Fysisk intrusion detection

Vi bruger rigtig meget tid på at konfigurere vores sikkerhedssoftware. Men hvornår har du sidst tænkt over, om dit fysiske intrusion detection-anlæg er implementeret fornuftigt?

DS 484 er ikke informativ med hensyn til fysiske alarmsystemer. Der står blot i 9.1.1 f):

Passende indbrudsalarmer skal være etableret og afprøvet regelmæssigt.

Langt de fleste virksomheder har et alarmsystem, som slås til af den sidste medarbejder, som går hjem.

Typisk slås alarmen til og fra med en sekscifret kode. Der skal selvfølgelig være tale om en individuel kode, så en medarbejder ikke på et senere tidspunkt kan komme på uanmeldt besøg.

Så lang så godt ? og faktisk også nemt.

Nu er der imidlertid det problem, at X medarbejdere skal have X forskellige sekscifrede koder, der skal være tilfældige.

Det rigtige er selvfølgelig at tildele medarbejderne koder centralt hold. På den måde sikrer man sig mod svage og personlige koder som fx fødselsdata.

Nu er mennesker er sjældent særlig gode til at være tilfældige, så hvordan finder man et sæt af sekscifre og tilfældige koder?

Det kan man passende aflæse på et RSA token og skrive ind i et regneark med medarbejdernes navne. Så er man sikret, at de er tilfældige. Og en simpel sortering afslører også sammenfaldende koder. Husk i øvrigt at sikre regnearket med medarbejdernes koder, så enhver ikke lige kan komme i nærheden af det.

Men det betyder desværre, at mange medarbejdere har svært ved at huske deres nummer, fordi det ikke er nemt at huske. Derfor lader mange virksomheder medarbejderen selv komme med et sekscifret nummer.

Principielt vil jeg mene, at det er en acceptabel strategi, da indbrudstyve sjældent gør sig besvær med at finde en adgangskode, så de får længere tid til at gennemføre et indbrud. Men man skal naturligvis lave en konkret risikovurdering af, hvad det er, man beskytter.

Men her overlades det besværlige og tidskrævende arbejde med at gå rundt til medarbejderne og indsamle koder oftest til administrativt personale. Og det er i hvert fald sjældent, at disse medarbejdere har fået instruktioner i, hvordan det gøres sikkerhedsmæssigt forsvarligt.

Derfor ser man tit, at en medarbejder render rundt med listen over koder, så koderne kan skrives ind. Især hvis der installeres et nyt alarmsystem.

Nogle gange kan man direkte aflæse andre koder, når medarbejderen render rundt med listen. Men selv hvis medarbejdere rent faktisk beskytter listens indhold mod nysgerrige øjne, falder de fleste som regel i, når der er en sammenfaldende kode.
**
Øh, det nummer kan du ikke få.

Nu kender den nye medarbejder pludselig en anden medarbejders kode. Og jeg vil væde på, at langt de færreste går tilbage til indehaveren af det kompromitterede nummer, så indehaveren kan få det skiftet.

Selvfølgelig kan man vælge at se stort på det, men eksemplet illustrerer meget godt forskellen mellem en, der tænker på sikkerhed, og en, der blot bevidstløst implementerer en løsning.

Helt galt gik det dog for en virksomhed, da den for at gøre det nemt for medarbejderne, lod koden være sammenfaldende med koden til døren. Der var dog bare lige det, at dørkoden var firecifret, så de lod de første to cifre på koderne til alarmen være 00 for alle medarbejdere.

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nissen

Virksomheder er for bløde overfor medarbejdere og koder. Det er ikke for irritationens skyld vi anvender koder!
Der findes et utal af husketeknikker og bøger herom, så det skulle være muligt at finde en teknik man kan forstå.

Eks. Udvælg 10 forretninger, bygninger eller lign. som ligger på en fast rute fra f.eks. ens hjem til arbejde.
Hvert udvalgt objekt repræsentere et nummer i rækkefølgen og dermed et tal i en kode. Så skal de 10 udvalgte objekter bare indøves.
Det er bevist noget nemmere at huske eks. forretninger end talkombinationer.

  • 0
  • 0
Torben Mogensen Blogger

Jeg kan ikke se det svære i at lave tilfældige sekscifrede tal: Man ruller bare en ti-sidet terning seks gange. Med garanti mere tilfældigt end alverdens RSA-koder, og meget nemmere.

Det hjælper selvfølgelig ikke medarbejderne til at huske koderne. Men som Martin sagde, kan man bruge diverse husketeknikker. Man kan f.eks. finde en sætning, hvor ordenes længde er lig med cifrene. Herunder er et eksempel lavet ud fra en kode, som jeg lige har rullet med terninger:

Kode = 329551
Sætning = Giv os rigsdansk eller bolle-å

Sætningen er nonsens, men det gør den ikke sværere at huske.

  • 0
  • 0
Jesper Laisen

>Man ruller bare en ti-sidet terning seks gange

Hvor får man lige fat i en ti-sidet terning?

>en sætning, hvor ordenes længde er lig med cifrene

Det er en god metode, når tallene er små, men når ordene er lange, skal man jo næsten skrive dem ned for at kunne tælle. Hvordan finder man i øvrigt en god sætning til: 798697?

Er der i øvrigt nogen, som ved nøjagtig hvor tilfældige et RSA token er?

  • 0
  • 0
Martin Nissen

Et program til huskesætninger ville gøre det lettere for mange.
Omend det netop er det der gør at vi ikke husker, fordi vi ikke bruger tiden på at søge efter en sætning der passer og dermed ikke får indlæringen med.

Det skal være så let, så let at vi glemmer det!

  • 0
  • 0
Torben Mogensen Blogger

Som Mads sagde, finder man tisidede terninger i butikker, der sælger rollespil. Du kan også få terninger med 4, 8, 12 og 20 sider, og enkelte butikker fører også 30-sidede, 24-sidede og 16-sidede terninger.

Niels gav en udmærket sætning til 798697. Et andet forslag er "Særligt besværlig talrække, ganske tilfældigt opstået".

Det undrer mig iøvrigt, at du ikke brugte et eksempel, der indeholdt 0. Men det er heller ikke noget voldsomt problem -- du bruger bare et ord med 10 bogstaver.

  • 0
  • 0
Torben Mogensen Blogger

Som Mads sagde, finder man tisidede terninger i butikker, der sælger rollespil. Du kan også få terninger med 4, 8, 12 og 20 sider, og enkelte butikker fører også 30-sidede, 24-sidede og 16-sidede terninger.

Niels gav en udmærket sætning til 798697. Et andet forslag er "Særligt besværlig talrække, ganske tilfældigt opstået".

Det undrer mig iøvrigt, at du ikke brugte et eksempel, der indeholdt 0. Men det er heller ikke noget voldsomt problem -- du bruger bare et ord med 10 bogstaver.

  • 0
  • 0
Torben Mogensen Blogger

Som Mads sagde, finder man tisidede terninger i butikker, der sælger rollespil. Du kan også få terninger med 4, 8, 12 og 20 sider, og enkelte butikker fører også 30-sidede, 24-sidede og 16-sidede terninger.

Niels gav en udmærket sætning til 798697. Et andet forslag er "Særligt besværlig talrække, ganske tilfældigt opstået".

Det undrer mig iøvrigt, at du ikke brugte et eksempel, der indeholdt 0. Men det er heller ikke noget voldsomt problem -- du bruger bare et ord med 10 bogstaver.

  • 0
  • 0
Log ind eller Opret konto for at kommentere