GÜVENLİK -MAKALE Güvenlik Boşluklarının Kapatılması Karmaşık Güvenlik Sistemlerindeki Zayıf Noktaların Azaltılmasına Yönelik Konseptler Bu makale, erişim kontrol sistemlerindeki olası zayıf noktaların nasıl tespit edilip önlenebileceğini ortaya koymaktadır. Buna ilave olarak, uygun tedbir/erle ilgili öneriler de sunulmaktadır. Bu makalenin birinci bölümü insanlarla 1/glli zayıf noktalar ile kimllk ve kimlik okuma sitem/erindeki zayıf noktalarla ilgilidir. ___ _ ----Werner STÖRMER PCS Systemtechnik GmbH Kaynak: GiT Securlty, 6/2010 Bütün bilgi sistemlerinde olduğu gibi, bir erişim kontrol sisteminin bulunabilirliği ve güvenliği, do nanım ve yazılım komponetlerinin ayrı ayrı kalitesine ve sisteme müdahalelere karşı mevcut olan koruma seviyesine bağlıdır. Erişim noktası ve uygulama ve kontrol seviyesi arasında göz önünde bulundurulması gereken ve sistemin tamamının güvenliği ve sınırlanmamış şekilde ulaşılabilirliğini etkileyen pek çok komponent vardır. Bu makale, bu tür sistemlerdeki olası zayıf noktaların nasıl tespit edilip önlenebileceğini ortaya koymaktadır. Buna ilave olarak, uygun tedbirlerle ilgili öneriler de sunulmaktadır. Bu makalenin birinci bölümü insanlarla ilgili zayıf noktalar ile kimlik ve kimlik okuma sitemlerindeki zayıf noktalarla ilgilidir. Tehlike Her Yerde Erişim kontrol sistemleri farklı sektörlerde ve lokasyonlarda kullanılmaktadır. özelikle kimlik tanımlama sistemi, erişim terminali veya erişim okuyucusu kuruldukları noktalarda farklı etkilere maruz kalabilmektedirler. Bu tür elektronik cihaz ların, erişim noktasında ortaya çıkan şartlara uygun şekilde tasarlanması gereklidir. Buna ilave olarak, sık olarak sistemin çalışmaması veya hatalı çalışmasının sebebi olan insan fak törünü de göz önünde bulundurmak önemlidir. En önemli faktörler şunlardır: t insan hataları (örnek: operasyonel hata, sabotaj, hırsızlık), t Planlama hataları (acil durum organizasyonu olmaması), t Teknik veya organizasyonel yetersizlikler (örnek donanım/yazılım hataları), t Yetersiz kurulum yönergeleri veya işletim talimatları, t Ağ veya kablolama problemleri, t Hırsızlığa karşı güvenlik tedbiri olmaması (örnek, erişilebilir kablolar ve bağlantılar) t Yangın, sel, fırtına, şimşek, patlama ve kim yasal madde etkisi gibi katastrofik olaylar, t Çevresel faktörler (örneğin, iklim, elektriksel/ mekanik faktörler), İleri seviye planlama süreci bu faktörleri hesaba katmalı ve şunları kontrol etmelidir: t Erişim çevresel sistemi nereye kurulacak (örnek, ısı, nem, kir, manyetik alanlar, güneş ışığı vs.), t Erişim cihazı nasıl yerleştirilecek (örnek, duvara asma/kolona asma; bir interkom sistemi içerisine mi entegre edilecek)? t Ne tür bir kimlik tanımlama sistemi kullanıla cak (örneğin 1D kart/aktarıcı; biyometrik kimlik tanımlama)? t Eğer bir kimlik tanımlama aracı kaybolursa ne olur? Klavye ile bilgi girme gibi alternatifler kabul edilebilir mi (1D kart numarası ve şifre)? t Acil durum güç kaynağı gerekli midir? t Yazılımın ne tür fonksiyonlar sağlaması gerekir (örnek, tekrarlı giriş kontrol, odaya giriş, güvenlik kapısı kontrolü vs.)? t Ön-uç cihazlarının ne ölçüde bağımsız olmaları gereklidir (çevirim içi/çevirim dışı erişim kontrolü)? t Komponentlerin çalışmaması durumunda nasıl bir organizasyon söz konusudur? Sadece, firmalarını ve erişim kontrol sistem lerini potansiyel tehlikelere ve hasarlara karşı yeterince koruyabilenler, bir olay sonrasında gerekli güvenlik seviyelerini hızlı bir şekilde, gecikme olmadan eski seviyelerine getirebilirler. Zayıf Noktalar: İnsanlar Zincirdeki en zayıf nokta çalışanın kendisidir ve problem ortadan kaldırılamamaktadır; düzenlemeler bile suça yatkınlık sahibi insanları durdu ramamaktadır. Özellikie tehlikeli olan durumlar ise firmanın kendi personelininyol açtığı sabotaj, manipülasyon ve hırsızlık olaylarıdır. Evde ve işyerinde hayal kırıklığı genelde, önemli verilerin çalınması veya sisteme virüs karıştırılmasının ardında yatan temel motivasyonlardır. Eğer çoklu giriş ve/veya v ideo ile izleme anlamında ilgili tedbirler mevcut değilse, dikkatsiz olduğu bir anda, yetkili bir personel farkında olmadan suç işleme potansiyeli olan bir kişiyi kimlik kartını kullanarak (isteyerek veya baskı altında) güvenli bir alana sokabilir (Şekil 1). Örnek 1 Bir çalışan, "iy i niyetle" bilinmeyen bir kişiyi ken disi ile birlikte kapıdan içeri sokar. Bu kişi bay/ bayan X ile Y odasında randevusu olduğunu söyler. Bu manevra, istenmeyen ziyaretçinin ihYANGIN ve GÜVENLİK SAYI 1421 81
RkJQdWJsaXNoZXIy MTcyMTY=