Om digitalisering var/är det senaste paradigmskiftet inom passer och IDkontroll så är Internet of Things (IoT) det kommande. Och det har redan påbörjats, inte minst på konsumentmarknaden med en drös ”smarta” produkter som är online och en del av det smarta hemmet. Den marknaden drivs av bekvämlighet – det är smidigt att styra sina termostater, säkerhetskameror eller låsa upp dörrar från sin mobil.
Marknaden för företagssidan å andra drivs av effektivisering och möjlighet att spara pengar. Här blir enskilda detektorer och accessläsare kopplade direkt till nätet och tillträde kan styras momentant. Det är inte längre ett slutet separat system, det kan till exempel vara en separat batteridriven läsare som sitter på en container. I tillägg till detta ökar antalet uppkopplade sensorer av andra typer. Allt från att mäta och styra värme, flöde, belysning eller aktivitet.
Det har länge som ett led i digitaliseringsprocessen pratats om att säkra upp säkerhetssystemen med att kräva stark autentisering av användare och administratörer. Den stora utmaningen med IoT-perspektivet är att ”sakerna” som numera kommunicerar med systemen även måste kunna bevisa sin identitet på ett motsvarande sätt.
Fördelar med IoT-baserad ID- och passerkontroll:
- Möjlighet att införa kontroller på platser med begränsad uppkoppling och kraft (batteri)
- Ökad bekvämlighet för slutkunden
- Mycket mer detaljinformation – till exempel kontinuerlig minutinformation och statuskontroll
- Ger möjlighet att agera mer proaktivt
- Kostnadseffektivt – kräver färre servicebesök och är mer miljömässigt hållbart
- Större flexibilitet – enkelt att utfärda och ändra behörighet och behörighetsnivåer
- Möjlighet att utnyttja arbetsplatser mer effektivt när man via information vet var människor finns och var det är tomt
Risker och cybersäkerhet
Internet ställer nya krav på säkerhet och det gäller i ännu högre grad IoT. Ju fler saker och enheter som är uppkopplade, desto större blir säkerhetsutmaningarna. System och komponenter exponeras på ett annat sätt och fysisk och logisk access har kommit att flyta samman allt mer.
Datorers IT-säkerhet är relativt hög, men när det gäller olika smarta hemprodukter är säkerhetstänket nästan obefintligt. Även passersystem släpar efter, flera av de mest populära kortsystemen har hackats sedan länge men rekommenderas och säljs fortfarande.
Cybersäkerhet i praktiken
Det finns ett allt tydligare önskemål att tillverkare av säkerhetsprodukter redan från början ska ge varje produkt ett unikt ID baserat på PKI (Public Key Infrastructure). När det gäller IDkontroll har det blivit tydligt att endast användarnamn och lösenord inte är tillräckligt. Tvåfaktorsautentisering, som till exempel BankID – där det krävs två olika faktorer för att logga in: mobilapp och pinkod – har blivit allt vanligare.
En annan metod är adaptiv autentisering som innebär att omständigheterna avgör vad användaren behöver för att kunna logga in. Befinner sig användaren på kontoret kanske det bara krävs ett lösenord, men om det görs från en annan plats eller enhet så kan systemet kräva tvåfaktorsautentisering för att säkerställa att det inte är någon utomstående som försöker få åtkomst. En stark trend är även att säkerställa skyddet av priviligierade användares (administratörers) access och identiteter. Detta bör göras med ett säkert så kallat smart kort och att man inte tillåter användarnamn och lösenord i någon form för dessa.
Spårbarhet är ett nyckelord för ökad cybersäkerhet: genom att alla enheter och användare tilldelas unika ID kan säkerheten påtagligt förbättras och aktioner kan härledas och spåras både i realtid och i efterhand. Det bringar klarhet till vem som är ansvarig för vad, något som ofta kan vara en svaghet med IoT-system.
Kom-ihåg-lista
– För tillverkare, distributörer, systemleverantörer och slutkunder
Tillverkare:
- Säkerhet ska vara en grundläggande komponent redan vid designstadiet av en produkt eller tjänst och genom hela processen
- Överväg att förse alla enheter med någon form av transportidentitet (ID) redan från fabrik som det går att bygga vidare på
- Sluta tillverka läsare som bara hanterar gammal och sedan länge hackad teknologi, som till exempel EM och Mifare (classic)läsare
Distributörer:
- Våga ställ krav när det gäller standarder för kommunikation mellan kortläsare och uppåt för att säkra en kedja med krypterad kommunikation
- Sälj inte gamla system med kortläsare som inte är säkra
Systemleverantörer:
- Ta reda på vad slutkunderna verkligen behöver. Vilka funktioner gör verksamheten smidigare, säkrare och hur kan lösningen bidra till ökad lönsamhet?
- Paketera mobila appar säkert tillsammans med tvåfaktorsautentisering
- Paketera tjänster och gör en lämplig affärsmodell utifrån ovanstående
- Planera för säkerheten vid anslutningen av enheterna och vem som kommer åt informationen
- Installera inte ett säkerhetssystem som saknar säker accesshantering. Det kravet går att ställa på anläggningsinnehavaren/slutkunden
- Föreslå/kräv användning av tvåfaktorsautentisering och säkra loggar
- Välj tillverkare som uppfyller ovanstående
Slutkunder:
- Välj en framtidssäker ID¬ och passerkontrollösning med säkerhetstänk och migrationsmöjligheter
- Gör en riskanalys innan du köper en lösning
- Starkare identiteter ger bättre spårbarhet
- Säkerställ specifikt skyddet av priviligierade användares (administratörers) access och identiteter (med smarta kort).
- Använd PKI (Public Key Infrastructure) eller flera lager av säkerhet för att säkra identiteter – det är mycket bättre än lösenord
- Med signerade loggar (som till exempel visar vem som gav vem behörighet vid ett visst tillfälle) blir det svårt att ifrågasätta att något ägt rum och vem som har ansvaret för det inträffade
- Undvik manuella processer för access – det bör ske dynamiskt och automatiserat till exempel när en anställd slutar och dennes behörighet/access ska tas bort
Informationskälla:
SecurityUser.com har tagit hjälp av expertis från Nexus – marknadsledare inom PKI och identitetshantering – för att producera och kvalitetssäkra innehållet i ovanstående artikel
Sverige
