Активные меры предупреждения угроз, связанных со взломом бесконтактных карт

Вызывает ли возможность клонирования бесконтактной карты, используемой в охраняемом учреждении, реальную вероятность проникновения на другие объекты путем использования дубликата карты? Хотя дать однозначный ответ на данный вопрос очень трудно, такую вероятность не следует отметать. Конечные пользователи часто расширяют свои корпоративные платформы, используя для этого устройства, с элементами, уязвимыми для атак потенциальных хакеров.

Во многих системах безопасности до сих пор используются технологии карт с магнитной полосой, несмотря на сопряженные с ними очевидные риски. Стандартные кредитные карты представляют собой легкую мишень для злоумышленников, занимающихся клонированием карт, и тем не менее они широко применяются экономике и торговле. Установщикам систем безопасности следует консультироваться с конечными пользователями относительно того, какой уровень физической безопасности они рассчитывают получить, учитывая при этом такие функциональные характеристики, как простота использования, рентабельность и др.

Угроза клонирования бесконтактных карт появилась в начале 2000-х годов, когда хакерами создавались простые самодельные клонирующие устройства, считывающие карту доступа (при этом для выполнения корректного считывания данных было необходимо, чтобы бесконтактная карта находилась на близком расстоянии от считывающего устройства). В реальных условиях злоумышленнику необходимо было точно знать, где человек обычно носит карту доступа.

Например, если карта хранилась в кармане пиджака, злоумышленнику приходилось подносить клонирующее устройство на расстояние нескольких дюймов от кармана, - едва ли идеальный сценарий для незаметного считывания карты. Зачастую сотрудники носят свои карты на шее или прикрепляют к рубашкам, - разве сможет в таком случае злоумышленник незаметно выполнить их считывание?

Любая организация, понимающая принципы управления рисками, знает, что система контроля доступа является лишь частью в общем комплексе мер по обеспечению безопасности. Для предотвращения считывания данных карт доступа злоумышленниками на предприятиях следует:

• следить за тем, чтобы карты сотрудников, которые более не работают на предприятии, становились недействительными;
• призывать сотрудников не держать свои карты на виду у посторонних лиц, когда они находятся не на работе;
• настоятельно рекомендовать системным администраторам устанавливать коды для доступа в помещения на всех платформах;
• призывать конечных пользователей следить за номерами карт и избегать их дублирования;
• пресекать проходы через пункты пропуска «гуськом», когда один сотрудник использует свою карту для доступа на объект, а остальные входят вслед за ним без использования своих собственных карт.

Дополнительные шаги на этапе авторизации повышают степень безопасности системы

Хотя производители неустанно ведут борьбу с хакерами, постоянно дорабатывая и совершенствуя элементы защиты бесконтактных карт, на рынке появились новые и сопряженные с более высокими затратами стандарты, такие как стандарты FIPS (Федеральные стандарты обработки информации). Поначалу использовавшийся в государственных организациях и быстро распространившийся на организации с инфраструктурой, требующей применения усиленных мер безопасности, данный стандарт продолжает развиваться, используя для проверки достоверности карт услуги независимых сертифицирующих компаний. В данной новой модели сертифицирования повышенной надежности карты клиентов проверяются на достоверность третьей стороной, вследствие чего стоимость базовых карт для конечных пользователей может резко возрасти.

Основополагающим правилом оценки риска в секторе безопасности является то, что предлагаемые решения должны быть соразмерны уровню риска. Пользователи систем управления доступом с бесконтактными картами прошлого поколения могут счесть вероятность клонирования карт доступа незначительной и, как следствие, будут убеждены в безопасности охраняемых объектов.

Для тех пользователей, которые хотели бы ввести дополнительные меры защиты, переход на простой процесс авторизации в два шага может стать решением, которое еще более усложнит клонирование карт для потенциальных злоумышленников. Пример такого решения может предусматривать установку на входах, расположенных по периметру охраняемого объекта, считывающих устройств с клавиатурой, на которых пользователю требовалось бы ввести PIN-код для получения доступа на объект. Следующим шагом, который обеспечил бы тройную степень безопасности особо важных объектов, может стать биометрическая идентификация (таким образом, для авторизации будут использоваться три элемента: (1) что-то, что находится во владении сотрудника (карта), (2) что-то, что знает сотрудник (PIN-код), и (3) что-то, что является уникальным для этого сотрудника (отпечатки пальцев, характеристики радужной оболочки глаза (считываемые при ее сканировании) и т.д.).

В случаях, когда требуется еще более высокая степень безопасности, в качестве альтернативного решения могут применяться умные карты. При надлежащем использовании умные карты практически невозможно скопировать.

Эффективное использование технологии умных карт должно включать в себя взаимную аутентификацию и техники шифрования, а также хранение идентификационных данных на участках карты, защищенных криптографическими ключами.

Совокупное использование процессов авторизации и устройств физической безопасности позволяет создавать такой подход к обеспечению защиты объекта, который заметно усложняет взлом систем безопасности и несанкционированный доступ на объект. Установщикам систем безопасности и их клиентам следует знать обо всех рисках, связанных со сферой их деятельности и объектами, охрану которых они хотят обеспечить, а также быть оснащенными высокоуровневыми технологиями аутентификации, которые обеспечивали бы защиту от этих угроз.

Боб СТОКВЭЛЛ
Опубликовано в журнале ТЗ № 4 2015