Kontrola fizycznego dostępu to dzisiaj znacznie więcej niż nadawanie uprawnień dostępu do poszczególnych pomieszczeń. O cyberbezpieczeństwie rozmawiamy z Wesleyem Keegstrą, kierownikiem ds. integracji w firmie Nedap Security Management. Wyjaśniamy także, dlaczego cyberbezpieczeństwo stanowi istotną, choć często nieuświadamianą potrzebę ochrony systemów kontroli dostępu fizycznego.
Wiele nowoczesnych systemów kontroli dostępu fizycznego jest opartych na protokole IP i obsługiwanych przez inteligentne oprogramowanie, umożliwiając przetwarzanie ogromnych ilości danych. Zapewnia to większą funkcjonalność, elastyczność i skalowalność oraz możliwości integracji z innymi systemami (interoperacyjność). Oznacza to również, że systemy KD stanowią część firmowej sieci IT, więc należy je chronić i aktualizować – tak jak pozostałe systemy infrastruktury IT.
Wiele przedsiębiorstw wciąż nie zadbało o cyberbezpieczeństwo swoich systemów kontroli dostępu fizycznego opartych na IP. Co pana zdaniem jest przyczyną takiego stanu?
Myślę, że dużą rolę odgrywa tu brak świadomości. Bezpieczeństwo fizycznego dostępu dotyczy czegoś, co można zobaczyć i czego można dotknąć, a więc łatwiej je zrozumieć czy uzasadnić. Cyberbezpieczeństwo jest równie ważne, a cyberataki są bardziej wyrafinowane. Brak cyberzabezpieczeń systemu KD opartego na IP jest jak pozostawienie szeroko otwartych drzwi. A jeśli zostawiamy otwarte tylne drzwi, inwestowanie czasu i pieniędzy w fizyczne zabezpieczenia obiektu nie ma sensu.
W jaki sposób cyberprzestępcy mogą naruszyć systemy kontroli dostępu fizycznego?
Cyberprzestępczość ma wiele form. Może polegać np. na nieuprawnionym pobieraniu danych lub manipulowaniu danymi przesyłanymi pomiędzy urządzeniami systemu kontroli dostępu, m.in. w celu ujawnienia, które osoby mają dostęp i w jakim miejscu. Może to być także gromadzenie danych z kart dostępu, a następnie ich kopiowanie lub klonowanie.
Idąc krok dalej, cyberprzestępcy mogą ukraść czyjeś dane uwierzytelniające, aby zalogować się do oprogramowania systemu KD. Po zalogowaniu mogą udzielić nieautoryzowanego dostępu do wszelkiego rodzaju drzwi i pomieszczeń. Uzyskując dostęp do firmowej bazy danych, mogą manipulować zapisami zdarzeń lub nawet usunąć zapisy świadczące o działaniach wykonanych przez nich lub przez inne osoby.
Urządzenia systemu kontroli dostępu oparte na sieci IP współpracują z różnymi urządzeniami sieciowymi innych systemów, zatem ważne, aby każde z nich było chronione przed cyberatakami – chodzi tu zarówno o czytniki, sterowniki, kamery, jak i wiele innych urządzeń. Jakie mogą być konsekwencje cyberataku?
Skutki mogą być różne. Najbardziej oczywistym jest możliwość uzyskania fizycznego dostępu do mienia i dokonanie jego kradzieży lub nawet aktów terroryzmu. Cyberprzestępca może też – zdalnie lub uzyskując dostęp do obiektu – wykraść gromadzone i przetwarzane dane. Mogą to być informacje niejawne, takie jak dane dotyczące produktu, które w przypadku wycieku mogą zapewnić przewagę konkurentom. Cyberprzestępca może również wykraść dane osobowe lub finansowe, a to narazi administratora danych na wysokie, w zależności od branży i kraju, kary.
Naprawa skutków cyberataku i przywrócenie funkcjonalności systemów często wiąże się z kosztami. Jeśli przedsiębiorstwo nie może funkcjonować wskutek awarii systemu informatycznego, trzeba się liczyć z dodatkowymi kosztami. Cyberataki mogą również zaszkodzić reputacji firmy, a to prowadzi do strat finansowych i wpływa na rozwój i stabilność działalności. Podsumowując, w kwestii cyberbezpieczeństwa należy dmuchać na zimne.
W jaki sposób firmy mogą chronić swoje systemy kontroli dostępu fizycznego przed cyberprzestępcami?
Nikt nie może powiedzieć, że coś jest cyberbezpieczne w 100%, ale zdecydowanie lepiej zapobiegać niż leczyć. Najważniejsze kwestie to zapewnienie cyberochrony zarówno urządzeń i oprogramowania do kontroli dostępu, jak i nośników danych oraz sposobu uzyskiwania dostępu do przesyłanych informacji – nie tylko w obrębie jednego budynku, lecz także całego kraju czy na poziomie międzynarodowym.
Bardzo istotne jest wprowadzenie jasnych zasad bezpiecznego korzystania z systemów kontroli dostępu fizycznego i bezpiecznego zarządzania nimi. Powinny one obejmować elementy cyberbezpieczeństwa i wymagać korzystania z silnych haseł, zmienianych po upływie określonej liczby dni. Należy także opracować politykę bezpieczeństwa dotyczącą innych urządzeń bazujących na IP, takich jak kamery, pamiętając, że o wytrzymałości całego łańcucha decyduje jego najsłabsze ogniwo.
Pracownicy powinni zostać przeszkoleni w zakresie cyberbezpieczeństwa, aby zastosowane środki nie okazały się nieskuteczne w wyniku braku wiedzy i nieodpowiedzialnego zachowania ludzi.
Czy każda organizacja potrzebuje takiego samego poziomu cyberbezpieczeństwa?
Wymagania w zakresie cyberbezpieczeństwa mogą się różnić w zależności od branży i konkretnego przedsiębiorstwa lub organizacji. Cyberbezpieczeństwo wymaga zasobów i inwestycji, więc ważne jest to, aby odpowiednio je dopasować do sytuacji firmy.
Oferowany przez firmę Nedap system kontroli dostępu AEOS zapewnia użytkownikowi kontrolę nad cyberbezpieczeństwem, umożliwiając podejmowanie decyzji, co należy zabezpieczyć i na jakim poziomie. Można zabezpieczyć np. karty, czytniki kart, kontrolery (centrale systemu KD) i bazy danych. Możliwe jest także zabezpieczenie dostępu do interfejsu użytkownika AEOS i szyfrowanie komunikacji między poszczególnymi komponentami systemu – to, co zabezpieczysz, zależy wyłącznie od ciebie. Gdy cyberbezpieczeństwo stanie się coraz ważniejsze dla organizacji, będziesz w stanie podnieść poziom ochrony w systemie AEOS.
Więcej o cyberbezpieczeństwie i systemie AEOS znajdziesz na
www.nedapsecurity.com/pl/.
Nedap Security Management
al. Niepodległości 18
02-653 Warszawa
www.nedapsecurity.com/pl/
