Почему мобильный доступ более безопасен, чем карточные решения?

Использование мобильных телефонов в качестве учетных данных для контроля доступа — многозначащая тенденция на рынке, которая постепенно внедряется среди новых технологий. Так, аналитическая компания Gartner предсказала, что к 2020 году каждая пятая организация будет использовать смартфоны вместо традиционных ключей доступа (карточки, радиобрелки) для пропуска в офисы и другие помещения.

Тем не менее, эта информация поступает непосредственно за основополагающей задачей последних нескольких лет, ориентированной на пользователей, чтобы гарантировать безопасность решений контроля доступа на основе смарт-карт. К примеру, в США Федеральная торговая комиссия (FTC) решила возложить на деловое сообщество обязательства за неосуществление должной практики кибербезопасности и подает иски против тех, кто этого не делает. Другие международные правительственные и правоохранительные органы поступают аналогично. Безопасность и защита стали главными проблемами.

Исследователи компании Gartner заявляют, что замена традиционных ключей доступа на смартфоны обеспечивает весомое снижение затрат и массу преимуществ для пользователей. Эксперты рекомендуют, чтобы менеджеры по безопасности и рискам работали в тесном контакте с группами физической безопасности, для тщательной оценки взаимодействия с пользователями и полной стоимости владения преимуществами использования учетных данных доступа на смартфонах, для замены текущих физических карт.

Таким образом, по мере того, как компании учатся защищать “карточные” системы для контроля доступа, появляются учетные данные для мобильного доступа и сопутствующие считыватели, которые используют смартфоны вместо карточек в качестве средства передачи идентификационной информации. Некоторые компании считают, что с физическими ключами доступа они в большей безопасности, и не уверены, что мобильный доступ может быть безопасным вариантом, даже несмотря на то, что у смартфонов включены и другие дополнительные функции Также утверждается, что учетные данные на основе телефона не подходят для правительственных учреждений.

Главная проблема

Легко детализировать, как и почему мобильный доступ безопаснее. Но, прежде чем это сделать, нужно понять, что проблема далеко не в самих инновациях. А то, как индустрия пытается преобразовать старое решение в новое. Например, одно из препятствий для полного внедрения заключается в ограничениях конкретных смартфонов, поскольку разные бренды и модели наделены разными функциями. Это означает, что могут потребоваться обновления для гарантии, что все сотрудники, авторизованные для доступа в выбранную зону, могут это осуществить.

Но даже не это главная проблема, с которой приходится сталкиваться в плане безопасности мобильных учетных данных. Некоторые компании, разрабатывающие СКУД, пытаются внедрить текущие предложения в новые мобильные решения, без надлежащей защиты от несанкционированного доступа.

Итог — мобильное решение должно быть спроектировано таким образом, чтобы быть полноценной системой, а не поспешно созданным вариантом старой технологии считывателей бесконтактных карт. Да, инновация должна работать в сочетании с карточным решением, но это не должно быть смещением.

Учетные данные смартфона более безопасны

Что касается безопасности, смартфон, по определению, считается многофакторным решением. Контроль доступа аутентифицирует пользователя следующими тремя способами:

• Распознает то, что у него есть (RFID-карта или метка);
• Распознает то, что он знает (пароль);
• Узнает, кто он есть (биометрия);

Смартфон имеет все три параметра аутентификации — что уже является многофакторным решением. Легко убедиться, что учетные данные мобильного устройства остаются защищенными параметрами безопасности, такими как биометрические данные и PIN-коды. После ввода PIN-кода или пароля для доступа к телефону, пользователь автоматически настраивает двухфакторную проверку контроля доступа.

Стоит отметить, что никто не может иметь доступ к учетным данным, без доступа к телефону. Если смартфон не работает — учетные данные тоже, как и другие приложения на телефоне.

Телефон должен быть «включен и разблокирован». Эти два фактора — доступность и встроенная многофакторная проверка безопасности, по которым организации хотят использовать смартфоны в будущих реализациях электронного контроля доступа.

Кроме того, после установки мобильного удостоверения на смартфон, его нельзя переустановить на другом устройстве. Так, по аналогии с картой: если смартфон потерян, поврежден или украден, процесс должен быть таким же, как и с традиционными учетными данными физического доступа. Устройство следует немедленно деактивировать в программном обеспечении для управления доступом — с новыми учетными данными, выданными в качестве замены.

Именитые контроллеры со считывателями для смартфонов дополнительно используют симметричное шифрование Advanced Encryption Standard (AES) при передаче данных. Поскольку сертифицированный стандарт компьютерного интерфейса Common Criteria EAS5 + обеспечивает повышенную аппаратную кибербезопасность, эти устройства противостоят атакам скимминга, прослушивания и воспроизведения.

Когда новая мобильная технология использует открытый протокол контролируемых устройств (OSDP) Ассоциации индустрии безопасности (SIA), она также будет легко интегрироваться с другими панелями управления безопасностью, способствуя защищенному двунаправленному взаимодействию между устройствами.

Аналогичным образом, новые программные решения не требуют раскрытия конфиденциальных личных данных конечного пользователя. Все, что нужно для активации новых мобильных предложений, — это номер телефона смартфона.

Однако, здесь есть предостережение. Некоторые устаревшие системы требуют использования внутренних учетных записей портала. Помимо того, что эти порталы наполнены кэшами конфиденциальных данных конечных пользователей и являются целью хакеров, они могут содержать скрытые платежи. Поэтому лучше избегать этого.

В качестве альтернативы, в случаях, когда соблюдение правил в отношении данных играет конкретную роль, учетные данные могут быть надежно предоставлены через общий доступ к файлам предприятия. После получения, учетные данные вводятся в программное обеспечение системы контроля доступа, как и прежде.

Наконец, можно выдать сертификаты регистрационных ключей сотрудникам для отдельных мобильных учетных данных. Это легко и исключает ошибки. К тому же, подписка или лицензионные сборы не требуется.

Установка также не представляет сложности и безопасна. Сначала пользователи заходят в Apple App Store или Google Play, загружают приложение кошелька и регистрируют устройство. Чтобы добавить учетные данные, нужно отсканировать QR-код или ввести 16-значный пароль, указанный в сертификате регистрационного ключа. Мобильная загрузка учетных данных обеспечивается с помощью нескольких слоев шифрования. Кроме того, эти учетные данные нелегко обнаружить при хранении в файловой системе мобильного телефона, поскольку каждый из них персонально зашифрован.

Реализации на базе смартфонов нового поколения снижают затраты на установку

Это не всегда было правдой. Некоторые мобильные средства вынуждают пользователя регистрировать себя и интеграторов для каждого приложения. Доступ к двери — регистрация, доступ к парковке — регистрация, доступ к данным — регистрация снова. И каждый раз требуется раскрытие конфиденциальной личной информации.

Современные же решения предоставляют упрощенный способ распространения учетных данных с помощью функций, которые дают пользователю зарегистрировать телефон только один раз и не требуют других учетных записей, функций активации или скрытых платежей. Пользователям не нужно заполнять несколько разных форм.

Наконец, пользователи могут заказать и установить мобильный контроль доступа так, как хотели, и в количествах, которые на самом деле необходимы. Они могут выступать за доступность, совместимость и безопасность — забывая о порталах аутентификации, структурах подписки, лицензионных сборах и других препятствиях, которые создают путаницу. И главное — устанавливать мобильные решения, которые теперь более безопасны, чем те, что основаны на карточках.