Access Control: Έξυπνες τεχνικές εγκατάστασης για μέγιστη απόδοση

H εγκατάσταση ενός συστήματος ελέγχου πρόσβασης προϋποθέτει μια σειρά από τεχνικές και πρακτικές, προκειμένου να αποδίδει όσο το δυνατόν καλύτερα και να είναι αποτελεσματικό και λειτουργικό στη χρήση του. Η τρωτότητα των συστημάτων φυσικού ελέγχου πρόσβασης – που σχετίζονται δηλαδή με τον έλεγχο πρόσβασης ατόμων σε φυλασσόμενους χώρους – αποτελεί πάντα ένα πεδίο συζήτησης και προβληματισμού. Τις περισσότερες φορές, όμως, τα βέλη κριτικής που εκτοξεύονται ενάντια σε κάποια συστήματα ελέγχου πρόσβασης οφείλονται κυρίως στην έλλειψη εξοικείωσης με τις υφιστάμενες τεχνολογίες.

Πολλοί είναι αυτοί οι οποίοι άδικα ταυτίζουν την προσπάθεια που γίνεται από τις εταιρείες για μεγαλύτερη ευκολία στο χειρισμό των συστημάτων, με τη δημιουργία μαύρων τρυπών στην ασφάλεια, δημιουργώντας μερικές φορές έλλειμμα εμπιστοσύνης απέναντι στα σύγχρονα συστήματα ελέγχου.

Εντούτοις, αυτή η αμφισβήτηση έχει και τις θετικές πλευρές της, όπως την έντονη συνειδητοποίηση της ανάγκης για τη δημιουργία ενός συνόλου κανόνων «Καλύτερων Πρακτικών», ώστε να βελτιστοποιηθεί η αποτελεσματικότητα των συστημάτων. Αυτός είναι και ο ρόλος του παρόντος άρθρου, το οποίο εστιάζει σε ορισμένες πρακτικές συμβουλές, που είναι απαραίτητο να ακολουθηθούν κατά την επιλογή και εγκατάσταση των συσκευών ελέγχου πρόσβασης. Οι οδηγίες αυτές αφορούν όλους όσους ασχολούνται με παρόμοια έργα, όπως σύμβουλους ασφάλειας, αρχιτέκτονες, μηχανικούς, εγκαταστάτες, αλλά και τους τελικούς χρήστες.
Ο πλέον βασικός κανόνας που θα πρέπει να ακολουθείται κατά την εγκατάσταση ενός συστήματος "Access Control" είναι η δυνατότητα ελέγχου σε διαφορετικά επίπεδα. Οπότε, αν για κάποιο λόγο αστοχήσει ο έλεγχος σε ένα επίπεδο, τότε να υπάρχει η δυνατότητα διόρθωσης αυτής της αστοχίας. Δηλαδή, θα πρέπει να υπάρχουν οι κατάλληλες δικλείδες ασφαλείας, που θα εξασφαλίζουν το συνεχή έλεγχο όσων επισκέπτονται μία εγκατάσταση, ανεξαρτήτως αν για κάποιο λόγο κατάφεραν να περάσουν από το αρχικό σημείο χωρίς έλεγχο. Όπως, για παράδειγμα, στην εγκατάσταση συναγερμού μιας απλής οικιακής εγκατάστασης θα πρέπει να γίνεται συνδυασμένη χρήση ανιχνευτών θραύσης και κίνησης, ώστε σε περίπτωση που ο διαρρήκτης δεν σπάσει ένα παράθυρο για να μπει μέσα, αλλά χρησιμοποιήσει διαφορετικό τρόπο, τότε να μπορεί να εντοπιστεί και πάλι από το σύστημα.

Η επιλογή της σωστής συσκευής
Πλέον, στην αγορά διατίθεται μια ευρεία ποικιλία συσκευών ανάγνωσης καρτών πρόσβασης, από μια πληθώρα κατασκευαστών. Είναι σημαντικό λοιπόν να διασφαλίσουμε ότι θα γίνει η σωστή επιλογή, που θα ταιριάζει με το επιθυμητό επίπεδο ασφάλειας. Βασικό κριτήριο για την επιλογή αποτελεί η τεχνολογία που θα χρησιμοποιηθεί. Οι κάρτες τύπου Proximity αποτελούν μια αξιόπιστη πρόταση, ειδικά σε εγκαταστάσεις όπου ήδη υπάρχουν συστήματα με τη συγκεκριμένη τεχνολογία. Οι έξυπνες κάρτες αποτελούν μια νέα πρόταση και προσφέρουν μεγαλύτερο βαθμό ασφάλειας, αλλά και δυνατότητα συνύπαρξης και άλλων εφαρμογών, καθώς και
μεγαλύτερη μνήμη. Εδώ το σημείο που χρήζει μεγάλης προσοχής είναι ότι ορισμένοι κατασκευαστές, στην προσπάθειά τους να δημιουργήσουν μια συσκευή ανάγνωσης που θα μπορεί να διαβάζει όλες τις κάρτες, θέτουν εκτός λειτουργίας όλους τους μηχανισμούς ασφαλείας. Αυτοί οι αναγνώστες, που αναφέρονται ως CSN, διαβάζουν μόνο το σειριακό αριθμό της κάρτας, που σύμφωνα με τα ISO πρότυπα δεν πρέπει να προστατεύεται από κανένα μηχανισμό ασφαλείας, καθώς είναι απαραίτητος από τον αναγνώστη ώστε να μπορεί να ανιχνεύσει πότε περισσότερες από μία κάρτες εκτίθενται στον αναγνώστη στην ίδια χρονική στιγμή. Αυτή η διαδικασία, γνωστή με τον όρο anticollision, πραγματοποιείται πριν την ταυτοποίηση της κάρτας και του αναγνώστη, όσον αφορά τον κάτοχο της κάρτας. Το πρόβλημα είναι ότι σε καμία περίπτωση η διαδικασία αυτή δεν υποκαθιστά τους μηχανισμούς ασφαλείας, επειδή αποτελεί μέρος των ISO προδιαγραφών, που είναι δημόσια έγγραφα. Ως εκ τούτου, μπορεί κάποιος να χρησιμοποιήσει τα στοιχεία για το πώς υλοποιείται η συγκεκριμένη διαδικασία και να δημιουργήσει μία συσκευή που να αντιγράφει το σειριακό αριθμό της κάρτας. Αν θέλουμε λοιπόν να ταξινομήσουμε τις κάρτες μη επαφής, με κριτήριο την ασφάλεια που προσφέρουν, τότε θα πρέπει να κατατάξουμε στο χαμηλότερο επίπεδο τις κάρτες CSN, στη συνέχεια τις κάρτες Proximity και στο υψηλότερο επίπεδο ασφάλειας τις έξυπνες κάρτες τελευταίας γενιάς. Αυτή η κατάταξη αποτελεί βασική παράμετρο, την οποία οφείλουν να προσέξουν τόσο οι χρήστες όσο και οι μελετητές που προτείνουν συστήματα, προκειμένου να επιλέξουν την κάρτα που ταιριάζει στο επιθυμητό επίπεδο ασφάλειας.

Πρωτόκολλο επικοινωνίας
Η τυπική λειτουργία ενός αναγνώστη είναι να διαβάζει μία κάρτα και να στέλνει τα δεδομένα σε μία κεντρική συσκευή ελέγχου, η οποία και καθορίζει αν ο κάτοχος της κάρτας έχει δικαίωμα πρόσβασης στο συγκεκριμένο χώρο. Συνήθως, αυτή η συσκευή είναι ένας κεντρικός υπολογιστής, στον οποίο τρέχει και το λογισμικό διαχείρισης του συστήματος ελέγχου πρόσβασης. Όταν η επικοινωνία αυτή γίνεται μέσω καλωδίων, τότε υπάρχουν ποικίλες προτάσεις για το επιλεγόμενο πρωτόκολλο επικοινωνίας. Το πλέον διαδεδομένο – και αυτό που χρησιμοποιείται σήμερα κατά κόρον από τη βιομηχανία συστημάτων ασφαλείας, είναι το Wiegand. O λόγος για τη μεγάλη διάδοση του πρωτοκόλλου Wiegand είναι η συμβατότητα με τη συντριπτική πλειοψηφία των συσκευών, ανεξαρτήτως του κατασκευαστή τους. Αν και υπάρχουν πιο σύγχρονα πρωτόκολλα, όπως το RS485, το F/2F ή το TCP/IP, τα οποία προσφέρουν περισσότερη ασφάλεια στην επικοινωνία, ωστόσο μειονεκτούν στο θέμα της συνεργασίας και της συμβατότητας. Υπάρχουν φυσικά τεχνικές που παρατίθενται στη συνέχεια, οι οποίες αυξάνουν σημαντικά το βαθμό ασφάλειας, ανεξαρτήτως του πρωτοκόλλου που θα χρησιμοποιηθεί.
Καταρχήν, η προστασία των καλωδίων που θα χρησιμοποιηθούν, αποτελεί βασικό στοιχείο για τη διασφάλιση της υποδομής από προσπάθειες παραβίασης. Καλώδια εκτεθειμένα ή καλώδια των οποίων η όδευση είναι εύκολα αντιληπτή από τον οποιοδήποτε, αποτελούν προφανή στόχο για όσους θελήσουν να παραβιάσουν το σύστημα. Η χρήση των ειδικών σωλήνων προστασίας – ειδικά σε κρίσιμα σημεία – είναι απαραίτητη, ενώ όταν τα καλώδια είναι τοποθετημένα μέσα σε ψευδοροφές, θα πρέπει να χρησιμοποιούνται σχάρες καλωδίων στις οποίες να διευθετούνται με τάξη όσα καλώδια χρησιμοποιούνται. ¶λλη μία βασική παράμετρος την οποία οφείλουν να λάβουν υπόψη οι εγκαταστάτες, είναι η απόσταση που πρέπει να τηρείται μεταξύ των καλωδίων του συστήματος ελέγχου πρόσβασης και των ηλεκτρικών καλωδίων, ώστε να αποφεύγονται ηλεκτρομαγνητικές παρεμβολές, που είναι πιθανό να δημιουργήσουν προβλήματα στη λειτουργία του συστήματος. Μεγαλύτερο βαθμό προστασίας απαιτούν οι αναγνώστες που τοποθετούνται σε εξωτερικούς χώρους και η καλωδίωσή τους, καθώς, όπως είναι φυσικό, είναι εκτεθειμένοι σε περισσότερους κινδύνους. Στα σημεία αυτά θα πρέπει να τοποθετηθούν αναγνώστες με ειδική κατασκευή που να καλύπτει όλα τα εκτεθειμένα σημεία τους, ώστε να είναι δύσκολη η προσπάθεια παραβίασής τους. Επίσης, σε όλους τους εξωτερικούς χώρους καθώς και σε όλα τα προσβάσιμα σημεία θα πρέπει να αποφεύγεται η σύνδεση των καλωδίων με προσωρινά υλικά σύνδεσης, όπως είναι η χρήση εκτεθειμένων caps, αλλά η σύνδεση θα πρέπει να γίνεται μέσα σε κατάλληλα ηλεκτρολογικά κουτιά τα οποία προστατεύονται από κάποιου είδους κατασκευή, ώστε να μη μπορούν να εντοπιστούν εύκολα. Γενικά, όλη η συνδεσμολογία οφείλει να έχει αυστηρές προδιαγραφές και να μην ακολουθούνται για λόγους ευκολίας προσωρινές λύσεις, που μπορούν εύκολα να παρακαμφθούν ή ακόμα και να αστοχήσουν λόγω φθοράς και έκθεσης σε δυσμενείς καιρικές συνθήκες.
Για τη στερέωση των συσκευών ανάγνωσης είναι επιθυμητό να επιλέγονται βίδες ασφαλείας, που απαιτούν πρόσθετα εργαλεία για την απομάκρυνσή τους. Χωρίς την κατοχή των ανάλογων εργαλείων είναι σχεδόν αδύνατη η αποξήλωση της συσκευής, χωρίς να προκληθεί ζημιά στην εξωτερική επιφάνεια των βιδών. Οπότε, ακόμα και σε έναν εξωτερικό έλεγχο μπορεί να διαπιστωθεί αν έχει γίνει προσπάθεια απομάκρυνσης της συσκευής και στη συνέχεια να ληφθούν τα κατάλληλα μέτρα προστασίας της συσκευής.

Anti-PassBack
Ενδιαφέρον παρουσιάζει ο όρος Anti-PassBack, ο οποίος χρησιμοποιείται για να περιγράψει μια διαδικασία που ήδη χρησιμοποιείται ευρύτατα, ειδικά σε μεγάλες εγκαταστάσεις. Ουσιαστικά, αναφέρεται στον προγραμματισμό του συστήματος, ώστε να μην επιτρέπει την είσοδο σε ένα χώρο, σε έναν κάτοχο κάρτας που βρίσκεται ήδη μέσα. Δηλαδή, εάν μπει κάποιος σε ένα δωμάτιο, θα πρέπει το σύστημα να δει ότι έχει βγει έξω από το συγκεκριμένο δωμάτιο, προκειμένου να του επιτρέψει πάλι την είσοδο. Το μειονέκτημα αυτής της μεθόδου είναι ότι απαιτεί τη χρήση δύο συσκευών ανάγνωσης, τοποθετημένων και στις δύο πλευρές της θύρας. Αλλά, σίγουρα προσφέρει πολύ μεγαλύτερο έλεγχο των κινήσεων και δυσκολεύει σημαντικά όσους προσπαθούν να κινηθούν ανεξέλεγκτα σε μια εγκατάσταση, έχοντας απλώς στην κατοχή τους μια κάρτα πρόσβασης. Επίσης δυσκολεύει όσους προσπαθούν να μπουν σε ένα χώρο, ακολουθώντας απλώς τον κάτοχο μιας κάρτας που ανοίγει κανονικά την πόρτα, διότι μετά θα έχουν πρόβλημα στην έξοδό τους – και άρα θα εντοπιστούν.

Ανίχνευση, η δεύτερη γραμμή άμυνας
Η έγκαιρη ανίχνευση πιθανών προβλημάτων αποτελεί βασική προϋπόθεση για τη σωστή λειτουργία του συστήματος. Για να επιτευχθεί αυτό, θα πρέπει οι συσκευές που θα επιλεγούν να έχουν τις ανάλογες δυνατότητες. Η κυριότερη από αυτές είναι η λειτουργία anti-tampering, που να ειδοποιεί τους χρήστες του συστήματος όταν κάποιος προσπαθεί να παρακάμψει τον αναγνώστη, αποξηλώνοντάς τον από τον τοίχο. ¶λλο ένα βασικό μέτρο προφύλαξης είναι η δυνατότητα ειδοποίησης των χειριστών, όταν κάποιος προσπαθεί να κόψει τα καλώδια σύνδεσης ή προσπαθεί να αλλοιώσει τα χαρακτηριστικά τους, που σημαίνει ηλεκτρομαγνητικές παρεμβολές. Η συνεχής επιτήρηση των συσκευών ανάγνωσης όσον αφορά τη σωστή λειτουργία τους, δεν είναι μόνο θέμα ασφάλειας, αλλά έχει να κάνει και με την έγκαιρη διάγνωση βλαβών που ίσως δημιουργήσουν πρόβλημα στην ομαλή λειτουργία του οργανισμού. Αν αναλογιστούμε μάλιστα ότι οι βλάβες, ακολουθώντας τους νόμους του Μέρφυ, έχουν την ιδιότητα να εμφανίζονται τις πλέον ακατάλληλες ώρες, τότε θα συνειδητοποιήσουμε ακόμα καλύτερα την ανάγκη της συνεχούς επιτήρησης. Για το λόγο αυτό, αρκετές εταιρείες κατασκευής συστημάτων ελέγχου πρόσβασης ενσωματώνουν στις περιφερειακές συσκευές τους τη δυνατότητα αποστολής περιοδικών μηνυμάτων ότι λειτουργούν καλώς. Αν τώρα διαπιστώσετε ότι κάποια συσκευή στέλνει με διαφορετική συχνότητα παρόμοια μηνύματα, τότε θα πρέπει να υπάρχει άμεσος έλεγχος προκειμένου να διαπιστωθεί ο λόγος. Επίσης, κάθε ένδειξη συναγερμού θα πρέπει να εξετάζεται, ασχέτως αν είναι στιγμιαία και στη συνέχεια το σύστημα επανέρχεται στην ομαλή κατάσταση.
Μια άλλη εξέλιξη που ενισχύει την ασφάλεια του συστήματος, είναι η σύγκλιση του συστήματος ελέγχου φυσικής πρόσβασης με εκείνο της ηλεκτρονικής πρόσβασης. Αν το σύστημα είναι ενιαίο και διαπιστωθεί ότι ένας χρήστης είναι μέσα σε ένα συγκεκριμένο χώρο, αλλά προσπαθεί να αποκτήσει πρόσβαση στο εταιρικό δίκτυο μέσω ενός υπολογιστή που βρίσκεται σε διαφορετικό χώρο, τότε αυτό αποτελεί ένδειξης μιας ύποπτης δραστηριότητας και είναι απαραίτητο να γίνει η ανάλογη διερεύνηση.

Πρόσθετες δικλείδες ασφάλειας
Η χρήση συσκευών καρτών ανάγνωσης με ενσωματωμένα πληκτρολόγια για την εισαγωγή κωδικού, σημαίνει ότι δεν μπορεί κάποιος να βρει τυχαία μια χαμένη κάρτα και να τη χρησιμοποιήσει. Επίσης εξαλείφει και τον κίνδυνο αντιγραφής καρτών. Απλώς θα πρέπει να διασφαλιστεί ότι και οι κωδικοί που χρησιμοποιούνται, θα αλλάζουν ανά περιοδικά διαστήματα. Ακόμα μεγαλύτερη ασφάλεια προσφέρει η χρήση των βιομετρικών συσκευών ανάγνωσης, που διασφαλίζουν ότι ο άνθρωπος ο οποίος χρησιμοποιεί την κάρτα είναι ο πραγματικός της κάτοχος. Επειδή όμως αυτές οι λύσεις είναι και ακριβότερες, είναι φυσικό να χρησιμοποιούνται μόνο σε εφαρμογές υψηλής ασφάλειας.
Η διανομή των καρτών πρόσβασης αποτελεί άλλο ένα βασικό σημείο, στο οποίο πολλοί βρίσκουν τρωτά σημεία. Ιδιαίτερα πρέπει να προσεχτεί το στάδιο αντικατάστασης μιας χαμένης ή φθαρμένης κάρτας. Είναι απαραίτητο να εξασφαλίζεται ότι η προηγούμενη κάρτα ακυρώνεται και δεν μπορεί να χρησιμοποιηθεί. Πολλά προγράμματα διαχείρισης ειδοποιούν με ειδική ένδειξη όταν γίνεται προσπάθεια χρήσης μιας ακυρωμένης κάρτας, οπότε και οι χειριστές του συστήματος μπορούν να επικεντρωθούν περισσότερο σε παρόμοια περιστατικά, που ίσως εγκυμονούν κινδύνους για την ασφάλεια της εγκατάστασης. ¶λλη μία λύση η οποία χρησιμοποιείται ειδικά από μεγάλους Οργανισμούς που χρησιμοποιούν μεγάλες ποσότητες καρτών, είναι η παραγγελία ειδικών καρτών με αποκλειστικό format, που να το χρησιμοποιούν μόνο αυτοί. Με αυτόν τον τρόπο εκμηδενίζεται η πιθανότητα κάποιος να αγοράσει κενές κάρτες από το εμπόριο και να προσπαθήσει να κλωνοποιήσει κάποια από τις κάρτες του Οργανισμού που βασίζονται στο ανοιχτό πρότυπο Wiegand, γιατί απλούστατα δεν θα γίνονται αποδεκτές από το σύστημα. Φυσικά, υπάρχουν και άλλες τεχνικές που προσφέρουν επιπρόσθετη ασφάλεια, όπως η χρήση ολογραμμάτων στις κάρτες πρόσβασης και η συνδυασμένη χρήση της RFID τεχνολογίας με βιομετρικές συσκευές.
Όσο η τεχνολογία εξελίσσεται, τόσο περισσότερα μέσα θα έχουμε στη διάθεσή μας για βελτίωση του επιπέδου ασφαλείας. Το πρόβλημα είναι βέβαια, ότι παράλληλα θα βελτιώνονται και τα εργαλεία παραβίασης των μέτρων ασφαλείας. Οπότε, σε καμία περίπτωση δεν επαρκεί ο εφησυχασμός, καθώς είναι απαραίτητη η συνεχής ενημέρωση πάνω στις τεχνολογικές εξελίξεις και η αναπροσαρμογή των χρησιμοποιούμενων συστημάτων, βάσει αυτών των εξελίξεων.

To άρθρο βασίστηκε σε "Technology Basics White Paper" της HID με τίτλο «Access Control Basics Industry Best Practices»

Του ΑΡΙΣΤΟΤΕΛΗ ΛΥΜΠΕΡΟΠΟΥΛΟΥ