιαίου συστήματος θα τερματίζεται αμέσως η δυνατότητα χρήσης της ενώ ταυτόχρονα θα τερματίζεται και η δυνατότητα εισόδου στα υπολογιστικά συστήματα της εταιρείας.

Εφαρμογή
Δηλαδή με την ενοποίηση των συστημάτων ελέγχου φυσικής και λογικής πρόσβασης, κάθε νέος εργαζόμενος ή οποιοδήποτε άλλο πρόσωπο έχει σχέση με την επιχείρηση θα λαμβάνει ένα μοναδικό μέσο διαπίστευσης, το οποίο θα το χρησιμοποιεί για την είσοδό του τόσο σε φυσικούς χώρους όσο και στα υπολογιστικά συστήματα. Με την επίδειξη της κάρτας σε κατάλληλους καρταναγνώστες – που είναι σήμερα το πιο συνηθισμένο μέσο ταυτοποίησης – θα μπορεί να ανοίγει θύρες και να συνδέεται στους υπολογιστές. Με αυτόν τον τρόπο θα εκλείψουν και παράδοξα στα οποία ένας χρήστης ενώ βρισκόταν σε ένα χώρο, κάποιος άλλος χρησιμοποιούσε το όνομα χρήστη και κωδικό του προκειμένου να μπει σε έναν υπολογιστή που βρίσκεται σε κάποιο άλλο σημείο του κτιρίου. Αυτό όπως είπαμε δεν γίνεται πάντα με κακόβουλους σκοπούς, ίσως μάλιστα τις περισσότερες φορές γίνονταν καλοπροαίρετα στο πλαίσιο ενός "συναδελφικού" πνεύματος. Δεν παύει όμως να είναι μια συνήθεια επικίνδυνη για την ασφάλεια, που η συχνή επανάληψή της δημιουργεί γόνιμο έδαφος για την παραβίαση των συστημάτων της επιχείρησης.
Με την ενοποίηση των συστημάτων μπορεί αυτό το φαινόμενο να αντιμετωπισθεί σε πολύ αποτελεσματικό βαθμό, καθώς δεν θα είναι δυνατή η πρόσβαση σε ένα σύστημα αν δεν έχει προηγηθεί η είσοδος του χρήστη στο χώρο που βρίσκεται ο συγκεκριμένος υπολογιστής.
Όσον αφορά στα μέσα ταυτοποίησης, πάλι η επιλογή εξαρτάται από τις προδιαγραφές της εφαρμογής αλλά και τις απαιτήσεις των χρηστών. Προαναφέραμε τις κάρτες γιατί απλώς είναι το πιο συνηθισμένο μέσο που χρησιμοποιείται σήμερα. Αλλά μπορεί να είναι κάποιο βιομετρικό χαρακτηριστικό, ο συνδυασμός κωδικού – user name, κάποιο άλλο μέσο ή ακόμα και συνδυασμός όλων αυτών ανάλογα με την κρισιμότητα του επιτηρούμενου χώρου ή τη σημαντικότητα του υπολογιστικού συστήματος που θέλει να χρησιμοποιήσει ο χρήστης.
Δηλαδή μπορεί να υπάρχει μια κάρτα με την οποία ο χρήστης να έχει πρόσβαση σε όλους τους αδιαβάθμητους χώρους και στους διάφορους εταιρικούς υπολογιστές που υπάρχουν εκεί, αλλά μόλις χρειαστεί να μπει σε κάποιο διαβαθμισμένο χώρο ή να χρησιμοποιήσει ένα κρίσιμο υπολογιστικό σύστημα, να του ζητηθεί μια επιπρόσθετη ταυτοποίηση, όπως ένα βιομετρικό χαρακτηριστικό ή η εισαγωγή ενός κωδικού.
Οι δυνατότητες πλέον είναι απεριόριστες και περιορίζονται ουσιαστικά μόνο από τη φαντασία των μελετητών αλλά και το κόστος που θα θελήσει να καταβάλει ο κύριος του έργου. Φυσικά, πάντα θα πρέπει να υπάρχει και η γνώση ότι η χρήση αυτών των δυνατοτήτων θα πρέπει να γίνεται με σύνεση και μέτρο, ώστε ούτε το κόστος να εκτοξεύεται αλλά ούτε και να αυξάνεται υπέρμετρα η πολυπλοκότητα του συστήματος.
Για την υλοποίηση αυτών των συστημάτων είναι απαραίτητη η αγαστή συνεργασία μεταξύ των τμημάτων της πληροφορικής και της φυσικής ασφάλειας. Πριν από λίγα χρόνια καθώς οι άνθρωποι που εργάζονται σε αυτά τα τμήματα προέρχονταν από δύο εντελώς διαφορετικούς χώρους, αυτό ίσως θα έμοιαζε αρκετά δύσκολο. Πλέον όμως τα τελευταία χρόνια η τεχνολογία έχει κάνει την είσοδό της – με έντονο μάλιστα τρόπο και στο χώρο της φυσικής ασφάλειας, με την εμφάνιση των ψηφιακών συστημάτων και των δικτύων IP. Οπότε και οι άνθρωποι του χώρου γνωρίζουν πλέον αρκετά για αυτές τις τεχνολογίες και μπορούν να βρουν ευκολότερα μια μέση οδό συνεννόησης. Μέσω της συνεργασίας που δεν πρέπει φυσικά να περιορίζεται μόνο στο στάδιο της κατασκευής αλλά να συνεχιστεί και στη φάση της λειτουργίας, μπορεί να προκύψει ένα πολύ ικανοποιητικό αποτέλεσμα.

Τα κέρδη
Υλοποιώντας ένα αποτελεσματικό ενιαίο σύστημα ελέγχου πρόσβασης σημαίνει ότι θα εμφανιστούν πολλά οφέλη τόσο για την επιχείρηση αλλά και για τους εργαζόμενους. Μεγαλύτερος βαθμός ασφάλειας τόσο σε φυσικό επίπεδο όσο και σε επίπεδο IT, γρηγορότερη διεκπεραίωση εργασιών, κερδισμένες εργατοώρες, αυξημένη παραγωγικότητα και λιγότερος εκνευρισμός. Αυτό φυσικά δεν σημαίνει ότι όλα είναι πανάκεια και από τη μία στιγμή θα βελτιωθεί σημαντικά η κατάσταση. Ούτε ότι όλες οι επιχειρήσεις χρειάζεται να προστρέξουν αυτήν τη στιγμή να αλλάξουν μονομιάς τα συστήματά τους και να προχωρήσουν στην ενοποίηση. Πριν κάθε παρόμοιο έργο θα πρέπει να γίνεται μια ολοκληρωμένη οικονομοτεχνική μελέτη, να προσδιορίζεται το επιθυμητό αποτέλεσμα και μόνο αφού εξασφαλίζεται η απόσβεση της επένδυσης μέσω των ωφελειών που προαναφέρθηκαν, να ξεκινάει η υλοποίηση του έργου. Όμως θα ήταν χρήσιμο κάθε εργασία που γίνεται είτε σε επίπεδο ασφάλειας πληροφοριακών συστημάτων είτε σε επίπεδο φυσικού ελέγχου, να λαμβάνει και την προοπτική σύγκλισης αυτών των συστημάτων είτε σε κοντινό χρονικό ορίζοντα είτε και πιο μακροπρόθεσμα..

Του ΑΡΙΣΤΟΤΕΛΗ ΛΥΜΠΕΡΟΠΟΥΛΟΥ