Anu-Leena Arola är försäljningschef på Idesco, den finska tillverkaren av RFID-läsare, transpondrar, kontroll- och pekskärmsenheter. Hon ser i den framväxande marknaden för mobil access många utmaningar som slutkunder och systemintegratörer måste hantera.
– Mobil access ger uppenbara bekvämlighetsfördelar, men det finns också ett dolt isberg av säkerhets- och integritetsförpliktelser under ytan med oundvikliga cybersäkerhetsimplikationer, säger hon.
Utbildning av systemintegratörer
Intresset för cybersäkerhet ökar och flera systemintegratörskunder har kontaktat Idesco för att få reda på vilken praxis kring cybersäkerhet som tillverkaren tillämpar vid sin produktion av passerkontrolläsare.
– Det har lett till att Idesco hållit i utbildningar för att de ska kunna säkra sin egen verksamhets digitala säkerhet och upprätta cybersäkerhetspolicyer och bättre informera sina kunder om konsekvenserna av deras projekt, berättar Anu-Leena Arola.
Frågor att ställa
Anu-Leena Arola menar att den hårt krypterade data som RFID-läsare tar emot är mer än ”början på historien”.
– Inte heller är det ömsesidiga autentiseringsberoendet av kort, taggar, telefoner och dörrläsare på delade digitala nycklar i närheten av historiens slut, tillägger hon.
– Även om dessa nycklar skyddar användardata som överförs trådlöst för RFID, NFC och BLE så finns många frågor att besvara för slutkunder och integratörer. Var arkiveras eller lagras nycklarna som hanterar kodning av nya taggar, kort eller läsare? I vilken plattform, applikation och bakom vilken kryptering kommer de att lagras? Är nyckelhanteringssystem robust brandväggsskyddade från internetåtkomst?
”Låser in” kunderna
Det är i dessa frågor som Idesco har agerat som ett utbildningsstöd. För även om integratörerna inser sin etiska skyldighet att diskutera nyckelhantering med befintliga och potentiella kunder så är det fortfarande ett komplext ämne, enligt Anu-Leena Arola.
– Särskilt som tillverkare av proprietära lösningar behåller de digitala nycklarna till sina sålda enheter för att ”låsa in” kunderna och säkra framtida beställningar, säger hon.
– Integratörer som levererar lösningar baserade på öppna standards inser därför att de måste diskutera nyckelhantering med sina kunder så att de förstår skillnaden och kan göra val där de inte behöver oroa sig för att bli inlåsta i proprietära lösningar.
Minimera antalet lagringsplattformar
Trots kunskap om säkerhetsaspekterna när det gäller nyckelhantering kan säkerheten fortfarande försummas.
– Vi påtalar vikten av att minimera antalet viktiga lagringsplattformar, oavsett om hanteringen är outsourcad eller lokal, vilket avspeglar hur säkerhetsansvariga strävar efter att begränsa användardata till sin enda systemplattform.
Hackvänlig Wiegand-teknik används fortfarande
Kablaget mellan läsaren och undercentralen försummas också ibland av slutanvändare, främst på grund av Wiegand-teknikens långa företräde inom passerkontroll. Över ett decennium efter att standarden för det öppna källkodsprotokollet OSDP skapades, håller många säkerhetsanläggningar kvar vid Wiegand, trots att det är välkänt att tekniken är lätthackad. Man tar risken för att man anser att kostnaden att migrera från Wiegand till RS-485 är för hög.
– Att ta en risk för att slippa kostnader är en sak, att göra det vanemässigt kan bli väldigt dyrköpt, kommenterar Anu-Leena Arola.
Unik säkerhetslösning
Att säker anti-skimming OSDP ger undercentralen dataströmmar är inte den enda fördelen.
– Eftersom det är oerhört viktigt för säkerhetsansvariga att säkra läsarens firmware har vi utvecklat och lanserat läsare för att acceptera OSDP-medierade filöverföringar, vilket möjliggör kryptering och sändning av firmware-uppdateringar och konfigurationsfiler till läsarna i säkerhetsanläggningen på plats, direkt från systemets host-server, säger Anu-Leena Arola och ger exempel på en allvarlig säkerhetsrisk som många slutkunder utsätts för.
– Vissa leverantörer av mobilaccess med etablerade molnplattformar använder användarkonton och lösenord för att förmedla autentiseringsuppgifter från användarnas telefoner. Sådan off-siting av användardata och lösenord är inte bara en ny riskfaktor för säkerhetsansvariga, utan innebär också en användarintegritetsdimension gentemot GDPR.
Säkra datan
Anu-Leena upprepar betydelsen att prioritera att minimera de olika plattformarna där användarinformation antingen passerar eller finns.
– Det är därför vi designade vår lösning för att minimera skalan och exponeringstiden för användardata i molnet, samtidigt som vi på ett robust sätt säkrar våra kunders autentiseringsuppgifter i användarnas telefoner, kommenterar hon.
Hur hanteras din data?
Avslutningsvis säger Anu-Leena Arola att den överordnade principen är att alltid veta vem som har tillgång till informationen, oavsett om det är personlig användardata, systemdata eller nycklar.
– Man måste ställa sig frågan ”vet du verkligen hur dina partners hanterar dina mest känsliga uppgifter?”. En verkligt robust riskbedömning måste alltid utgå från slutkundens svar på den frågan, säger Anu-Leena Arola och sammanfattar budskapet i en enda mening.
– Mobil access är bra om du vet vem som har din data och hur den hanteras.
Sverige
