Pierwszym krokiem do przechowywania danych kart w bezpieczniejszym miejscu jest przeniesienie wrażliwych danych do wewnątrz (nr 2 na grafice). Dlatego użytkownik powinien przechowywać klucze DESFire (klucze kart) w kontrolerze drzwi wewnątrz budynku, a nie w czytniku kart zamontowanym na zewnątrz budynku (nr 1 na grafice obok). Oznacza to, że czytniki nie będą odgrywać żadnej roli w odszyfrowywaniu danych, a więc staną się „transparentne”. Dzięki temu dekodowanie i bezpieczna komunikacja pomiędzy czytnikiem kart a kontrolerem drzwi odbywa się po bezpiecznej stronie drzwi.

Kolejny krok to przeniesienie danych na bezpieczną stronę drzwi i przechowywanie w bezpiecznym miejscu (nr 3 na grafice). W tym celu AEOS wykorzystuje moduł SAM (Secure Access Module). Jest to karta SIM, na której dane mogą być przechowywane i nie mogą być pobrane. Klucze DESFire są przechowywane w module SAM w kontrolerze drzwi wewnątrz budynku. Klucze kart są również dekodowane w SAM, co dodatkowo zmniejsza ryzyko i zapewnia jeszcze bezpieczniejszą opcję niż krok pierwszy.

Po zabezpieczeniu komunikacji między czytnikiem a kontrolerem zobaczmy, jak komunikuje się kontroler. Protokół 802.1x to standardowy sposób uwierzytelniania urządzeń próbujących podłączyć się do sieci. W przypadku zastosowania tego standardu połączenie sieciowe jest możliwe tylko wtedy, gdy protokół ufa relacji (opartej na certyfikatach cyfrowych) między urządzeniem (kontrolerem Nedap) a serwerem uwierzytelniającym. Czyli tylko zaufane urządzenia z odpowiednimi certyfikatami cyfrowymi – w tym przypadku kontrolery drzwi – mogą połączyć się z zabezpieczoną siecią. Sprzęt, który nie ma odpowiedniego certyfikatu cyfrowego, nie może się połączyć.

Tryb bezpieczny jest domyślnie dostępny w systemie AEOS i można go aktywować za pomocą oprogramowania. W tym trybie komunikacja pomiędzy serwerem AEOS a kontrolerem jest szyfrowana za pomocą protokołu TLS. Komunikacja może być szyfrowana tylko z wykorzystaniem domyślnego certyfikatu dostarczonego przez Nedap. Nie można tego zastąpić zmanipulowanymi wersjami. Uniemożliwia to również podłączenie obcych urządzeń do sieci lub wysyłanie poleceń do kontrolerów drzwi. Komunikacja pomiędzy poszczególnymi ogniwami systemu jest zabezpieczona i zaszyfrowana po bezpiecznej stronie drzwi.

AEOS End-to-end (nr 4 na grafice) wykracza poza bezpieczną komunikację między czytnikiem kart a kontrolerem drzwi. Można zabezpieczyć cały proces kontroli dostępu: od identyfikatora przez czytnik aż po kontroler drzwi i serwer centralny. Po zastosowaniu mocnego uwierzytelnienia do kontrolerów drzwi nie można ich zastąpić zmanipulowanymi wersjami. Nie można też podłączyć obcych urządzeń do sieci lub wysyłać poleceń do kontrolerów drzwi. Komunikacja pomiędzy poszczególnymi ogniwami systemu jest chroniona i zaszyfrowana po bezpiecznej stronie drzwi.

Anna Twardowska  

Regional Sales Manager na Europę Wschodnią, Nedap Security Management

 

  

Artykuł Nedap: cyberbezpieczeństwo w systemach fizycznej kontroli dostępu pochodzi z serwisu CRN.

Zresztą dane uwierzytelniające należą do najchętniej kupowanych „towarów” w tzw. ciemnej stronie sieci. Cyberprzestępcy mogą je nabywać tak samo, jak konsumenci zaopatrują się w Internecie w ubrania czy kosmetyki. Poza tym hakerzy, zdobywając dane uwierzytelniające do konta, często otwierają sobie drogę do innych serwisów, bowiem większość użytkowników zazwyczaj posługuje się tylko jednym, uniwersalnym hasłem. Dodatkowy problem stanowi niedocenianie napastników – wielu osobom wydaje się, że cyberprzestępcy siedzą przed komputerem i podsuwają mu różne ciągi znaków. W rzeczywistości hakerzy posługują się specjalnym oprogramowaniem wykonującym niewiarygodną liczbę prób na minutę. Dlatego tak ważna jest edukacja użytkowników, którą powinni prowadzić zarówno producenci, jak też integratorzy. Kiedy właściciele firm, a także ich pracownicy, lepiej zrozumieją podstawowe reguły dotyczące bezpieczeństwa, będą bardziej skłonni ich przestrzegać.

Przeszkody na drodze hakera

Dostawcy systemów bezpieczeństwa toczą wojnę z hakerami na kilku frontach i cały czas starają się uprzykrzyć im życie, co rusz wprowadzając kolejne rodzaje zabezpieczeń. Jednym z takich  przykładów jest uwierzytelnianie wieloskładnikowe, które wykorzystuje w trak-cie logowania dodatkowy etap weryfikacji użytkownika. Najczęściej jest to wpisanie jednorazowego kodu wysłanego przez usługodawcę za pomocą SMS-a albo hasła generowanego przez aplikację mobilną lub dane biometryczne, takie jak zapis linii papilarnych placów, obrazu tęczówki czy wizerunku twarzy.

Wprawdzie wymienione metody ograniczają ryzyko wycieku danych, ale nie dają stuprocentowej gwarancji bezpieczeństwa. W przypadku większości systemów uwierzytelniania dwuskładnikowego (2FA), zgubienie, kradzież bądź naruszenie urządzenia pozwala hakerowi osiągnąć swój cel. Tak naprawdę bowiem 2FA nie uwierzytelnia osoby, lecz urządzenie, co eksperci określają czasami jako „przybliżenie tożsamości”. Nie jest to wyłącznie teoria i można przytoczyć wiele przykładów naruszenia zabezpieczeń 2FA. W ten sposób zhakowano chociażby konto Jacka Dorseya, CEO Twittera – w tym przypadku skończyło się na opublikowaniu kilku nieprzyjemnych informacji. Zdecydowanie mniej szczęścia miała giełda kryptowalut Binance, która straciła na skutek podobnego incydentu 7000 bitcoinów. Jedną z najczęściej stosowanych metod przez napastników jest tzw. SIM-swap. Oszuści zdobywają od operatora sieci komórkowej duplikat karty SIM z numerem telefonu ofiary i zanim ta się zorientuje i podejmie odpowiednie działania, uzyskują dostęp do jej konta bankowego. Innym sposobem jest instalacja na smartfonie malware’u, który podszywa się pod znane legalne programy i śledzi działania użytkownika, w tzw. międzyczasie przesyłając dane – w tym SMS-y – do urządzenia kontrolowanego przez hakera. Nieco trudniej jest pokonać zabezpieczenia biometryczne, ale niestety nie jest to niemożliwe.

Pokaż swoją twarz

Obecnie najczęściej stosowanym sposobem uwierzytelniania opartym na biometrii jest rozpoznawanie linii papilarnych. Wraz z debiutem iPhone’a X z funkcją Face ID znacznie wzrosła także popularność rozwiązań identyfikujących tożsamość na podstawie analizy twarzy. W modelu X kamera wyświetla ponad 30 tys. niewidzialnych punktów, tworząc mapę głębi twarzy osoby, którą następnie analizuje, jednocześnie rejestrując jej obraz w podczerwieni. Zdaniem ekspertów jest to rozwiązanie zaawansowane i trudne do sforsowania przez hakerów. 

Funkcja rozpoznawania twarzy znajduje zastosowanie nie tylko w smartfonach Apple’a czy Samsunga, ale również w wielu innych systemach identyfikacji. Co oczywiste, cyberprzestępcy nie zamierzają składać broni i podejmują działania, które mają na celu przechytrzenie mechanizmów służących do wykrywania tożsamości. Według Johna Spencera, dyrektora ds. strategii w Veridium, firmie zajmującej się identyfikacją biometryczną, aby sfałszować zdjęcie, wcale nie trzeba sięgać po zaawansowane oprogramowanie. Jednym z najczęstszych sposobów oszukania systemu identyfikacji twarzy jest wydrukowanie zdjęcia czyjejś facjaty i wycięcie oczu, a następne użycie fotki jako maski. Z kolei analitycy Experian przewidują, że oszuści będą coraz częściej tworzyć „twarze Frankensteina”, wykorzystując sztuczną inteligencję do łączenia cech twarzy różnych osób w celu stworzenia nowej tożsamości, aby w ten sposób oszukać systemy identyfikacji.

Zdaniem Pawła Rybczyka, Territory Managera CEE/CIS w Wallixie, wszystko wskazuje na to, że firmy zaczną zmierzać w kierunku wieloskładnikowego uwierzytelniania opartego na wykorzystaniu wielu różnych sensorów – czytników linii papilarnych, kamer, a także potwierdzaniu tożsamości w oparciu o analizę zachowania użytkownika. O sukcesie poszczególnych rozwiązań zadecydują dostępne narzędzia komercyjne oraz ich przewidywalność.

Zdaniem integratora

IAM: pierwszy krok w kierunku kontroli dostępu

Ostatnimi czasy działy IT znajdują się pod bardzo dużą presją. Z jednej strony wynika to ze zmasowanych cyberataków, zaś z drugiej, różnego rodzaju regulacji wymuszających na firmach oraz instytucjach specjalną ochronę danych. W takiej sytuacji ciężko jest polegać na ręcznych i podatnych na błędy procesach przypisywania i śledzenia uprawnień użytkowników. Z odsieczą przychodzą w tym przypadku rozwiązania do zarządzania tożsamością i dostępem IAM (Identity and Access Management). Ich zastosowanie pozwala kontrolować dostęp do krytycznych informacji. IAM oferuje możliwość pojedynczego logowania z dowolnego urządzenia, a także realizację mechanizmów uwierzytelniania dwuskładnikowego i wieloskładnikowego czy zarządzanie dostępem uprzywilejowanym. Technologie te zapewniają również możliwość bezpiecznego przechowywania danych dotyczących tożsamości i profilu. 

– Wdrożenie IAM wydaje się być zasadne, o ile wcześniej przeprowadzona zostanie segmentacja i inwentaryzacja zasobów. IAM to podstawa, od której należy rozpocząć planowanie i wdrażanie procesów związanych z granularną kontrolą dostępu – tłumaczy Piotr Bartman, System Engineer w Veracomp – Exclusive Networks. 

Wprawdzie wśród wielu informatyków panuje przekonanie, że IAM jest rozwiązaniem przeznaczonym dla dużych firm z zasobnym portfelem, ale w rzeczywistości technologia ta sprawdzi się w firmie każdej wielkości. Zresztą systemy do zarządzania tożsamością i dostępem mogą być oferowane w modelu subskrypcyjnym w dwóch odmianach – uwierzytelnianie jako usługa lub tożsamość jako usługa (IDaaS). W obu przypadkach usługodawca bierze na siebie ciężar uwierzytelniania i rejestracji użytkowników, a także zarządzania ich informacjami.

– W przypadku ograniczonych zasobów finansowych czy personalnych, outsourcing to zdecydowanie korzystna opcja. Dodatkowo mamy gwarancję bezstronności w zarządzaniu systemem wrażliwym dla organizacji, choć klient musi mieć kontrolę nad usługodawcą. Nie bez znaczenia jest doświadczenie dostawcy we wdrażaniu procedur czy w analizie procesów – przekonuje Rafał Barański, prezes zarządu braf.tech.

W modelu usługowym klient, poza rozwiązaniem informatycznym, dostaje dostęp do wiedzy eksperckiej na temat wdrażanego narzędzia. Gdyby chciał zapewnić sobie podobną jakość usługi we własnym zakresie, przy często ograniczonych zasobach wewnętrznych, wiązałoby się to z długim i kosztownym procesem. Tak czy inaczej, wraz z szybkim rozwojem i tempem cyfrowego biznesu, działy IT dostrzegają rosnące znaczenie IAM. Analitycy Gartnera przewidują, że wartość rynku zarządzania dostępem sięgnie 19 mld dol. w 2024 r., w porównaniu z 13,7 mld dol. w tym roku.

Administratorzy pod lupą

Administratorzy IT mają dostęp do najbardziej poufnych informacji, takich jak korespondencja e-mailowa, lista płac czy treści zawieranych umów. Poza tym mogą bez trudu dezaktywować zabezpieczenia IT – antywirusy, firewalle czy narzędzia do backupu. Niestety, zdarza się, że szerokie uprawnienia i możliwości ingerencji w infrastrukturę IT prowadzą do poważnych nadużyć. Chyba najbardziej spektakularny jest tutaj przykład Edwarda Snowdena, który ujawnił na łamach prasy kilkaset tysięcy poufnych, tajnych i ściśle tajnych dokumentów NSA. Podobne sytuacje, choć oczywiście na dużo mniejszą skalę, mają miejsce w wielu firmach oraz instytucjach.

Dlatego też firmy oraz instytucje wykazują rosnące zainteresowanie rozwiązaniami, które umożliwiają kontrolę nie tylko pracy administratorów, ale również firm świadczących outsourcing IT. Gartner zwraca na szczególną uwagę na rolę, jaką spełniają w tym zakresie systemy kontroli dostępu uprzywilejowanego PAM (Privileged Access Management). Zdaniem analityków tego typu narzędzia będą w ciągu najbliższych dwóch lat tematem numer jeden w sektorze bezpieczeństwa IT. Gartner na przykład prognozuje, że wielkość globalnego rynku systemów PAM osiągnie w 2024 r. wartość 2,9 mld dol., co stanowi wzrost o 50 proc. w porównaniu z rokiem 2018. W bieżącym roku ma to być 2,2 mld dol., co oznacza wzrost o 16 proc. w stosunku do roku poprzedniego.

PAM-y ułatwiają nadzór nad sesjami uprzywilejowanymi oraz monitorowanie i zarządzanie uprzywilejowanymi kontami. Najwięcej kłopotów mają z tym duże organizacje, które korzystają z wielu serwerów, komputerów i innych podobnych zasobów. Nic więc dziwnego, że mechanizmy PAM już od dłuższego czasu znajdują zastosowanie w instytucjach finansowych a także w przemyśle. Niewykluczone również, że w najbliższym czasie dołączą do tego grona nieco mniejsze podmioty gospodarcze. Przedsiębiorstwa świadczące outsourcing IT zazwyczaj mają dostęp do newralgicznych danych klienta. Gdyby doszło do kradzieży informacji, PAM odnotuje takie zdarzenie i dostarczy dowody dokonania przestępstwa, które będą niezwykle istotne podczas ewentualnej rozprawy sądowej.

– Wdrożenie PAM tylko w tym zakresie jest w naszym przypadku bardzo proste i nie zajmuje więcej niż jeden dzień roboczy. Uruchomienie rozwiązań IAM jest natomiast traktowane często jako drugi etap projektu dotyczącego zarządzania tożsamością w organizacji. Tego typu rozwiązania wymagają od klientów dużo więcej przygotowań – tłumaczy Paweł Rybczyk.  

Dostawcy systemów IAM czy PAM są na ogół zgodni, że istnieje już w Polsce grupa integratorów, którzy posiadają duże doświadczenie w zakresie wdrażania wymienionych produktów. Zresztą same mechanizmy funkcjonowania rozwiązań do zarządzania dostępem i tożsamością nie są zbyt zawiłe i nie stanowią bariery dla integratorów. O wiele trudniejszym zadaniem jest przekonanie klientów do inwestycji w PAM lub IAM. Może się to wydawać dziwne, zwłaszcza, że oba rozwiązania chronią dostęp do bardzo cennych informacji i nie bez przyczyny często mówi się o nich jako o najlepszej formie zabezpieczenia kluczy do królestwa IT.

Zdaniem specjalisty  

Piotr Bartman, System Engineer, Veracomp – Exclusive Networks   

W czasie pandemii zapotrzebowanie na mechanizmy uwierzytelniana wieloskładnikowego znacząco wzrosło. Wynikało to przede wszystkim z przejścia na pracę zdalną. Większa świadomość w zakresie nowoczesnych mechanizmów kontroli dostępu oraz łatwość ich wdrożenia sprawiły, że wiele firm zastosowało te technologie na potrzeby swoich pracowników. Nie zmienia to faktu, że w tym zakresie pozostało jeszcze wiele do zrobienia. Bankowość, ubezpieczenia, instytucje rządowe czy służby mundurowe to sektory, w których mechanizmy uwierzytelnienia wieloskładnikowego stały się standardem. Duże rezerwy tkwią nadal w rynku MŚP, gdzie większe znaczenie odgrywają koszty. W tym przypadku mechanizmy MFA są częściowo wdrażane, o ile wykorzystywane platformy bezpieczeństwa oferują tego typu możliwości.

  

Monika Olesiejuk, VP of Client Success, Digital Fingerprints  

Wszystkie rozwiązania oparte o biometrię są uważane za najbezpieczniejsze metody uwierzytelniania. Jednak bardziej wnikliwa analiza pokazuje, że z tym bezpieczeństwem nie jest wcale tak kolorowo. Wprawdzie nasze cechy biologiczne są niemal unikatowe, aczkolwiek da się je dość prosto odwzorować. Dla przykładu linie papilarne można zastąpić zdjęciem kciuka, tak samo jak naszą twarz – zwykłą fotografią. Kiedy już dojdzie do kradzieży tożsamości, to pojawia się ogromny problem, bo nie jesteśmy w stanie zmienić linii papilarnych czy tęczówki. Nieco inaczej sprawa wygląda przy biometrii behawioralnej, czyli wzorcach zachowań, które są analizowane pod kątem wszelkich uchybień i anomalii. Są one stale modyfikowane i dopracowywane za pomocą uczenia maszynowego i dostosowują się do zmian zgodnych z naszym zachowaniem.