En arkitekturorienteret tilgang til fysisk adgangskontrol

Døre i forskellige farver.

Overgangen til fysisk adgangskontrol med kortløsninger går langsomt, og mange udnytter ikke potentialet fuldt ud. Ofte er løsningerne forældede allerede ved implementering og baserer sig på en traditionel forestilling om, at den digitale løsning blot skal erstatte den fysiske metalnøgle.

Desuden ses mange systemer, hvor kunden fastholdes hos én leverandør i en teknologisk blindgyde, der ikke levner plads til nye integrationer og skift mellem leverandører. Sådan behøver det ikke at være.

Digital adgangskontrol domineres i dag af låsebranchens tilgang til faget. Det handler om salg af timer, låse, nøgler og lokale løsninger, og knap så meget om global administration, grupperettigheder, tidsbegrænsning, logkontrol samt håndtering af rettigheder for f.eks. nye eller fratrådte medarbejdere.

De elektroniske dørsystemer er således født ud af den gamle metalnøgle-verden, og man får med RFID-kort-løsninger en proces, hvor er valideringen typisk kun tjekker, om kortet passer til låsen, og ikke om personen rent faktisk må åbne døren.

Sikkerheden kan dog øges ved sammenkæde den fysiske person med en PIN-kode til døren. Men der sker sjældent andet end blot en validering af, om kort og PIN-kode er gyldige, og ikke om personerne reelt har rettigheder eller ej.

Lokale løsninger går på kompromis med sikkerhed og stordriftsfordele

Ulempen er, at man går man glip af de ekstra sikkerhedslag, som de digitale løsninger giver mulighed for: grupperettigheder, tidsbegrænsning, logkontrol samt deaktivering af fratrådte medarbejdere. Disse funktioner gav ikke mening med den gamle metalnøgle, og desværre ses rigtig mange RFID-systemer, som slet ikke har disse muligheder. RFID-systemerne ses typisk implementeret lokalt med standardindstillinger, og oprettelser, nedlæggelser og rettigheder er underprioriteret.

Processen er manuel, tidskrævende og er udsat for risiko for tastefejl.

Lokale løsninger kan fungere for den enkelte institution, men ikke for de medarbejdere, der bevæger sig på tværs af lokationer. Økonomisk kan lokale løsninger betyde manglende rationaliseringsmuligheder og stordriftsfordele.

Lokale løsninger fastholder en lokal organisation til den konkrete administration med oprettelse og udlevering af kort og lokale løsninger betyder også, at man sikkerhedsmæssigt vil have lokale niveauer. Man kan godt have et højt sikkerhedsniveau, men på grund af den mindre organisation og manglende koblinger til andre systemer er det vanskeligt at sikre ensartede sikkerhedsprocedurer.

Store fordele ved et centralt online-system

Et optimalt RFID-system vil i dag blive implementeret som et online, arkitekturbaseret system. Den enkelte dørlås vil kommunikere i realtid med sin dørcentral og i realtid validere gyldigheden af kortet, hvor tidligere systemer var offline-systemer. At programmere en offline dørlås kræver, at der tilsluttes en PC til den enkelte lås. I de nyere onlinesystemer er alt forbundet enten via kabel eller trådløst.

Det er desuden teknisk muligt at bygge et RFID-kort således, at det vil være brugbart med dørlåse fra flere forskellige fabrikanter. Man kan også opdatere firmware i de enkelte dørlåse, og man vil i realtid kunne se, hvem og hvor de enkelte brugere anvender deres kort.

Administrativt har alle dørsystemer en fælles applikation, som benyttes til kort- og brugeradministration. Typisk er disse applikationer enkle, både i arkitektur, drift og anvendelse. Nogle er centrale serverapplikationer med en online database, og andre er mere simple som desktopløsninger installeret på en almindelig PC.

De mest moderne centrale applikationer har et API, som kan bruges til integration med andre IT-systemer. F.eks. et brugerstyringssystem eller et centraliseret loganalysesystem.

Arkitekturorienteret adgangskontrol

En arkitekturorienteret løsning bygger på de samme principper, som er anvendt inden for it-verdenen, hvor administrationen adskilles fra selve systemet. Det giver en fleksibel administration på tværs af organisationen både i forhold til selvbetjening og til integration til andre systemer.

Sikkerhedsmæssigt er det fordelagtigt med et ensartet sikkerhedsniveau, og kobler man løsningen til it-systemer, vil man kunne operere med en brugerorienteret adgangspolitik fremfor en nøgleorienteret. Fordelene er mange, her nævnes nogle:

  • Fordele ved en arkitekturorienteret adgangsløsning
  • Fungerer på tværs af organisationen
  • Gode digitaliseringsmuligheder
  • Økonomisk mulighed for levetidsforlængelse af gamle løsninger
  • Et ensartet og højt sikkerhedsniveau
  • Sammenhængende og nem løsning for brugerne

Anbefalinger til en arkitekturbaseret tilgang til adgangskontrol

Den arkitekturorienterede løsning til adgangskontrol gør det muligt at adskille låseløsningen, altså selve låsen og den fysiske dør, fra administrationsløsningen og fra udstederen af kort. For at opnå dette bør man i sin projektering og forhandling med leverandør sikre at:

  • systemet har en velbeskrevet API
  • administrationsløsningen kan binde lokale låseløsninger sammen
  • der kan leveres billige og teknologiske fleksible løsninger til udstedelse af kort

Det arkitekturorienterede scenarie rummer mulighed for, at man bruger det bedste fra eksisterende leverandører og kombinerer det med andre muligheder, som markedet tilbyder. Man er således ikke bundet til én leverandør, og udviklingen kan drives af organisationens egne ønsker og planer. Dette betyder også en samlet set økonomisk bedre løsning.

Fysisk og digital adgangskontrol i ét system

Man kan således koble en fysisk adgangskontrol til samme logik som digital adgangskontrol ved at lade den digitale identity management føde data til administrationen af fysiske adgange.

Det betyder, at man kan oprette og nedlægge brugere med samme arbejdsgange og logik – og dermed bruge en sikker livscyklus for brugere. Hvis dette gøres, vil det samtidig betyde en forbedret brugeroplevelse, fordi samme koder m.m. kan anvendes til brug i den fysiske adgang og den digitale adgang.

Dermed opnår man en optimal sikkerhed med minimal administration. De fysiske døre og adgangskort kobles på den digitale logik, og man får et system, der kan skaleres.

Vigtigst af alt er, at den arkitekturorienterede løsning til adgangskontrol gør det nemt for brugerne og administratorerne. Udvidelser, ændringer, oprettelse og sletning af brugere er så enkelt og billigt at systemet følger med og understøtter organisationens udvikling – i modsætning til at lægge en begrænsning på den.

Læs også: Et pålideligt økosystem baseret på FIDO og PKI

NSIS

Webinar: Bliv klar til NSIS

I dette webinar kan du lære hvordan du opnår compliance med NSIS ved at etablere en lokal IdP med to-faktor autentificering af brugere. Se også, hvordan indrullering sker via selvbetjening, alt sammen baseret på den nye MitID og NemLog-in3 infrastruktur.