2021-01-05

ID- och passerkontroll – Del 7 av 7

”Öppna passersystem är nödvändiga för ett säkert skydd”

Robert Jansson, försäljningschef på Stid Security.

Robert Jansson, försäljningschef på Stid Security.

Kärnan i det framväxande IoT-samhället är säker verifiering av identitet kopplat till behörighet. Det betyder också att säkerheten i företags och myndigheters system för passerkontroll blir allt viktigare. Är branschen redo för den utvecklingen?

– Ja, men vi måste inse att även passersystem ska baseras på öppna plattformar. Proprietära lösningar hämmar säkerheten, säger Robert Jansson, försäljningschef på Stid Security.

Med förflutet hos bland andra Assa Abloy och kortläsarföretaget HID har Robert Jansson lång erfarenhet av passerkontroll. Nu arbetar han för Stid, fransk utvecklare och en av världens största tillverkare av beröringsfria kortläsare. Han ansvarar för företagets försäljning i Norden och Östeuropa.

Stids kortläsare är alltid baserade på öppen teknik. Det är också något som Robert Jansson brinner för.

– Vi måste gå mot öppna system eftersom kraven på uppgraderbar säkerhet ökar. Men fortfarande lever den proprietära tekniken och de säkerhetsproblem som drabbar användarna kvar, säger han.

– Beställare av passersystem ska kunna välja läsare eller kortteknologi från en rad olika leverantörer så att de kan säkerställa sina behov av funktionalitet och säkerhet. Men så är det tyvärr inte idag.

Inbyggda problem

Företag och myndigheter runt om i världen spenderar miljoner varje år på passersystem.

Robert Jansson framhåller att kravspecifikationerna i anbudsdokument, vanligen skrivna av konsultföretag, ofta lämnar en del att önska.

– Ja, det blir inte alltid rätt. Min erfarenhet är att många av misstagen som görs faktiskt är inbyggda i systemen. Det gör dem extremt svåra att fixa när de väl är identifierade.

Robert Jansson tar ett exempel som handlar om den beröringsfria kort-teknologin Mifare Classic som använder Crypto-1, en äldre proprietär krypteringsalgoritm.

– När Mifare Classic lanserades visste alla i branschen dess svagheter. När några nederländska studenter år 2007 lyckades hacka teknologin kom det inte som någon överraskning.

– Men trots att hackningen skedde 2007 så är den här tekniken fortfarande ofta specifierad i svenska upphandlingsdokument för stat, kommuner och landsting. Det skrämmer mig, säger han.

Passersystemens arkitektur

Robert Jansson är övertygad om att öppna system är vägen till säker passerkontroll över tid.

– Enkelt uttryckt har passersystem en arkitektur i fyra nivåer: programvaran, kontrollenheten, läsaren och identitetsbäraren. Alla dessa delar behöver ibland uppgraderas och då ska det inte bara vara möjligt utan också enkelt, säger Robert Jansson.

– Ingen skulle acceptera att köpa en bil om man tvingades förbinda sig att alltid köpa drivmedel, däck och reservdelarna från samma leverantör. Men det är faktiskt det som sker när man väljer ett proprietärt passersystem.

Proprietära system

I proprietära system blir man inlåst och vid behov av uppgradering helt utelämnad till det som leverantörer erbjuder, både gällande säkerhet, kvalitet och pris.

– Ett passersystem har lång livstid och kraven på det förändras över tid. Med öppen teknik är systemet mer framtidssäkrat. Uppgraderingar gör att man kan anpassa systemet och möta nya krav och även nya hotbilder som kanske inte fanns när man först lät installera systemet, kommenterar Robert Jansson.

Uppdaterad säkerhet

När det gäller säkerhet är det inte risken för fysiska inbrott som oroar företag och myndigheter mest. Att drabbas av digitalt inbrott i sina system är en mycket mer kritisk faktor.

– De kriminellas verktygslåda är ständigt uppdaterad och ett system för passerkontroll måste kontinuerligt kunna täppa säkerhetshål för att möta dessa hot, säger Robert Jansson.

Så säkras passersystemet

Hur ska då passersystemet säkras?

– Allra först, använd inte användarnamn och lösenord för att logga in på ett säkerhetssystem. Det är en öppen dörr som bör stängas.

Som andra åtgärd tycker Robert Jansson att mjukvarusystemet ska framtidssäkras genom krav på att de kan fungera med minst tre olika passersystemsfabrikat och helst samtidigt.

– Utvecklingen och konkurrensen för att lagra, transportera och hantera data säkert utvecklas ständigt. Vid varje given tidpunkt bör man kunna använda det senaste och säkraste produktvalet.

Öppna källkoder

Den tredje åtgärden är att läsarna som ansluter till kontrollenheterna i ett passersystem hålls öppna, men på ett säkert sätt. Robert Jansson rekommenderar OSDP (listat av SIA) och SSCP (listat av SPAC) – två säkra protokoll med öppen källkod som idag används av de flesta tillverkarna. Protokollen tillhandahåller fjärruppdateringar som använder AES-kryptering, baserad på en öppen standard, för att skydda hela dataflödet från läsarna till kontrollenheterna.

Skydda ”nycklarna”

Slutligen gäller det att också att skydda ”nycklarna” – det vill säga datan som används för att identifiera en individ och ge access. Här rekommenderar Robert Jansson att man allra minst följer de vanliga kriterierna EAL5 + när det gäller nyckellagring av kringutrustning så som kortläsare. Ett alternativ är att använda så kallat “transparent mode” där inga nycklar lagras i läsarna, utan istället kommunicerar kryptokortet via läsaren transparent med kontrollenheten.

Robert Jansson har inga svårigheter att sammanfatta sitt budskap som han riktar mot slutanvändare.

– Öppna passersystem är nödvändiga för ett säkert skydd. Välj inte läsare som som låser in dig i proprietär teknik.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med SecurityUser.com.



Leverantörer
Ändra marknad
Till toppen av sidan
Stäng