Holly Sacks, pierwszy wiceprezes ds. marketingu i strategii firmy HID Global, przedstawia praktyczne zasady, których należy przestrzegać przy wyborze sprzętu i podczas instalacji systemów kontroli dostępu.
Wybór właściwego czytnika
Niezwykle ważne jest, aby z wielu dostępnych technologii czytników wybrać taką, która będzie we właściwy sposób równoważyć koszt i ryzyko z wygodą zastosowania czytnika. Technologia zbliżeniowa jest prawidłowym wyborem zwłaszcza tam, gdzie karty tego typu już są używane. Nowa generacja technologii zbliżeniowej, którą reprezentują bezdotykowe karty pamięciowe i czytniki takich kart, łączy wygodę użytkowania ze zwiększonym bezpieczeństwem, dodatkowymi funkcjami umożliwiającymi zapis i odczyt danych oraz zwiększoną pamięcią. Cechy te predysponują tę technologię do wykorzystania w różnych aplikacjach.
Jednakże przy wyborze konkretnego dostawcy należy mieć świadomość, że niektórzy producenci, chcąc osiągnąć swój cel, próbują sprzedawać „uniwersalne” czytniki kart, mogące czytać niemal każdą bezdotykową kartę pamięciową, pomijając jednocześnie ważną sprawę, jaką jest odpowiednie zabezpieczenie tych kart.
Czytniki te, znane jako czytniki CSN (Card Serial Number), odczytują tylko numer seryjny procesora karty, który, zgodnie z normami ISO, powinien być możliwy do odczytania przez każdy czytnik. Ponieważ specyfikacje ISO są ogólnie dostępne, szczegóły realizacji tego procesu mogą być wykorzystane przez nieznane osoby do uzyskania dostępu bez upoważnienia. Dlatego też znacznie bezpieczniejszym rozwiązaniem jest zastosowanie czytników odczytujących numer zapisany w sektorze pamięci zabezpieczonym hasłem. W takim przypadku w procesie odczytu weryfikowane jest najpierw hasło pomiędzy czytnikiem i kartą, a dopiero po uzyskaniu pozytywnego wyniku następuje odczyt danych.
Protokoły komunikacyjne
Po odczytaniu danych zawartych w pamięci karty czytniki kontroli dostępu zazwyczaj przesyłają je do innego urządzenia, np. kontrolera systemu, który decyduje, czy zezwolić na dostęp. Jeśli ta komunikacja odbywa się przewodowo, najpopularniejszym protokołem jest protokół Wieganda, ogólnie stosowany przez większość dostawców. Bardziej nowoczesne protokoły, takie jak RS485 i TCP/IP, oferują większe bezpieczeństwo. Producenci czytników i kontrolerów stosują je rzadziej, ale dla większego bezpieczeństwa przesyłanych danych należy wybierać czytniki i kontrolery z taki protokołami transmisji.
Ochrona okablowania
Instalowanie okablowania systemu bezpieczeństwa w kanałach kablowych sprawia, że trudniej jest złamać zabezpieczenie instalacji ze względu na trudności w identyfikacji właściwego przewodu. Dodatkowo pomocne jest wiązanie kilku przewodów przebiegających razem. Utrudnia to identyfikację właściwego zestawu kabli.
Należy unikać używania czytników z wbudowanymi złączami wtykowymi, które łatwo jest wymienić na czytniki nieautoryzowane. Bezpieczniejszym rozwiązaniem jest zastosowanie czytników z długimi, stałymi przewodami i złączenie przewodów poprzez lutowanie wewnątrz strefy chronionej.
Używanie śrub zabezpieczających
Należy używać śrub z zabezpieczeniem, dzięki którym do usunięcia czytnika wymagane są specjalne narzędzia. To sprawia, że czynność usuwania jest dłuższa i trudniejsza do zrealizowania, a także wzrasta prawdopodobieństwo, że próba sabotażu zostanie zauważona.
Dwustronna kontrola przejścia z funkcją antipassback
Zastosowanie dwustronnej kontroli przejścia (czytnik wejściowy i wyjściowy) umożliwia pełną kontrolę ruchu w obiekcie oraz szybką lokalizację osób. W połączeniu z funkcją antipassback kontrola ta zapobiega powtórnemu wejściu nieuprawnionej osoby do strefy dzięki użyciu tej samej karty oraz identyfikuje osoby, które bez uprawnień próbują szybko wejść „za plecami” osoby uprawnionej (ponieważ potem nie mogą wyjść z tej strefy).
Monitorowanie czytnika – druga linia obrony
Należy instalować czytniki z czujnikiem wykrywania sabotażu, który sygnalizuje usunięcie czytnika. Jeśli czytnik kontroluje ważną lokalizację, należy dodatkowo monitorować go przez kamerę. Wiele czytników może także co jakiś czas wysyłać do urządzenia kontrolującego komunikaty o prawidłowym działaniu, dzięki którym możliwe jest wykrycie usterek czytnika. Lepiej wiedzieć, że czytnik nie działa, zanim ktoś zgłosi, że nie może wejść.
Dodatkowe uwierzytelnienie
Używanie czytników z wbudowaną klawiaturą oznacza, że zgubione karty nie zostaną wykorzystane do wejścia na teren obiektu. W takim przypadku nie pomaga nawet wytworzenie duplikatu karty. Aktualnie najbardziej niezawodną i bezpieczną metodą identyfikacji użytkownika jest zastosowanie czytników biometrycznych, które mogą działać w połączeniu z czytnikami kart. Powinny one być wykorzystane w przypadku wejść na obszary wymagające wysokiego poziomu zabezpieczeń.
Dla wspólnych systemów fizycznej i logicznej kontroli dostępu można wykorzystać funkcję tzw. „geograficznego” lub rozległego monitoringu kart. Jeśli na przykład ktoś właśnie wszedł do obiektu znajdującego się w jednej lokalizacji, a następnie próbuje zalogować się do komputera znajdującego się w obiekcie w innej lokalizacji, to mamy do czynienia z problemem. Funkcja rozległego monitoringu ma zapobiegać problemom tego typu. Może też zapobiec próbie zalogowania się do komputera za pomocą karty, która nie została wcześniej odczytana przez czytnik fizycznej kontroli dostępu.
Pilnuj swojej karty
Aby zapobiec użyciu nielegalnych kart, które mogły zostać uzyskane w nieuczciwy sposób, stare karty powinny być natychmiast unieważniane, a ważne powinny być tylko te aktualnie wydane. Nie powinny istnieć „zapasowe” karty o nadanej wstępnej ważności, gotowe do użycia. Niektóre systemy kontroli dostępu mogą również generować komunikat inny niż „odmowa” w przypadku kart, które nie zostały wprowadzone do systemu. Wszelkie zgłaszane przez program nadzorczy systemu kontroli dostępu komunikaty o niewłaściwym formacie, niewłaściwych kodach obiektu lub spoza zakresu powinny być natychmiast zweryfikowane.
Zaleca się również używanie kart o zastrzeżonym formacie lub kart z formatem przypisanym wyłącznie do jednego obiektu. Karty o takich formatach jest trudniej uzyskać w nielegalny sposób w porównaniu do przemysłowego standardu otwartego 26-bitowego formatu Wiegand.
Przestrzeganie możliwie największej liczby tych praktycznych zasad i zwrócenie uwagi na stosowne poziomy bezpieczeństwa pozwoli zbudować system, który lepiej spełni zaprojektowane funkcje przy mniejszym prawdopodobieństwie złamania zabezpieczeń.
HID Global to godne zaufania źródło rozwiązań z zakresu zabezpieczania tożsamości dla milionów klientów na całym świecie. Rozpoznawalna dzięki wysokiej jakości, innowacyjnym projektom i przodownictwu technologicznemu firma HID Global dostarcza produktów dla firm OEM, integratorów systemów i twórców aplikacji. Działa na wielu rynkach – oferuje rozwiązania, które znajdują zastosowanie m.in. w fizycznej i logicznej kontroli dostępu, personalizacji kart, e-administracji, płatnościach bezgotówkowych oraz przemyśle i logistyce. Strona WWW: www.hidglobal.com.
HID Global
Zabezpieczenia 2/2010