Αντιμετωπίζοντας τις κυβερνοαπειλές στα συστήματα ελέγχου πρόσβασης

Μια από τις σημαντικότερες προκλήσεις, που βρίσκεται στις κορυφαίες θέσεις των συζητήσεων για τις τεχνολογίες και τα συστήματα φυσικής ασφάλειας σε παγκόσμια κλίμακα, είναι αναμφίβολα η προστασία των συστημάτων αυτών από κυβερνοεπιθέσεις. Σε αυτές τις συζητήσεις εστιάζουμε συνήθως στον τομέα της βιντεοεπιτήρησης. Όμως και τα συστήματα ελέγχου πρόσβασης μπορεί να είναι ευάλωτα σε απειλές του κυβερνοχώρου και για αυτό χρειάζεται μια αποτελεσματική διαχείριση των κινδύνων που ελλοχεύουν.  

Του Χρήστου Κοτσακά

Τα μέτρα ασφαλείας σήμερα δεν πρέπει σε καμία περίπτωση να περιορίζονται στα φυσικά όρια των συστημάτων, αλλά να επιτείνονται και στον ψηφιακό κόσμο. Αυτή η προσέγγιση, φυσικά αφορά και τα συστήματα φυσικού ελέγχου πρόσβασης εισόδων. Άλλωστε στην εποχή του ψηφιακού μετασχηματισμού, η ενοποίηση της κυβερνοασφάλειας και της φυσικής ασφάλειας, αποτελεί το «κλειδί» για να έχει κάθε επιχείρηση μια ολοκληρωμένη προστασία.

Στο πλαίσιο του εκσυγχρονισμού των υποδομών τους, οι οργανισμοί οφείλουν να προχωρούν σε ανανέωση και των συστημάτων ελέγχου πρόσβασης που χρησιμοποιούν. Σε πολλές εγκαταστάσεις, είναι αλήθεια ότι συναντάμε συστήματα ελέγχου πρόσβασης που μπορεί να είναι τοποθετημένα πάνω από 15 χρόνια. Τα συστήματα αυτά παλαιού τύπου μπορούν να παρέχουν τις βασικές λειτουργίες για τη διαχείριση του ελέγχου πρόσβασης όμως σίγουρα υστερούν σε εφαρμογές ενοποίησης και επεκτασιμότητας που παρέχουν οι νέες προτάσεις της αγοράς με δικτυακές δυνατότητες. Επιπρόσθετα, γνωρίζουμε ότι τα συστήματα που αναπτύσσονται με δικτυακή προσέγγιση, μπορούν να αποτελέσουν στόχο κυβερνοεπιθέσεων.

Με την υιοθέτηση προηγμένων λύσεων ελέγχου πρόσβασης, οι οργανισμοί μπορούν να ενισχύσουν σημαντικά και την ανθεκτικότητά τους απέναντι στις διάφορες κυβερνοαπειλές. Λύσεις που χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο και προηγμένο έλεγχο ταυτότητας, μεταξύ άλλων λειτουργιών, είναι εφικτό να προσφέρουν ένα καλό επίπεδο προστασίας από κυβερνοεπιθέσεις και κακόβουλο λογισμικό. Τα οφέλη από την ενσωμάτωση αυτών των σύγχρονων προσεγγίσεων ξεπερνούν τις στοιχειώδεις λειτουργίες μιας λύσης που επικεντρώνει στο κλείδωμα και το ξεκλείδωμα των θυρών.

Σήμερα, ζούμε σε μια εποχή που οι ευπάθειες απέναντι στις κυβερνοαπειλές δεν περιορίζονται μόνο σε υπολογιστές και servers. Οποιαδήποτε συσκευή είναι συνδεδεμένη στο Διαδίκτυο ή στο τοπικό δίκτυο, θα μπορούσε να βρεθεί στο στόχαστρο και να γίνει αντικείμενο κακόβουλης χρήσης, προκαλώντας σημαντικές παραβιάσεις. Ο κίνδυνος είναι ιδιαίτερα έντονος, με παλαιού τύπου συστήματα ελέγχου πρόσβασης, που παρουσιάζουν μεγαλύτερες τρωτότητες και δυνητικά αποτελούν στόχους.

Τέτοιες απειλές έχουν πιθανότητες  να βάλουν στο στόχαστρο οποιοδήποτε επίπεδο του συστήματος, όπως: τα διαπιστευτήρια του χρήστη, τον ελεγκτή, ακόμη και τον διακομιστή ή τον σταθμό εργασίας. Όταν ένας κυβερνοεγκληματίας καταφέρει να εισέλθει, με επιτυχία, εντός του δικτύου της επιχείρησης για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα -στα οποία μπορεί να συμπεριλαμβάνονται ακόμη και προσωπικά στοιχεία πελατών – οι επιπτώσεις αυτής της παραβίασης μπορεί να φτάσουν πολύ πιο πέρα από τις θύρες εισόδου και εξόδου. Οι συνέπειες είναι πιθανό να προκαλέσουν, όχι μόνο οικονομική ζημιά, αλλά και πλήγμα στη φήμη του οργανισμού και των υπαλλήλων του, το απόρρητο των πελατών και αλλού.

Δεδομένου του σημαντικού κινδύνου, είναι ζωτικής σημασίας να προστατεύσετε τα συστήματα που προστατεύουν τον οργανισμό σας. Αυτή η τακτική οδήγησε πολλούς οργανισμούς και επιχειρήσεις από όλες τις κάθετες αγορές να υιοθετήσουν λύσεις ασφαλούς ελέγχου της πρόσβασης, με μια ενοποιημένη πλατφόρμα φυσικής ασφάλειας που έχει σχεδιαστεί γύρω από ένα ισχυρό πλαίσιο κυβερνοασφάλειας.

Ευπάθειες στα συστήματα ελέγχου πρόσβασης

Σήμερα, τα περισσότερα συστήματα ελέγχου πρόσβασης είναι IP-based. Αν και αυτά παρέχουν ισχυρές δυνατότητες, τα απαρχαιωμένα ή παλαιού τύπου συστήματα ενδέχεται να μην διαθέτουν τα κρίσιμα χαρακτηριστικά κυβερνοασφάλειας που είναι απαραίτητα για την προστασία από τις συνεχώς εξελισσόμενες κυβερνοαπειλές.

Τα συστήματα ελέγχου πρόσβασης λειτουργούν όπως είναι γνωστό, χρησιμοποιώντας τα διαπιστευτήρια χρήστη για να προσδιορίσουν ποιος έχει τη δυνατότητα και ποιος όχι στην πρόσβαση εισόδου σε συγκεκριμένες περιοχές. Αυτά τα συστήματα κάνουν χρήση μιας ποικιλίας διαπιστευτηρίων, συμπεριλαμβανομένων των Προσωπικών Κωδικών Αναγνώρισης (PIN), των εφαρμογών για smartphone, των δακτυλικών αποτυπωμάτων και των κλειδιών ή καρτών.

Οι κυβερνοεγκληματίες έχουν βρει τρόπους να παραβιάζουν αυτά τα συστήματα, συχνά μέσω επιθέσεων skimming, όπου χρησιμοποιούν μη εξουσιοδοτημένους αναγνώστες για πρόσβαση σε πληροφορίες, εν αγνοία του χρήστη. Σε ορισμένες περιπτώσεις, εάν μπορούν να διεισδύσουν στο δίκτυο της επιχείρησης, θα είναι σε θέση να υποκλέψουν τα διαπιστευτήρια και να τα αποθηκεύσουν για μελλοντική κακή χρήση. Τέτοια δεδομένα μπορούν να χρησιμοποιηθούν για πλαστογράφηση ή κλωνοποίηση ορισμένων τύπων ξεπερασμένων καρτών, που εξακολουθούν, ακόμη και σήμερα, να χρησιμοποιούνται, παρά το ότι είναι ιδιαίτερα ευάλωτες.

Τα συστήματα ελέγχου πρόσβασης παλαιού τύπου χρησιμοποιούν συχνά κάρτες magstripe και 125 kHz, οι οποίες έχουν γνωστά τρωτά σημεία. Πολλά τέτοια συστήματα επικοινωνούν μέσω του πρωτοκόλλου Wiegand, το οποίο, από την παρουσίαση του το 1974, έχει εξελιχθεί σε βιομηχανικό πρότυπο. Ωστόσο, οι κυβερνοεγκληματίες έχουν βρει τρόπους να χειραγωγούν τους αναγνώστες καρτών που σχετίζονται με αυτό το σύστημα, για να εξάγουν ευαίσθητες πληροφορίες.

Το Wiegand είναι μονής κατεύθυνσης, πράγμα που σημαίνει ότι ο ελεγκτής δεν ειδοποιείται σε περίπτωση παραβίασης της συσκευής ανάγνωσης, εκτός εάν είναι συνδεδεμένη με έναν «διακόπτη παραβίασης». Επιπλέον, τα δεδομένα που αποστέλλονται μέσω ενός συστήματος τύπου Wiegand δεν είναι κρυπτογραφημένα, καθιστώντας τα επιρρεπή σε υποκλοπές, ακόμη και όταν χρησιμοποιούνται ασφαλή διαπιστευτήρια.

Για να μετριαστεί ο κίνδυνος επιθέσεων «man-in-the-middle», συνιστάται η εφαρμογή ενός συστήματος που χρησιμοποιεί ένα ασφαλές πρωτόκολλο αμφίδρομης κατεύθυνσης μεταξύ του αναγνώστη και του ελεγκτή, όπως το OSDP2. Αυτό διασφαλίζει ότι τυχόν προσπάθειες κλοπής διαπιστευτηρίων, παραποιώντας ή αντικαθιστώντας τον αναγνώστη με πλαστό, θα είναι ανεπιτυχείς. Επιπλέον, το αμφίδρομο πρωτόκολλο θα ειδοποιήσει τον χειριστή για τυχόν απόπειρες παραβίασης, οδηγώντας σε άμεση αντίδραση και εξουδετέρωση της απειλής. Ωστόσο, η πιο συχνή ευπάθεια είναι το ανθρώπινο λάθος. Η κοινή χρήση PIN και η απώλεια καρτών είναι συχνά λάθη, που μπορούν να θέσουν σε κίνδυνο την ασφάλεια.

Για να μειώσετε τα τρωτά σημεία σε επίπεδο διαπιστευτηρίων, βοηθά και η τακτική εκπαίδευση, οι υπενθυμίσεις και οι προτροπές προς όλα τα μέλη του προσωπικού να συμβάλλει στην ανάπτυξη μιας κουλτούρας που εκτιμά και υποστηρίζει την κυβερνοασφάλεια. Αυτή η δέσμευση θα πρέπει να επεκταθεί σε όλους τους συνεργάτες της επιχείρησης, καθώς μια παραβίαση των δικών τους συστημάτων θα μπορούσε να θέσει σε κίνδυνο και τη δική σας.

Μια διαδικασία που μπορεί να γίνει επιρρεπής σε ανθρώπινο λάθος είναι και η διαχείριση των δικαιωμάτων πρόσβασης. Επιλέξτε λοιπόν εργαλεία που προσφέρουν μια ενοποιημένη λύση για τη διαχείριση των δικαιωμάτων πρόσβασης με βάση τους ρόλους και την κατάσταση χρήστη και όχι μεμονωμένα άτομα. Αυτό επιτρέπει αυτόματες αναβαθμίσεις, υποβαθμίσεις, προσθήκες ή ακυρώσεις δικαιωμάτων για ομάδες, ανάλογα με τις ανάγκες. Για παράδειγμα, όταν ένας εργαζόμενος αλλάζει θέση εργασίας ή αποχωρεί από την εταιρεία, τα δικαιώματα πρόσβασής του θα πρέπει αντίστοιχα να αλλάζουν. Όταν η κατάσταση ενός υπαλλήλου αλλάζει στη βάση δεδομένων, τα δικαιώματα πρόσβασής του ενημερώνονται αναλόγως, μειώνοντας τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.

Ευπάθειες που συναντάμε  στους ελεγκτές

Οι ελεγκτές σε ένα σύστημα ελέγχου πρόσβασης λειτουργούν ερμηνεύοντας δεδομένα διαπιστευτηρίων από τον αναγνώστη και διασταυρώνοντάς τα με μια λίστα. Εάν τα διαπιστευτήρια που παρουσιάζονται ταιριάζουν, ο ελεγκτής στέλνει ένα σήμα στην κλειδαριά της πόρτας για να παραχωρήσει ή να αρνηθεί την πρόσβαση. Μια αδύναμη κρυπτογράφηση ή ένας εύκολος κωδικός πρόσβασης θα μπορούσε ενδεχομένως να επιτρέψει στους κυβερνοεγκληματίες να διεισδύσουν στους ελεγκτές, δίνοντάς τους απεριόριστη πρόσβαση στις εγκαταστάσεις σας.

Για την αντιμετώπιση αυτού του ζητήματος, τα σύγχρονα συστήματα ελέγχου πρόσβασης χρησιμοποιούν ένα έξυπνο εργαλείο διαχείρισης πιστοποιητικών, για τον έλεγχο της ταυτότητας του ελεγκτή. Αυτό το εργαλείο διασφαλίζει την ασφαλή επικοινωνία μεταξύ του διακομιστή που είναι υπεύθυνος για τον έλεγχο της πρόσβασης και του ελεγκτή. Η διαδικασία ελέγχου ταυτότητας επαληθεύει ότι ένας εξουσιοδοτημένος ελεγκτής είναι συνδεδεμένος σε έναν εγκεκριμένο διακομιστή, από τον οποίο λαμβάνει οδηγίες. Για τη διασφάλιση της επικοινωνίας μεταξύ αυτών των δύο στοιχείων, συνιστάται η κρυπτογράφηση της επικοινωνίας με το πρωτόκολλο Transport Layer Security (TLS).

Την ίδια στιγμή, οι ελεγκτές χρειάζονται τακτικές ενημερώσεις του firmware. Είναι σημαντικό η επιχείρηση να ελέγχει τακτικά για αυτές τις ενημερώσεις ή να αναθέτει αυτήν την ευθύνη σε αξιόπιστο τρίτο ή προμηθευτή, διασφαλίζοντας ότι θα εγκατασταθούν χωρίς καθυστέρηση. Οι τακτικές ενημερώσεις συμβάλλουν στην προστασία του συστήματος από ευπάθειες ή απειλές που ανακαλύφθηκαν πρόσφατα, ενισχύοντας, έτσι, τη συνολική ασφάλεια.

Ένα πολύ σημαντικό βήμα για την ασφάλεια των ελεγκτών, αφορά και στην αλλαγή των προεπιλεγμένων κωδικών πρόσβασης, σε passwords που δεν μπορεί κάποιος να αποκρυπτογραφήσει. Οι προεπιλεγμένοι κωδικοί πρόσβασης είναι συχνά εύκολο να ανακαλυφθούν, καθιστώντας τις συσκευές που τους χρησιμοποιούν πρωταρχικό στόχο για κυβερνοεπιθέσεις. Μια άλλη πρακτική που συνάδει με αυτό είναι η εφαρμογή ενός συστήματος διαχείρισης κωδικών πρόσβασης που τους αλλάζει αυτόνομα, σε τακτική βάση. Αυτό, όχι μόνο ενισχύει την ασφάλεια, αλλά μειώνει και τους κινδύνους που συνδέονται με το ανθρώπινο λάθος.

Συμβουλές για την ενίσχυση της ασφάλειας

Εν κατακλείδι, για να βελτιώσετε την κυβερνοασφάλεια στα συστήματα ελέγχου πρόσβασης των εγκαταστάσεων υπάρχουν κάποιες κατευθυντήριες οδηγίες που είναι χρήσιμο να ακολουθούνται:

• Αναβαθμίστε τα συστήματα σας, καθώς τα παλαιότερα δεν κατασκευάστηκαν για την αντιμετώπιση των σημερινών απειλών.
• Χρησιμοποιήστε ασφαλή και έξυπνα ή/και mobile διαπιστευτήρια, αλλά και τα πιο πρόσφατα πρωτόκολλα επικοινωνίας, για την ασφάλεια των δεδομένων που αποστέλλονται μέσω του Διαδικτύου.
• Προσφέρετε εκπαίδευση στους υπαλλήλους σας γύρω από τις βέλτιστες πρακτικές κυβερνοασφάλειας και βεβαιωθείτε ότι αλλάζουν συχνά τους κωδικούς πρόσβασης.
• Χρησιμοποιήστε ένα σύστημα διαχείρισης ταυτότητας για να διασφαλίσετε ότι οι χρήστες μπορούν να έχουν πρόσβαση μόνο σε περιοχές και δεδομένα που σχετίζονται με τον ρόλο και την τρέχουσα κατάσταση τους.
• Δημιουργήστε ξεχωριστά τοπικά δίκτυα για συσκευές που αποθηκεύουν ή μοιράζονται εξαιρετικά ευαίσθητες πληροφορίες, έτσι ώστε να μην είναι προσβάσιμες από το υπόλοιπο δίκτυο.
• Επιλέξτε έναν πάροχο ασφαλείας που μπορεί να αποδείξει τη συμμόρφωση του με καθιερωμένα πλαίσια ελέγχου ασφαλείας
• Βεβαιωθείτε ότι το σύστημα ελέγχου πρόσβασης χρησιμοποιεί αξιόπιστες μεθόδους κρυπτογράφησης δεδομένων καθώς και έλεγχο ταυτότητας πολλαπλών παραγόντων.

Σχετικά με τη χρήση λύσεων ελέγχου πρόσβασης που βασίζονται στο cloud, πολλές επιχειρήσεις επιλέγουν μια υβριδική προσέγγιση, ώστε να επωφεληθούν από την ευελιξία και την επεκτασιμότητα που προσφέρει και τις πολλαπλές επιλογές αποθήκευσης δεδομένων, διατηρώντας παράλληλα τη δυνατότητα διαχείρισης ορισμένων λειτουργιών τοπικά.

Συμπερασματικά θα λέγαμε ότι ένα ενοποιημένο σύστημα ελέγχου πρόσβασης που χρησιμοποιεί τις πιο πρόσφατες τεχνολογίες και τα νέα πρότυπα ασφάλειας στον κυβερνοχώρο, είναι σε θέση να ελαχιστοποιήσει τους κινδύνους. Επιλέγοντας επίσης μια ανοιχτή αρχιτεκτονική βασισμένη σε IP σύστημα ελέγχου πρόσβασης, οι οργανισμοί έχουν τη δυνατότητα για αναβάθμιση στην πιο πρόσφατη υποστηριζόμενη τεχνολογία, ανά πάσα στιγμή που με εύκολο τρόπο μπορεί να ενσωματώνει τις νεότερες αναβαθμίσεις και να επικαιροποιεί το λογισμικό προστασίας από κακόβουλες επιθέσεις.