فرصتهای جدید برای مدیران حفاظتی وجود دارد که کاربری روزانه را بهبود میبخشند
یکی از تحقیقات اخیر نشان میدهد که کاربران روزانهی سیستمها میگویند، بیشتر فناوری کنترل دسترسی که این روزها در حال استفاده هستند، آنگونه که بسیاری از مدیران حفاظتی تصور میکنند، ایمن و راحت نیستند. علاوه بر این، بر اساس پاسخهای بیش از 1600 مدیر، مجری، تحلیلگر و مدیر ارشد در تحقیقی که توسط گروه 05 انجام گرفت، مشخص شد که 22 درصد از سازمانها هیچ روشی برای کنترل دسترسی الکترونیکی به کار نمیبرند، در نتیجه این کسب و کارها بیش از پیش در معرض بروز حملات احتمالی خواهند بود. همچنین این تحقیق مشخص کرد که 58 درصد از پاسخدهندگان کارتهای دسترسی یا کارتهای هوشمند را به کار میبرند و 13 درصد آنان از کلیدهای fob، برچسبها یا توکنها برای کنترل دسترسی خود استفاده مینمایند. نزدیک به 8 درصد، روشهای دیگری مانند استفاده از بارکد، QR کد، اعتبار موبایل یا دسترسی بیومتریک را اتخاذ مینمایند. اما بخش اعظم این روشهای کنترل دسترسی از فناوری RFID با فرکانس پایین استفاده میکنند، که تهدیدات حفاظتی و امنیتی بسیار جدی را برای سازمانهایی دارد که هنوز آنها را به کار میبرند. این فناوری شاید برخی بازدیدکنندگان خود را به طور تصادفی بیرون کند، اما فشار حملات مکرر را نمیتواند متحمل شود. دنیل بیلین، معاون رئیس تولید و نوآوری در کسب و کار استراتژیک کمپانی HID Global در این مورد میگوید: «زمانی که هنوز رویداد بدی رخ نداده است، آسیبپذیریهای واقعی اغلب تنها به صورت تئوریک فهمیده میشوند». اما تهدیدات جدی و مهم میتواند از ایرادات و نقاط ضعف سیستم، فناوری و سیاستهای کاری برآید. این تحقیق دریافته که اگرچه کاربران روشها و قابلیتهای گستردهی کنترل دسترسی راحتتر را میپسندند، اما همچنان دانش و تمایل کافی پیرامون اهمیت برنامه و پروتکلهای امنیتی وجود ندارد. در نتیجه فرصت چشمگیری برای تهدیدات به وجود میآورد تا به حوادثی جدی تبدیل شوند و سازمان را نابود کنند. همچنین بسیاری از سازمانها آموزشهای لازم را به کارکنان نمیدهند؛ آموزشهایی که میتوانند برای مدیریت دسترسی کارکنان بسیار مفید و اثربخش باشند.
راحتی: چیزی که دارندگان اعتبار بیشتر طالب آن هستند
اگرچه مدیران حفاظت قبل از هر چیز نگران آن هستند تا تسهیلات و تجهیزات خود را با راهکارهای قدرتمند و سیاستها و رویکردهای حسابشده ایمن نگاه دارند، اما کاربران سیستمهای کنترل دسترسی خواستار راحتی در کار هستند.
اعتراض اصلی پاسخدهندگان در مورد سیستم کنترل دسترسی جدید سازمانشان آن است که مجبورند یک کارت یا fob را برای دسترسی به تسهیلات مجموعه با خود حمل کنند (44 درصد)، بعد از آن شکایت از نبود یکپارچه سازی با سایر فناوریهای به کار رفته در محل کار است (38 درصد). به عنوان مثال، بالغ بر نیمی از آنان مایلند اعتبارات خود را برای ورود به شبکه (50 درصد) و ورود به کامپیوتر شخصی شان (55 درصد) به کار ببرند تا به ابزارهایی که هر روز استفاده میکنند دسترسی مداوم داشته باشند. بهعلاوه، کاربران خواستار گزینههای اعتباری بیشتری هستند. اکثر کارمندان (68 درصد) علاقمندند تنها به وسیلهی تلفن همراه خود به تجهیزات سازمان دسترسی یابند. نزدیک به 74 درصد از کارکنان در حال حاضر تلفنهای همراهشان را برای مقاصد کاری خود استفاده میکنند. کاربران به همراه داشتن موبایلهای خود را به عنوان یک بار اضافی نمیدانند و در عوض آن را یک همراه مهم و ضروری برای خود تلقی میکنند. 78 درصد از افرادی که مایلند اعتبارات موبایل داشته باشند ترجیح میدهند این راهکار بهعنوان یکی از گزینههای انتخابی موجود برای آنان باشد، نه اینکه تنها راه برای ورود به ساختمان به حساب آید. در این مثال، گوشی و کارت به عنوان پشتیبانهایی برای یکدیگر عمل میکنند که گزینههای بیشتری به کارکنان میدهد تا بتوانند وارد ساختمان شوند. نکتهی جالب اینکه از نظر پاسخدهندگان، تلفن همراه یک راهکار رایج و مستقل نبود، چرا که 32 درصد از آنان تنها از سیستمهای تلفن همراه برای احراز هویت استفاده نمیکنند. به عبارت دیگر بسیاری از کارکنان گزینههای متعددی را برای احراز هویت به یک رویکرد واحد ترجیح میدهند؛ شیوهای که در تجهیزات کنترل دسترسی سنتی بیشتر به چشم میخورد. کاربران، خواستار کاربری آسان (77 درصد) و قابل اطمینان بودن (51 درصد) در سیستمهای کنترل دسترسی جدید سازمان خود هستند، پس از این دو مورد، حفاظت (40 درصد) از اهمیت بیشتری برخوردار میباشد. با این حال، راهکارهای کنترل دسترسی قدیمی، ریسک حفاظتی چشمگیری را به وجود میآورد که سازمان را به دست تندباد حملات احتمالی میسپارد. اما روشهایی برای مدیران حفاظتی طراحی و ارائه شده است که در کنار فراهم ساختن کاربری آسان برای کارکنان، حفاظت سازمان را نیز تقویت خواهد کرد.
امنیت
اگرچه بیشتر کارکنان به سیستمهای کنترل دسترسی سازمان خود اعتماد دارند (75 درصد)، اما مدارکی وجود دارد که ثابت میکند سیستمها در آن حدی که آنان میپندارند ایمن نیستند. در نمونههای بسیاری، این ایمنی ناکافی به دلیل اعتماد سازمان به فناوری کنترل دسترسی است که بسیار قدیمی بوده یا به روشی غیر ایمن راهاندازی شده است. یک نظرسنجی اخیر از سازمان بینالمللی ASIS دریافت که بالغ بر سه چهارم شرکتها به فناوری قدیمی وابسته هستند که نمیتواند استانداردهای حفاظتی جدید و مدرن را داشته باشد. این نظرسنجی مشخص کرد که پرکاربردترین سیستمها عبارتند از کارتهای مجاورتی با فرکانس پایین 125 کیلوهرتز (44 درصد) و کارتهای دارای نوار مغناطیسی (magstripe) (33 درصد). این سیستمهای قدیمی به حملات ابتدایی بهشدت آسیبپذیر هستند؛ چرا که اطلاعات و فناوریهایشان به صورت آنلاین در دسترس است. بسیاری از سازمانهااز فناوری خارج از رده و قدیمی استفاده مینمایند، فناوریهایی نظیر نسل اول محصولات RFID، که از یک آنتن و چیپ سادهای تشکیل شده و کد شناسایی اعتباری را ذخیره میکند. این محصولات هیچگونه قابلیت حفاظت دادهای همچون رمزگذاری ندارند. راهکارهای magstripe یا کارتهای دارای نوار مغناطیسی به افراد مزاحم مرزهای حفاظتی کمی ارائه میدهند. جزئیات فنی این کارتها که در دههی 1960 معرفی شد، بهخوبی ثبت شده و دادههای رمزگذاری شدهی آن کاملاً نا امن و غیر حفاظت شده است. چنین خدماتی مجرمان را قادر میسازند تا کپی این کارتها را تهیه نمایند. در حقیقت این فناوری بسیار از رده خارج است و بیش از صد سال است که در اروپا برای آن جایگزین ارائه کردهاند. برای اثبات محدودیتهای حفاظتی فناوری قدیمی magstripe میتوان گفت این فناوری اخیراً از ردهی کارتهای اعتباری خارج شده و به جای آن حفاظت کارت چیپ EMW با هدف جلوگیری از بروز تقلب طراحی شده است. مانند چیپ کارتهایی که برای پرداخت پول به کار میروند، کارتهای کنترل دسترسی مدرن نیز با استفاده از رمزگذاری کافی اما سریع، چیپهای سختافزاری ریزپردازندهی امن را برای محافظت از هویت کاربر به کار میبرد.
نتیجه گیری
کارکنان خواهان راحت بودن سیستم کنترل دسترسی سازمان هستند و همچنین ترجیح میدهند از یک ابزار استفاده کنند تا به خوبی با سایر فناوریهای مجموعه یکپارچهسازی شود. اما آنان یک هدف نهایی مشترک با مدیران حفاظتی نیز دارند (افزایش امنیت و حفاظت). به همین دلیل بیشتر سازمانها نباید در ارتقا و به روز رسانی تجهیزات قدیمی خود درنگ کنند. علاوه بر این، مدیران حفاظت باید رویکردهایی را برای آموزش کارکنان در کاربری سیستمهای کنترل دسترسی در سازمان پیادهسازی نمایند.