Als professionele organisatie beschik je natuurlijk over een gedegen toegangscontrolesysteem – al jaren. Maar juist in die laatste toevoeging zit de angel. Want wordt er nog steeds gebruik gemaakt van technologie uit 2015? Dan moet je als overheidsinstelling of bedrijf je realiseren dat die in 2025 wellicht niet meer voldoet.
Door Peter Passenier / Eigen foto’s
Stel, een buitenlandse spion is van plan binnen te dringen in een locatie van een overheidsinstelling. Op het eerste gezicht lijkt dat een pittige opgave, want alle toegangen worden afgeschermd met een EM4200-paslezer. Maar helaas, via een obscure webwinkel heeft de man de hand gelegd op een kopieerapparaatje dat die pasjes kan dupliceren. Daarmee kan hij de code van de oude paslezer uitlezen en op een blanco pasje zetten. Dat geeft hem een passe-partout.
Wees gerust, het voorbeeld is fictief – maar heel onwaarschijnlijk is het niet. Luister naar Robert-Paul Groenewegen, consultant bij installatiebedrijf Hillsafety “Wij hebben ooit zo’n reader in China besteld, en we slaagden erin om zo’n oude pas te dupliceren binnen 5 seconden. Dat werkt als volgt: de aanvaller heeft een kopieerapparaatje dat zendt op de juiste frequentie. Dat apparaat kan het signaal uitlezen zodra de pas in de buurt komt – bijvoorbeeld als de betreffende medewerker hem even uitleent, of zelfs wanneer die naast de aanvaller staat in een drukke lift. Die aanvaller slaat die code op, en vervolgens wordt die geprogrammeerd op een blanco pasje. De gevolgen zijn niet te overzien.”
Onderschatting
Een belangrijke boodschap dus voor werkgevers en gebouweigenaren, want die willen het probleem volgens Groenewegen nogal eens onderschatten. “Mensen zien zo’n toegangscontrolesysteem en denken: alles is in orde, want dit werkt al jaren. Maar wat ze vergeten, is dat dergelijke systemen onderhevig zijn aan een uiterste houdbaarheid. Je kunt het vergelijken met een sleutelplan. Jij denkt misschien dat je huissleutel niet valt te kopiëren, maar die beveiliging werkt alleen zolang het certificaat nog niet is verlopen. Zodra dat wel gebeurt, kan iedereen die sleutel bij de eerste de beste sleutelmaker laten dupliceren.”
Werkgevers en gebouweigenaren zouden eens kritisch moeten kijken naar de pasjes, paslezers en de infrastructuur eromheen
Anders gezegd: werkgevers en gebouweigenaren zouden eens kritisch moeten kijken naar de pasjes, paslezers en de infrastructuur eromheen. Want volgens Groenewegen zijn er nog veel systemen in omloop die zijn gebaseerd op Proximity-B- of HITAG-2-protocol. “Ooit voldeed dat prima, want als een kwaadwillende probeerde ze te omzeilen, kon dat alleen met ingewikkelde en peperdure hardware. Nu zie je kleine, draagbare scanners en programmeerapparaten gewoon te koop op internet. Bovendien zien we de laatste jaren een enorme toename van de rekenkracht van computers en zelfs smartphones. De versleuteling die aan het begin van de 21ste eeuw nog veilig was, is nu absoluut onvoldoende. Het encryptieniveau is veel te laag, de codes zijn veel te simpel.
Niemand voelt zich verantwoordelijk
En dat zit nog niet bij iedereen tussen de oren. “Juist als zo’n systeem vijftien jaar geleden is aangelegd, zullen mensen niet zo snel in actie komen”, zegt Han Kalkman, directeur van Hillsafety. “Pas als er een incident plaatsvindt, wordt er extra budget vrijgemaakt. Logisch, want wat je niet ziet, zul je niet zomaar oplossen. Daar komt nog bij dat niemand zich voor zo’n werkend systeem verantwoordelijk voelt. De securitymanager denkt dat IT het wel oppakt, IT vindt dat het de verantwoordelijkheid is van facilitymanagement, en de facilitair manager heeft weer andere prioriteiten.”
Eenvoudige oplossing
En dat terwijl de oplossing relatief eenvoudig is: Open Supervised Device Protocol (OSDP). Dat zorgt voor een hoger encryptieniveau, maar volgens Groenenwegen is dat niet alles.
“Met OSDP krijg je een betere samenwerking tussen de pas, de lezer en de controller in een beveiligde ruimte, met een versleuteld kanaal. Dan heb je niet alleen een goede sleutel, maar ook een veilige brievenbus en een kluis waar je de inhoud in bewaart. Die ‘veilige brievenbus’ moet je zien als de paslezer die aan de buitenkant niet langer de ultieme beslissingsbevoegdheid heeft: de beslislogica vindt binnen plaats, in een afgesloten controlkast of serverruimte.”
Nauwelijks duurder
Mogelijk maken securitymanagers zich nu zorgen over hoge kosten, maar dat is volgens Groenewegen niet terecht. “Zo’n oude lezer is nauwelijks goedkoper dan een moderne, met een systeem als DESFire EV3-encryptie. Met die laatste optie krijg je bovendien een systeem dat veel moeilijker te hacken is en ook nog eens veel langer meegaat. Als je dan ook nog bedenkt dat de kosten van een paslezer maar een fractie vormen van de totale investering – inclusief bekabeling, installatie, deuren, controllers in de back-end – dan heb je als organisatie geen enkele reden om het te laten afweten.”
> LEES OOK: Toegang op basis van biometrische gegevens. Wat mag wel en wat niet?
Onderscheid tussen toegangscontrole en toegangsverlening
Moet jouw organisatie zich dus zorgen maken over een oud toegangscontrolesysteem? Dat ligt eraan, zegt Kalkman. “Je moet namelijk onderscheid maken tussen toegangscontrole en toegangsverlening. Dat laatste, toegangsverlening, kun je vergelijken met een klassieke sleutel: daarmee kun je de deur openen, maar er zitten geen extra toeters en bellen op. Je kunt niet bijhouden wie er op welk tijdstip naar binnen is geweest en via welke deur. En als iemand tien keer een poging doet om ergens toegang te krijgen terwijl hij daar geen rechten toe heeft, wordt dat niet geregistreerd. Bij toegangscontrole gebeurt dat wel.”
Bovendien kan zo’n hoogwaardig toegangscontrolesysteem nog extra functionaliteiten bieden, zoals het vierogenprincipe. “Bij sommige laboratoria of kluizen mag een medewerker alleen naar binnen onder supervisie van een leidinggevende”, vertelt Kalkman. Als die leidinggevende zich niet heeft aangemeld, blijft de deur dicht.
Antipassback
Een variant hierop is antipassback: het systeem controleert dan niet alleen wie er naar binnen gaat, maar ook wie de ruimte weer verlaat. Daarmee voorkom je dat iemand zijn pas gebruikt om tien collega’s of handlangers naar binnen te loodsen.” Dat laatste systeem is veel slimmer, maar je hebt het pas nodig als je werkt met heel gevoelige data. “Bij een farmaceutisch bedrijf, een energiecentrale of een overheidsinstantie is zo’n hoogwaardig systeem wel aan te raden. Maar in een zwembad of een uitgeverij volstaat een eenvoudig systeem soms prima.”
Tips
Streef je naar een veilige en betrouwbare toegangscontrole? Dan is het belangrijk dat je kiest voor de kwaliteit van BORG-gecertificeerde bedrijven. Volgens Kalkman voldoen die namelijk aan strenge eisen op het gebied van installatie en onderhoud van beveiligingssystemen. “Daarmee bieden zij een extra garantie op betrouwbaarheid. Daarbij helpen opleidingen zoals die voor projecteringsdeskundige elektronisch toegangsbeheer (PD-ETB) om de expertise in de sector verder te vergroten. En dankzij Techniek Nederland, dat samenwerkt met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), worden innovatie en kwaliteit binnen safety en security continu bevorderd.”
> LEES OOK: Security Management nummer 1 over Toegangscontrole
Cloudgebaseerde oplossingen voor updates
Niet alleen je apparatuur kan verouderen. Volgens Groenewegen geldt hetzelfde voor de software. “Vergelijk het met je telefoon: die krijgt om de haverklap security- updates. Voor toegangscontrole gebeurt dat vaak niet of nauwelijks. Daardoor kunnen zwakke plekken jarenlang onopgemerkt blijven, en loop je het risico dat iemand op afstand je systeem kan hacken via een beveiligingslek in de software. Gelukkig zien we tegenwoordig steeds meer cloudgebaseerde oplossingen waar fabrikanten automatisch firmware-updates doorvoeren. Dan heb je zelf veel minder omkijken naar nieuwe bedreigingen.”
Volg Security Management op LinkedIn
