Le schede chiave RFID tracciano l'utente attraverso le modalità di accesso?

5

Al lavoro usiamo i tag RFID per entrare nell'edificio e in ogni piano. I tag raddoppiano come ID foto, mi sono sempre chiesto se sono usati (o possono essere usati) per tenere traccia dei movimenti dello staff.

Ho sempre dato per scontato che fossero legati a un identificativo personale quando emessi. Ma un altro membro del personale pensa di essere un accesso generico, cioè tutte le carte sono copie (per ogni livello di accesso) e si limitano a incollare la foto sul davanti.

La mia domanda è: qual è la pratica standard del settore? Sono sicuro che il mio scenario è tecnicamente fattibile, ma se è ampiamente utilizzato è un'altra domanda.

    
posta Jim Hardes 20.03.2015 - 06:21
fonte

4 risposte

3

Avendo specificato e rivisto i sistemi di accesso alle smart card e alle carte RFID come parte dell'audit PCI DSS, posso confermare che il sistema può, e spesso fa, tracciare le persone mentre si spostano attraverso posizioni bloccate in un sito. Normalmente questo consente al controllo a grana fine di quale persona (di solito basata sul ruolo) può accedere a quali aree di un edificio, ad es. solo poche persone possono accedere alla stanza del server (spesso con 2fa in ogni caso) e alcune persone possono accedere agli uffici di sicurezza dove CCTV viene monitorata, ecc. Molte politiche di sicurezza richiedono che i dati di ingresso / uscita siano conservati a fini di controllo e quindi il monitoraggio è intrinseco nel sistema.

    
risposta data 20.03.2015 - 09:04
fonte
2

Ho gestito due sistemi popolari, ed entrambi hanno questa capacità di tracciamento. Se ci pensi, devi avere un database centrale con almeno una tabella utente e tabelle dei diritti nel back-end per limitare le persone ad alcune aree (il nostro staff IT era l'unico autorizzato attraverso le porte della stanza del server protetta, per esempio) e tutti i sistemi che ho utilizzato cronologia di eventi tracciati. Almeno un sistema ha utilizzato MSSQL nel back-end. Se il sistema non sapeva CHI stava tentando di entrare, non sarebbe in grado di differenziarsi in base all'accesso ai ruoli.

Di conseguenza, con questo puoi fare alcuni controlli di sicurezza. È possibile limitare determinati utenti a determinati piani o edifici e in determinati momenti della giornata. È possibile consentire l'accesso dopo l'orario di lavoro ma generare una segnalazione ogni mattina di anomalie. È possibile rintracciare l'ultimo posto inserito da una persona, ma a meno che non si debba usare la carta per uscire, questa potrebbe non essere la posizione dell'utente corrente. Il monitoraggio della posizione nel tempo sarebbe facile. Attualmente utilizzo un prodotto SIEM che aggrega anche questi eventi, quindi a volte non sei nemmeno limitato al software di gestione fornito dal fornitore per il controllo e la correlazione.

    
risposta data 20.03.2015 - 07:10
fonte
2

Probabilmente le tue carte sono non generiche in quanto ciò non avrebbe molto senso: avere due o più tag identici è un problema di sicurezza almeno dal punto di vista del non ripudio.

Tutti i sistemi sono venuto a contatto con il meccanismo di controllo del sistema online utilizzato, ovvero la carta era un semplice tag con informazioni di identità (come numero di tessera, ID dipendente o altro identificatore univoco) che è stata approvata dal lettore a qualche tipo di database di controllo.

Dal momento che quasi tutte le interazioni con le carte sono vincolate da un database, è probabile che sia possibile risalire all'attività dell'utente mediante una semplice query SQL, se non implementata direttamente nell'interfaccia utente del sistema.

In uno scenario paranoico potrebbero esserci "punti di controllo" nascosti in tutti i locali che potrebbero essere in grado di attivare il chip RFID su una distanza maggiore (fino a pochi metri), monitorando il movimento della carta in modo abbastanza preciso. Questo è, tuttavia, più di un assunto di sicurezza TLA * -grade. Nella maggior parte degli scenari di business ci saranno solo lucchetti, porte e porte visibili che richiederanno l'azione deliberata dell'utente (cioè mettendo fisicamente la carta vicino al lettore) e questi saranno gli unici punti in grado di tracciare la carta in modo affidabile.

* Agenzia di tre lettere

    
risposta data 31.03.2015 - 12:42
fonte
2

Dipende da come funziona il posto di lavoro.

Ad esempio, lavoro come tecnico IT in un'azienda, letteralmente, e ci taggliamo quando entriamo, usciamo, ecc. Quando lo imposto, mi è stato chiesto di assegnare a tutti i membri dell'azienda il loro nome e ruolo . Volevano che consentisse il monitoraggio quando le persone sono in ritardo molto più facili e automatizza una ridicola deduzione dagli stipendi. Non chiedere perché, è stato solo chiesto di essere fatto e ha dovuto farlo.

Il settore standard è il meno richiesto per avere un po 'di sicurezza con i tag per vedere cosa succede intorno all'edificio. Almeno, per esperienza è quello che so.

    
risposta data 07.04.2017 - 21:53
fonte

Leggi altre domande sui tag