Πληροφορική & Φυσική Ασφάλεια: Βίοι παράλληλοι ή αγεφύρωτο χάσμα;

Η ραγδαία ανάπτυξη της τεχνολογίας και ειδικότερα των συστημάτων πληροφορικής,  επιφέρει καθημερινές αλλαγές και στα συστήματα ασφαλείας. Οι αλλαγές και οι αναβαθμίσεις των συσκευών με νέες τεχνολογίες, επιβάλλουν λοιπόν συνεχή παρακολούθηση της αγοράς. Πόσο ώριμες όμως είναι οι συνθήκες για μια ομαλή προσαρμογή στα νέα δεδομένα;

Αρκετά συχνά δέχομαι παράπονα από παλαιότερους εγκαταστάτες, που δυσανασχετούν με την εισβολή των υπολογιστών στη δουλειά μας. Ωστόσο, είναι αδιαμφισβήτητο ότι η ανάπτυξη των υπολογιστών και γενικότερα της πληροφορικής, έδωσε την ώθηση και την ουσιαστική ανάπτυξη στον κλάδο των συστημάτων ασφαλείας.

Ήδη χρησιμοποιούμε σε ευρεία κλίμακα υπολογιστές, δίκτυα, αλγόριθμους συμπίεσης (JPEG, MPEG), που αδιαμφισβήτητα προήλθαν από την ανάπτυξη των υπολογιστών. Πού όμως σταματάει αυτό; Η απάντηση είναι σχεδόν έτοιμη στο στόμα κάθε πληροφορημένου εγκαταστάτη, ότι η πορεία των συστημάτων ασφαλείας και της πληροφορικής είναι παράλληλη. Είναι έτσι άραγε; Ίσως όχι. Μια μεγάλη συζήτηση έχει ξεκινήσει από μεγάλα στελέχη επιχειρήσεων, κυβερνητικών, συμβούλων πληροφορικής και ασφάλειας, για τη σύγκλιση της πληροφορικής με τη φυσική ασφάλεια, που ακόμα όμως βρίσκεται σε θεωρητικό επίπεδο. Ο απώτερος στόχος είναι η δυνατότητα παροχής ασφάλειας σε όλα τα επίπεδα, με μόνο ένα δίκτυο όπου συνδέονται τα πάντα (υπολογιστές, αισθητήρια, δικτυακές κάμερες, access control κ.λπ.).

Ισχυρά κέντρα αποφάσεων, που έχουν τη δύναμη να επηρεάζουν και να οδηγούν την έρευνα και ανάπτυξη, συντονίζουν την πίεση προς την κατεύθυνση της σύγκλισης των τεχνολογιών. Η εποχή της παραδοσιακής εφαρμογής των συστημάτων ασφαλείας φαίνεται ότι παρέρχεται οριστικά, προς μεγάλη θλίψη των επαγγελματιών που δεν έχουν προσαρμοστεί ανάλογα.
Ένας από τους σημαντικότερους λόγους που τα πράγματα τείνουν διεθνώς προς σε αυτή τη κατεύθυνση είναι σίγουρα το κόστος. Ήδη υπάρχει προβληματισμός, μιας και σε ευαίσθητους χώρους, όπως οι χώροι διακίνησης επιβατών (λιμάνια, αεροδρόμια, μετρό, τραίνα), σύνορα, ευαίσθητες κτιριακές εγκαταστάσεις κ.λ.π, έχουν αναπτυχθεί συστήματα ασφαλείας πολύ υψηλής τεχνολογίας με σημαντική όμως αύξηση του κόστους εγκατάστασης, διαχείρισης και συντήρησης.
Σε προηγούμενο άρθρο αναπτύξαμε την υποχρέωση της χώρας μας σύμφωνα με οδηγία της Ε.Ε., για την ανάπτυξη εξαιρετικά υψηλού κόστους συστημάτων στα λιμάνια, τους εμπορευματικούς σταθμούς και τα χωρικά ύδατα, που ούτε οι αρχές ούτε οι εταιρίες μπορούν να αναλάβουν.

Κοινά σημεία ασφάλειας της πληροφορικής και της φυσικής ασφάλειας
Η ασφάλεια της πληροφορικής (ΙΤ) και η φυσική ασφάλεια, έχουν πολλά κοινά σημεία. Σχεδόν σε όλες τις επιχειρήσεις λειτουργούν ταυτόχρονα συστήματα πληροφορικής και συστήματα ασφαλείας, προς το παρόν σε ξεχωριστά δίκτυα ή με τη χρήση παραδοσιακών μεθόδων.
Κυβερνήσεις πιέζουν για την ανάπτυξη τεχνολογιών, που να παρέχουν μεγαλύτερη προστασία, πρόληψη, ανταπόκριση, δυνατότητες άμεσης ειδοποίησης και τη διαχείριση της πληροφορίας, με σκοπό τη βελτίωση της αξιοπιστίας των μηχανισμών εθνικής ασφάλειας. Οι επιχειρήσεις σε όλο τον κόσμο επενδύουν στη βελτίωση της φυσικής ασφάλειας, αλλά και στον παράγοντα ότι η πρόσβαση θα περιορίζεται μόνο στο εξουσιοδοτημένο άτομο.
Η πίεση για την ανάπτυξη της τεχνολογίας, προσανατολίζεται σταθερά προς τη δικτυακή διασύνδεση, που είναι σαφώς χαμηλότερου κόστους και θεωρητικά, εύκολα διαχειρίσιμη. Σχεδόν όλες οι νέες εφαρμογές της φυσικής ασφάλειας χρησιμοποιούν δίκτυα και λογισμικά σε εφαρμογές, όπως το Κλειστό Κύκλωμα Τηλεόρασης, το Access Control, ακόμα και τα Συστήματα Συναγερμού. Σχεδόν όλα τα λογισμικά και τα πρωτόκολλα επικοινωνίας που χρησιμοποιούνται, είναι κατασκευασμένα από εταιρίες που δραστηριοποιούνται στο χώρο της Πληροφορικής. Επίσης παρατηρούμε ότι σταδιακά η παραδοσιακή τεχνολογία της φυσικής ασφάλειας αναπτύσσεται δικτυακά, με όρους και τεχνικές που επιβάλλει η Πληροφορική.
Η τεχνολογία του identity management επιτρέπει στις εταιρίες να έχουν εποπτεία των κινήσεων των υπαλλήλων, εφόσον σε κάθε συναλλαγή στα προγράμματα διαχείρισης, αποτυπώνεται η ταυτότητα του χρήστη.
Όμως και η φυσική ασφάλεια έχει την ανάγκη πρόσβασης του εξουσιοδοτημένου προσωπικού. Για παράδειγμα, τα συστήματα ελέγχου διέλευσης (access control) που είναι μέρος της φυσικής ασφάλειας, όπως και άλλα συστήματα, διαχειρίζονται τα προνόμια προσβασιμότητας των ατόμων στους χώρους και πόρους των επιχειρήσεων που προστατεύουν. Η ασφάλεια της πληροφορικής διαχειρίζεται τις ταυτότητες (κωδικούς) και τα δικαιώματα που έχουν οι χρήστες στα προγράμματα, που ουσιαστικά ελέγχουν τους πόρους μιας επιχείρησης. Και οι δύο τεχνολογίες σχεδιάστηκαν για να διαχειρίζονται την πρόσβαση και τα δικαιώματα στους πόρους. Η μία τεχνολογία διαχειρίζεται τα φυσικά προνόμια και η άλλη την πληροφορία (data). Η δυσδιάκριτη διαφορά όμως, διαφεύγει από τα μυαλά των στρατηγικών συμβούλων των μεγάλων εταιριών, για προφανείς λόγους. Οι δύο τεχνολογίες λειτουργούν ανεξάρτητα, με ξεχωριστό κόστος εξοπλισμού, συντήρησης και προσωπικού, ενώ η μείωση του κόστους εάν επιτευχθεί η σύγκλιση, θα είναι μεγάλη, εφόσον οι δύο τεχνολογίες θα χρησιμοποιούν τους ίδιους πόρους. Είναι προφανές λοιπόν, ότι σταδιακά κάποιοι εργαζόμενοι δεν θα είναι πλέον χρήσιμοι.
Η σύγκλιση όμως των δύο τεχνολογιών είναι πολύπλοκη και παρουσιάζει προς το παρόν κάποια προβλήματα.

Η τεχνική του γενικού κωδικού
Η σύγκλιση της πληροφορικής και της φυσικής ασφάλειας, επικεντρώνεται στη χρήση ενός και μόνο δικτύου και ενός κωδικού για κάθε χρήστη. Κάθε κωδικός που παράγεται για τη φυσική ασφάλεια (Access Control, CCTV, Συστήματα Συναγερμού) θα μπορούσε να χρησιμοποιηθεί και σε όλες τις εφαρμογές της πληροφορικής. Η πρόταση είναι απλή προς το παρόν. Για κάθε νέο υπάλληλο που θα εισάγεται στο server από το τμήμα διαχείρισης ανθρωπίνων πόρων, θα του παρέχεται ένας κωδικός. Ο κωδικός, ανάλογα με την ιδιότητα του εργαζόμενου, θα του παρέχει δικαιώματα και πρόσβαση ανάλογα με την εργασία, τα καθήκοντα και τη διαβάθμιση της θέσης του. Αυτό προϋποθέτει ότι ο σχεδιασμός της ασφάλειας θα προβλέπει την τυποποίηση των δικαιωμάτων πρόσβασης, σε κάθε επίπεδο εργασίας, ταυτόχρονα, σε λογισμικά και εφαρμογές της πληροφορικής και της φυσικής ασφάλειας. Οι προτεινόμενες τεχνικές προβλέπουν κάρτες proximity ή smart cards (που όμως, στις πιλοτικές εφαρμογές απέτυχαν). Οι αναλύσεις των ειδικών αναφέρουν ότι τεράστια οικονομία θα επιτευχθεί από τους λανθασμένους κωδικούς. Στις βάσεις δεδομένων πολύ μεγάλων επιχειρήσεων, καθημερινά εμφανίζεται μεγάλος όγκος δεδομένων από αποτυχημένες προσπάθειες πρόσβασης (λάθος κωδικοί) σε προγράμματα, καταλαμβάνοντας όγκο δεδομένων και χαμένες εργατοώρες από προσωπικό και τεχνικούς.

Προβληματισμοί απέναντι στη σύγκλιση  
Είναι αποδεκτό από τους ιθύνοντες ότι προς το παρόν πρέπει να αναπτυχθεί ακόμα περισσότερο η τεχνολογία, για να φτάσουμε στο σημείο να λειτουργούν φυσική ασφάλεια και πληροφορική σε ένα δίκτυο. Για παράδειγμα, ένα αεροδρόμιο με εκατοντάδες δικτυακές κάμερες ή εκατοντάδες ψηφιακούς καταγραφείς (DVR’s), θα χρειαζόταν τεράστιο bandwith (που αποτελεί το μεγαλύτερο πρόβλημα) για να μεταφέρει στο δίκτυο τόσο μεγάλο όγκο πληροφορίας.
Αλλά και οι δικτυακές συσκευές πρέπει να σχεδιαστούν με μεγαλύτερες δυνατότητες ελέγχου και μετάδοσης της κατάστασής τους. Σε περίπτωση βλάβης, είναι πιθανό να μη γίνονται αμέσως αντιληπτές, εάν δεν είναι σε θέση να μεταδώσουν άμεσα το πρόβλημα, που χρειάζεται περαιτέρω ενέργειες. Αλλά και τα δίκτυα πρέπει να αποκτήσουν δυνατότητες αυτο-ίασης, έτσι ώστε να μην έχουν πάντα την ανάγκη της ανθρώπινης επέμβασης. Οι κατασκευάστριες εταιρίες συστημάτων φυσικής ασφάλειας, πρέπει να σχεδιάζουν τα συστήματά τους με προσανατολισμό τις δικτυακές εφαρμογές. Οι περισσότερες συσκευές ασφάλειας δεν είναι σε ικανοποιητικό βαθμό φιλικές προς τα δίκτυα. Υπάρχουν πολλές ασυμβατότητες ανάμεσα στις δύο τεχνολογίες. Η χρήση ενός κωδικού, προς το παρόν δεν μπορεί να εφαρμοστεί στις υφιστάμενες εγκαταστάσεις.
Ο ανθρώπινος παράγοντας και οι παγιωμένες αντιλήψεις, είναι εχθρός της σύγκλισης. Το προσωπικό των εταιριών της φυσικής ασφάλειας πρέπει να αναπτύξει ικανότητες στις δικτυακές εφαρμογές και να συνηθίσει ότι και το τμήμα πληροφορικής θα έχει επέμβαση στο σχεδιασμό και στην εγκατάσταση. Ας μην ξεχνάμε, ότι μέχρι στιγμής φυσική ασφάλεια και πληροφορική, είναι δύο διαφορετικοί κόσμοι με διαφορετική ηγεσία, προσωπικό και προϋπολογισμούς. 
Το προσωπικό των τμημάτων πληροφορικής είναι δεσποτικό όσον αφορά τα δίκτυα και τους servers. Το ίδιο όμως είναι και το προσωπικό της ασφάλειας, που αισθάνεται ότι έχει κερδίσει το δικαίωμα να γνωρίζει την καλύτερη λύση για τη φυσική ασφάλεια των χώρων. Είναι αποδεκτό, ότι το προσωπικό της φυσικής ασφάλειας δεν έχει  ιδιαίτερες ικανότητες με τους υπολογιστές και την τεχνολογία δικτύων, με αποτέλεσμα την ελλιπή συνεργασία και τη διόγκωση των προβλημάτων. Το αποτέλεσμα αυτών των αντιλήψεων θα δημιουργεί καχυποψία και θα είναι από τα μεγαλύτερα προβλήματα για τα προγράμματα σύγκλισης.

Η κατάσταση στη χώρα μας
Εδώ τίθεται και το μεγάλο ερώτημα. Όλο αυτό το σχέδιο που ονομάζεται σύγκλιση των τεχνολογιών, θα μπορέσει να λειτουργήσει στη χώρα μας; Οι εξελίξεις σε άλλες χώρες βρίσκονται σε επίπεδο έρευνας. Στη χώρα μας, θα περάσει αρκετός καιρός για να αρχίσουμε να εφαρμόζουμε παρόμοια συστήματα. Ίσως έχουμε μια χρυσή ευκαιρία και το χρόνο για να προετοιμαστούμε κατάλληλα.
Σίγουρα, ένα από τα μεγαλύτερα προβλήματα είναι το απαγορευτικό κόστος των δικτύων. Ας μη μιλήσουμε για τις περίφημες ευρυζωνικές συνδέσεις. Η προσωπική μου άποψη είναι ότι δύσκολα οι εταιρίες φυσικής ασφάλειας που δραστηριοποιούνται στη χώρα μας, θα μπορέσουν να ακολουθήσουν την πορεία των εξελίξεων, τουλάχιστον οι μικρότερες. Πολύ πιο οργανωμένες είναι οι εταιρίες Πληροφορικής, που παρέχουν σεμινάρια και εκπαίδευση στο ήδη ειδικευμένο προσωπικό τους. Εάν η τεχνολογία αλλάζει, ίσως έχουμε μια ευκαιρία. Το κλειδί είναι η εκπαίδευση. Πριν από χρόνια, σε άρθρο μου σε γνωστή εφημερίδα, ζήτησα μια κοινή προσπάθεια των εταιριών του χώρου, για την εκπαίδευση του προσωπικού. Δυστυχώς, εισέπραξα μέχρι και ύβρεις από τους θερμοκέφαλους που διοικούσαν το χώρο. Το σχόλιο δεν περιέχει την παραμικρή μομφή προς τους εργαζόμενους, που αναγκάζονται να μελετούν καθημερινά και να ενημερώνονται για τις εξελίξεις. Η μομφή έχει στόχο τους διοικούντες. Αλήθεια, ποια σχολή στην Ελλάδα παρέχει ουσιαστική κατάρτιση σε θέματα φυσικής ασφάλειας; Και αν δεν υπάρχει, κύριοι, κάτι πρέπει να γίνει. Θα είμαστε απλά παρατηρητές στις μελλοντικές εξελίξεις, που θα είναι ραγδαίες;