Συστήματα διαχείρισης και πρόσβασης εισόδου

Posted On 20 Δεκ 2019
Tag: ,

Tο συστατικό της επιτυχημένης προστασίας

Η εξουσιοδοτημένη πρόσβαση αποτελεί έναν ουσιώδη πυλώνα ασφάλειας. Τα τελευταία χρόνια με την αύξηση των συνδυασμένων επιθέσεων τα συστήματα διαχείρισης και πρόσβασης εισόδου αποτελούν ένα αρκετά δημοφιλές συστατικό ολιστικής προστασίας. Ο συνδυασμός φυσικής και ψηφιακής ασφάλειας είναι αναπόφευκτος όταν πρόκειται για την προστασία περιουσιακών στοιχείων σε υλική ή εικονική σύσταση.

Γιώτα Νικολαΐδου

Security Mechanics Strategist | CEO Secure World Vision

 

 

 

 

Γιατί ηλεκτρονικό και όχι μηχανικό κλειδί πρόσβασης;

Πέραν από τα μειονεκτήματα που απορρέουν από τα φυσικά τους χαρακτηριστικά, τα μηχανικά κλειδιά στερούνται εκείνα της νοημοσύνης. Αυτό φυσικά δεν σημαίνει ότι τα συστήματα ψηφιακής πρόσβασης είναι άτρωτα. Και αυτό συμβαίνει για δύο λόγους:

  1. Τα μηχανικά τμήματα οποιουδήποτε συστήματος πρόσβασης, ακόμα και ενός ψηφιακού, εξακολουθούν να αποτελούν τα πιο τρωτά σημεία.
  2. Τα συστήματα ψηφιακής πρόσβασης, αν και έχουν περισσότερη νοημοσύνη από τα μηχανικά κλειδιά πρόσβασης, στερούνται νοημοσύνης και λογικής γιατί εξακολουθούν να μη μπορούν να αξιολογήσουν και να διακρίνουν τόσο τις εξατομικευμένες ανάγκες του περιβάλλοντος που καλούνται να προστατεύσουν όσο και να κατανοήσουν τις τεχνικές και μεθοδολογίες των επίδοξων εγκληματικών στοιχείων που στοχεύουν τις υποδομές.

Ο πολλαπλασιαστής ισχύος:

Το 1415 βρίσκει τον τότε Βασιλιά της Αγγλίας, Henry, να πολεμά τη Γαλλία σε μια προσπάθεια να αποδείξει την κυριαρχία του. Μετά την επιτυχημένη πολιορκία της πόλης Harfleur, ο Henry καλείται να αντιμετωπίσει τον γαλλικό στρατό στην περιοχή Agincourt. Οι συνθήκες όμως είναι αντίξοες και τα δεδομένα δείχνουν ότι δεν μπορεί να τα καταφέρει. Οι στρατηγοί του προτείνουν οπισθοχώρηση γιατί οι Γάλλοι υπερτερούν σε αριθμό και σε εξοπλισμό και ο αγγλικός στρατός θα οδηγηθεί σε σίγουρη σφαγή. Παρόλα αυτά, ο πιο έμπιστος και φημισμένος στρατηγός του επιμένει ότι μπορούν να κερδίσουν χρησιμοποιώντας ένα ανορθόδοξο σχέδιο. Χωρίζει τον στρατό σε δύο ομάδες και χρησιμοποιεί την πρώτη ομάδα ως δόλωμα απαλλάσσοντάς την από τον βαρύ οπλισμό με σκοπό να παρασύρει τον γαλλικό στρατό σε μια λασπωμένη περιοχή όπου, λόγω του βαρίου οπλισμού και των αλόγων του γαλλικού στρατού, θα δυσχέραιναν οι συνθήκες επιτυχίας. Και τότε η δεύτερη ομάδα θα τοξοβολήσει τον αντίπαλο και να τον εξολοθρεύσει επιφέροντας τη νίκη στον αγγλικό στρατό. Αυτό το τέχνασμα στην στρατηγική ασφάλειας είναι ο λεγόμενος «πολλαπλασιαστής ισχύος» και είναι ένας από τους χρυσούς κανόνες σχεδιασμού στρατηγικής ασφάλειας. Η ασφάλεια δεν καθορίζεται ούτε από τον αριθμό, ούτε από την πολυπλοκότητα αλλά ούτε και από το κόστος των συστημάτων. Αντίθετα, εξαρτάται από την κατανόηση του περιβάλλοντος επίθεσης, την εξοικείωση με το προφίλ του επίδοξου εγκληματία που στοχοποιεί τη συγκεκριμένη οντότητα, καθώς και την εφευρετικότητα του σχεδιαστή στρατηγικής ασφάλειας να αντισταθμίσει, να μειώσει ή ακόμα και να εξουδετερώσει την δράση και την αποτελεσματικότητα τους.

Υπάρχουν τρία συστατικά στην υλοποίηση ενός συστήματος πρόσβασης, τα οποία χρειάζεστε για να δημιουργήσετε έναν πολλαπλασιαστή ισχύος και να εκτοξεύσετε την αποτελεσματικότητα των επιπέδων προστασίας που θα σας προσφέρει:

  1. A) Τα πραγματικά επίπεδα ασφάλειας

Τα πρότυπα ασφάλειας καλύπτουν μόνο τα βασικά μέτρα ασφάλειας και την συμμόρφωση με τους κανονισμούς και τις νομοθεσίες. Για τον σχεδιασμό τους έχουν περιληφθεί γενικευμένα, μεμονωμένα και περιορισμένα σενάρια σε αριθμό και πολυπλοκότητα. Σε καμία περίπτωση δεν καλύπτουν πραγματικά σενάρια επίθεσης και κινδύνου, ούτε μπορούν να καλύψουν τις εξατομικευμένες ανάγκες και τις ιδιαιτερότητες ενός οργανισμού.

Το πιο σημαντικό είναι ότι οι εγκληματίες δεν ακολουθούν πρότυπα ασφάλειας. Αντίθετα, τους ενδιαφέρει η διείσδυση με τον πιο εύκολο τρόπο, η οποία θα επιφέρει το καλύτερο οικονομικό αποτέλεσμα με το λιγότερο δυνατόν ρίσκο σύλληψής τους.

Η κατανόηση του περιβάλλοντος και των πιθανών κινδύνων που μπορεί να προκύψουν είναι καίριας σημασίας για την υλοποίηση λύσης προστασίας. Τα πραγματικά σενάρια επίθεσης περιλαμβάνουν συνδυασμένες επιθέσεις με διείσδυση τόσο σε φυσικές αλλά και σε ψηφιακές υποδομές. Για τον λόγο αυτό απαιτείται εκπόνηση μελέτης αξιολόγησης κινδύνου (Risk assessment), η οποία πρέπει να πραγματοποιηθεί πριν τον σχεδιασμό της κτηριακής υποδομής (αν είναι δυνατόν) και πριν την καταγραφή των προδιαγραφών για το σύστημα πρόσβασης. Η μελέτη πρέπει να συναξιολογεί ταυτόχρονα τόσο τις φυσικές όσο και τις ψηφιακές υποδομές.

Μια ολοκληρωμένη αξιολόγηση κινδύνου αποτελεί την πυξίδα για τον αποτελεσματικό σχεδιασμό του συστήματος πρόσβασης και κατ’ επέκταση της ολιστικής ασφάλειας της υποδομής και των περιουσιακών στοιχείων της. Επιπλέον, κερδίζετε σε χρήματα, χρόνο και αποτελεσματικότητα προστασίας τόσο άμεσα όσο και μακροπρόθεσμα.

Β) Προσδιορισμός προδιαγραφών σχεδιασμού

Το πιο σημαντικό λάθος που παρατηρείται στην υλοποίηση συστήματος πρόσβασης είναι ο ελλιπής ή περιορισμένος και λανθασμένος προσδιορισμός των προδιαγραφών. Ως αποτέλεσμα επέρχεται

  • η αποτυχημένη υλοποίηση
  • το υψηλό κόστος
  • ο περιορισμός αποτελεσματικότητας και δυνατοτήτων και πολλά άλλα προβλήματα που μπορούν να προκύψουν

Υπάρχουν 9 τομείς που πρέπει να συμπεριληφθούν στις προδιαγραφές και είναι οι πιο κάτω:

  1. Επιλέγοντας τα κατάλληλα συστατικά – Η εξουσιοδοτημένη πρόσβαση μπορεί να δοθεί στη βάση: «Κάτι που έχεις, κάτι που είσαι ή κάτι που γνωρίζεις». Είτε πρόκειται για κάρτα πρόσβασης, κινητό τηλέφωνο, πληκτρολόγιο (Keypad) ή βιομετρικό αισθητήρα, το κύριο ερώτημα είναι ποιο είναι το πιο ασφαλές και κατάλληλο για την υποδομή που σας ενδιαφέρει. Ένας τύπος για όλη την υποδομή είναι αρκετός; Ποιοι είναι οι παράγοντες που καθορίζουν την επιλογή σας;

Η πραγματικότητα είναι ότι υπάρχουν κανόνες για την επιλογή τους με βάση τις ζώνες ασφάλειας, τα συμπληρωματικά μέτρα για κάθε ζώνη, καθώς και τα φυσικά χαρακτηριστικά του κάθε συστατικού. Για παράδειγμα, υπάρχει η λανθασμένη αντίληψη ότι τα βιομετρικά στοιχεία είναι τα πιο ασφαλή, ενώ στην πραγματικότητα εάν δεν υλοποιηθούν σωστά (που συμβαίνει στις περισσότερες περιπτώσεις), το αποτέλεσμα είναι το αντίθετο του επιθυμητού.

  1. Επιλέγοντας την κατάλληλη τεχνολογία – Πόσο εύκολο είναι να αντιγράψουν, να κλωνοποιήσουν, να προσομοιώσουν, να αναπαράγουν ή να παρακάμψουν την τεχνολογία που θα χρησιμοποιήσετε;

Αν χρησιμοποιήσετε κρυπτογράφηση, είστε καλυμμένοι;

Τα τεχνικά χαρακτηριστικά της τεχνολογίας που επιλέγετε εξαρτώνται κυρίως από το προφίλ του εγκληματία που στοχοποιεί την επιχείρηση ή τον οργανισμό, τα εργαλεία που διαθέτει και την αξία των περιουσιακών στοιχείων που προστατεύετε.

Για παράδειγμα, στην περίπτωση κρίσιμων υποδομών, όπως πυρηνικοί σταθμοί, κυβερνητικές υπηρεσίες κ.τ.λ. μπορούν να εφαρμοστούν τεχνικές, όπως το reverse engineering γιατί το κόστος της επίθεσης δεν έχει περιορισμό. Το κόστος εξαρτάται από τις ικανότητες του ψηφιακού εγκληματία στην πρόσβαση και την ανάλυση του κώδικα υλοποίησης της τεχνολογίας, στη δυνατότητα ορατότητας των καναλιών επικοινωνίας σε επίπεδο υλικού (hardware) κ.ο.κ.

  1. Καλωδίωση & διασύνδεση – Ένα ξεχασμένης αλλά μεγάλης σημασίας κεφάλαιο αποτελεί η καλωδίωση και η διασύνδεση των συστατικών ενός συστήματος πρόσβασης. Για να κατανοήσετε τη σημασία του, θα σας δώσω ένα παράδειγμα. Ένας συνάδελφος στην προσπάθεια του να αποδείξει πόσο αδιαπέραστος είναι ο σχεδιασμός που έκανε για μια τράπεζα μού έδειξε την κάτοψη των κτηριακών εγκαταστάσεων με όλα τα συστήματα ασφάλειας που είχε σχεδιάσει. Από το σύστημα πρόσβασης, τις περιμετρικές κάμερες, τους αισθητήρες θερμοκρασίας, τους κραδασμούς κ.ο.κ. Ομολογουμένως, ήταν ένας πολύ καλός σχεδιασμός. Είχε όμως ένα μειονέκτημα – ήταν πολύ συγκεντρωμένος στα συστήματα και όχι στην ευρύτερη εικόνα και στο προφίλ του εγκληματία που θα προσεγγίσει την τράπεζα. Ήταν τόσο σίγουρος πως ήταν αδύνατον να καταφέρει κάποιος να εισέλθει χωρίς εξουσιοδοτημένη πρόσβαση. Μετά από τριάντα δευτερόλεπτα τού έδειξα ένα καλώδιο συγκεκριμένης τεχνολογίας σε συγκεκριμένο σημείο, το οποίο είχε τη δύναμη να ακυρώσει όλο τον σχεδιασμό ασφάλειας που έκανε. Όπως είπε ο Σουν Τσου στο βιβλίο του «Η τέχνη του πολέμου» που αποτελεί την βίβλο στρατηγικής για ηγέτες, στρατηγούς, ακόμα και για επιχειρηματίες, είναι σημαντικό να γνωρίζεις τόσο τον εαυτό σου και τις αδυναμίες σου, όσο και τον εχθρό σου.
  2. Διακομιστής ελέγχου & διαχείρισης του συστήματος πρόσβασης – Ο έλεγχος της διαχείρισης του συστήματος πρόσβασης δεν εξαρτάται μόνο από τη φυσική προστασία του χώρου αλλά και από το ψηφιακό περιβάλλον του. Για τον λόγο αυτό, πρέπει να συγκεντρώνει τα ψηλότερα επίπεδα προστασίας τόσο φυσικά όσο και ψηφιακά. Η αμέλεια για ορθό σχεδιασμό τους μπορεί να ακυρώσει εντελώς όλα τα υπόλοιπα μέτρα ασφάλειας που έχουν παρθεί.
  3. Προσθήκη νοημοσύνης – Η εξουσιοδοτημένη πρόσβαση σε ψηφιακά συστήματα στις μέρες μας αποτελείται από πολλαπλά επίπεδα και πιο πολύπλοκα μοντέλα από έναν κωδικό πρόσβασης εισόδου. Τα συστήματα σχεδιάζονται με τέτοιο τρόπο, έτσι ώστε να γνωρίζουν τα εργασιακά μοτίβα λειτουργίας του κάθε υπαλλήλου – από τις ώρες εργασίας του, τον τρόπο έκφρασής του, ακόμα και την ταχύτητα γραφής του. Η χρήση της ίδιας στρατηγικής μπορεί να αυξήσει τα επίπεδα δυσκολίας μη-εξουσιοδοτημένης πρόσβασης στις φυσικές υποδομές ενός οργανισμού.
  • Προσδιορισμός μονοπατιού πρόσβασης – Είναι δυνατόν να προσδιοριστεί ένα συγκεκριμένο μονοπάτι πρόσβασης για να επιτραπεί η είσοδος σε έναν συγκεκριμένο χώρο. Έτσι, ακόμα κι αν καταφέρει κάποιος να κλέψει ή να αντιγράψει μια κάρτα πρόσβασης και να εισέλθει στις φυσικές υποδομές, αν δεν ακολούθησε τη σωστή διαδρομή, δεν θα μπορέσει να αποκτήσει πρόσβαση στον συγκεκριμένο χώρο.
  • Προγραμματιστική λογική – Υπάρχουν σημεία στις φυσικές υποδομές όπου όταν μια πόρτα είναι ανοικτή, η πόρτα που τη συνορεύει πρέπει να είναι κλειστή. Το γεγονός αυτό έχει σκοπό την εισαγωγή των καθυστερήσεων και τον περιορισμό των κινήσεων ενός επίδοξου ληστή ή εγκληματία. Αποτελεί μια λειτουργία που είναι αρκετά πρακτική σε mantrap areas που συνορεύουν με άλλα σημεία των υποδομών, στα οποία δεν υπάρχουν αρκετά μέτρα ασφάλειας.
  • Δημιουργία δυναμικών σημείων παγίδευσης – Αν και υπάρχει ο σχεδιασμός για εξουσιοδοτημένη πρόσβαση, πρέπει να υλοποιηθεί και η δυνατότητα ελέγχου της πρόσβασης από ένα κεντρικό σημείο. Χρησιμοποιείται ένας ψηφιακός χάρτης, ο οποίος αντικαθιστά τη λειτουργία των καρτών πρόσβασης ή οποιασδήποτε άλλης τεχνολογίας, και η πρόσβαση ελέγχεται αποκλειστικά από ένα κέντρο ελέγχου. Είναι μια πολύ σημαντική πρακτική που μπορεί να λειτουργήσει ως δυναμικός εγκλωβισμός ενός μη-εξουσιοδοτημένου προσώπου ή ομάδας εν ενεργεία ληστείας ή εγκληματικής ενέργειας.
  1. Προετοιμασία για διαχείριση κρίσης (επίθεσης/λάθους/σφάλματος) – Ένα σωστά σχεδιασμένο σύστημα πρόσβασης μπορεί να καλύψει ένα ευρύ φάσμα από σενάρια τόσο σε «φυσιολογική» λειτουργία όσο και σε περίπτωση κρίσης, η οποία μπορεί να προκύψει από επίθεση, λάθος υπαλλήλου ή ακόμα και από σφάλμα σε κάποιο σύστημα που επηρεάζει τη λειτουργία του συστήματος πρόσβασης. Τα ελάχιστα που πρέπει να καλυφθούν είναι η πραγματοποίηση ασκήσεων ετοιμότητας, η πολιτική που θα εφαρμοστεί για την αποχώρηση σημαντικού υπαλλήλου , τα μέτρα προστασίας σε κατάσταση συντήρησης και το σχέδιο ανάκαμψης σε περίπτωση που δεν μπορεί να αποφευχθεί μια κρίση.
  2. Διατήρηση Ελέγχου – Ακολουθώντας την αρχή «Εμπιστεύσου αλλά επαλήθευσε», η διατήρηση ελέγχου αποτελεί ένα ουσιώδες κομμάτι. Η ανάπτυξη πολιτικών και διαδικασιών χρήσης και διαχείρισης, ο περιορισμός εξάρτησης από τρίτους-εξωτερικούς συνεργάτες, η δημιουργία εναλλακτικών πλάνων ελέγχου, τα οποία είναι ανεξάρτητα μεταξύ τους, ακόμα και τα σημεία πρόσβασης στο σύστημα διαχείρισης πρόσβασης, είναι μερικά από τα βασικά σημεία που πρέπει να συμπεριληφθούν.
  3. Ενοποίηση/ενσωμάτωση με άλλα συστήματα (Integration) – Ο παράγοντας συνδεσιμότητας είναι ύψιστης σημασίας τόσο για τον σχεδιασμό ενός συστήματος πρόσβασης όσο και για την ολιστική ασφάλεια του οργανισμού. Εάν δεν γίνει αρχικά και δεν ενσωματωθεί σωστά, δημιουργούνται προβλήματα, όπως επιπρόσθετο κόστος , μη-επιτυχής υλοποίηση που καλύπτει τις ανάγκες του οργανισμού, εξάρτηση από τρίτους, μικρότερη διάρκεια ζωής του συστήματος, μη επαναχρησιμοποίησή του και εισαγωγή κενών ασφάλειας στις διασυνδέσεις με τα άλλα συστήματα.
  4. Επιλογή του κατάλληλου παροχέα
  • Συμμόρφωση με κανονισμούς & πρότυπα (π.χ. ISO, GDPR)
  • Πάροχος με συχνές ενημερώσεις ασφάλειας (Security updates)
  • Δείγματα ποιοτικού σχεδιασμού συστήματος (βασίζεται στις αρχές fault tolerance & design verification)
  • Δυνατότητα & ευκολία για ενοποίηση & ενσωμάτωση με άλλα συστήματα (Integration)

Ακολουθώντας τις αρχές σχεδιασμού & Καθορισμός ζωνών ασφάλειας

Στον σχεδιασμό ασφάλειας φυσικών υποδομών δουλεύουμε σε κύκλους που είναι οι λεγόμενες ζώνες ασφάλειας. Όσο προχωρούμε στις εσωτερικές ζώνες ασφάλειας τόσο πιο πολλά μέτρα ασφάλειας χρειαζόμαστε.
Στο τέλος της μέρας τα πάντα είναι τρωτά. Είναι θέμα χρόνου, διαθέσιμων εργαλείων και γνώσεων. Γι’ αυτό σχεδιάζουμε την ασφάλεια ακολουθώντας τις πιο κάτω αρχές.
Υπάρχουν διάφορα μοντέλα. Οι πιο διαδεδομένες αρχές σχεδιασμού για ένα σύστημα πρόσβασης είναι:

  • Αρχή του μικρότερου προνομίου (Principle of Least Privilege): δεν υφίσταται η οποιαδήποτε πρόσβαση που δεν έχει καθοριστεί για συγκεκριμένο χρήστη (backdoor coverage)
  • Διαχωρισμός Ρόλων (Separation of Duties): σε περιοχές με αντικρουόμενες υποχρεώσεις περιορίζει τις ευκαιρίες για μη-εξουσιοδοτημένη πρόσβαση ή ακόμα και την μη εσκεμμένη παρέμβαση
  • Στη βάση αναγκαιότητας (Need to know): η πρόσβαση δίνεται σε περίπτωση που το άτομο χρειάζεται πρόσβαση στον χώρο ή στη συγκεκριμένη πληροφορία για να μπορεί να διεκπεραιώσει τα καθήκοντα και τον ρόλο του. Ένας κανόνας που συνήθως παραβλέπεται και δίνεται πλήρης πρόσβαση σε διοικητικό προσωπικό με αποτέλεσμα τη δημιουργία τρύπας ασφάλειας μιας και οι εγκληματίες έχουν πιο εύκολη πρόσβαση στο διοικητικό προσωπικό λόγω της κοινωνικής τους έκθεσης.

Πέραν όμως από αυτούς τους κανόνες που αφορούν αποκλειστικά την ανάθεση πρόσβασης, υπάρχουν βασικοί κανόνες στρατηγικής ασφάλειας, οι οποίου πρέπει να ακολουθούνται.

  • Χρήση πολλαπλών επίπεδων ασφάλειας, ανεξαρτησία επιπέδων & παράλληλη λειτουργία του κάθε επιπέδου για να αυξηθεί ο χρόνος διείσδυσης, ικανότητας εντοπισμού και αντίδρασης σε περίπτωση επίθεσης.
  • Χρήση πολλαπλών συνδυασμένων τεχνολογιών με σκοπό τον περιορισμό των κατηγοριών εγκληματιών που διαθέτουν την τεχνογνωσία και τα κατάλληλα εργαλεία.
  • Τί θα γίνει αν όλα αποτύχουν; Σε κρίσιμες υποδομές χρησιμοποιούμε την τεχνική του redundancy, στον σχεδιασμό της οποίας συμπεριλαμβάνονται εφεδρικά ή μη απαραίτητα συστατικά κατά τη διάρκεια της φυσικής λειτουργίας ενός συστήματος. Σε περίπτωση που υπάρξει σφάλμα ή επίθεση που θα προκαλέσει την απενεργοποίηση της λειτουργίας των συστημάτων, τα βασικά συστήματα θα συνεχίσουν τη λειτουργία τους με τη χρήση εφεδρικών.
  • Ανεξαρτησία συστημάτων και δυνατότητα απομόνωσης (compartmentalization)
  • Απροσδόκητο (Unpredictability): η ασφάλεια ορίζεται από τον έλεγχο. Η τεχνική της παραπλάνησης αποτελεί τον πιο σημαντικό πυλώνα σε οποιονδήποτε σχεδιασμό ασφάλειας και το κλειδί ελέγχου στην προστασία.

Όπως και να σχεδιαστεί ένα οποιοδήποτε σύστημα ασφάλειας, το πιο βασικό ερώτημα που πρέπει να απαντήσετε για να το σχεδιάσετε σωστά είναι «Γνωρίζετε τον Δούρειο Ίππο σας»;

 

 

 

 

Σχετικά Άρθρα

off

Τα οφέλη των cloud-based IoT συστημάτων ελέγχου πρόσβασης

Posted On 23 Ιούλ 2024
off

Ψηφιακός μετασχηματισμός στην ασφάλεια των πολυκατοικιών

Posted On 05 Ιούν 2024
off

Εφαρμογές για ένα εξυπνότερο μέλλον στον έλεγχο πρόσβασης

Posted On 10 Ιαν 2022

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

Αρχείο Περιοδικών

Smart Press A.E. | Μάγερ 11, 10438, Αθήνα | Τηλ.: 210 5201500, Fax: 210 5241900