Gå til hovedsiden

Tester du den fysiske sikkerheten?

Det er mandag ettermiddag og på vei ut av kontoret slipper du inn noen som skal ta service på kaffemaskinen. Tirsdag morgen drar du på jobb som vanlig, men når du ankommer kontoret får du deg en ubehagelig overraskelse: Politiet vil snakke med deg om et sikkerhetsbrudd som har funnet sted, og det mest skremmende av alt: De mistenker at du hadde noe med det å gjøre.

Når var forrige gang tenkte du på den fysiske sikkerheten på arbeidsplassen din? Når oppgraderte dere sist de elektroniske dørlåsene, endret design på adgangskort, reviderte plasseringer av overvåkningskameraer eller verifiserte at printeren har siste firmware versjon og ikke ligger på samme nettverk som dører, kameraer eller brannvarslere? Når var forrige gang dere leide inn et team for å teste hvor vanskelig det faktisk er å bryte seg inn hos dere?

Mennesker er ofte det svakeste leddet

Det er dessverre ikke like vanlig med fysiske penetrasjonstester i Norge som i mange andre land. Banker, militæret, eller private entreprenører som leverer tjenester til nasjonale sikkerhetsmyndigheter tester dette i større grad, men hva med de andre? Heldigvis har det blitt vanligere med penetrasjonstester på IT-systemer, men også der er det ikke nok fokus på den delen som er aller mest sårbar: Oss mennesker. Det er menneskelig å feile og vi gjør alle feil i det daglige. Men når feilen gjøres under et reelt angrep så kan en hel virksomhet potensielt stå i fare. 

Hva om politiet mistenker deg?

Så hvorfor blir det gjennomført så få fysiske penetrasjonstester? To av de vanligste grunnene man hører er at de kan være ubehagelige for de ansatte og at de kan være i en etisk gråsone. Man ønsker ikke å sette en ansatt i en ubehagelig situasjon, men prisen ved å la være å gjennomføre testene kan bli ekstremt høy for både virksomheten og de ansatte. Et viktig poeng når man argumenterer for en fysisk penetrasjonstest er at den potensielt ubehagelige følelsen en ansatt kan kjenne på er mye verre hvis de faktisk blir misbrukt i et reelt angrep. Si at kontoen din, adgangskortet ditt, laptopen din eller det at du slapp inn en person som kom bak deg når du gikk inn i kontorbygget er årsaken til at angrepet skjedde. Da kan du risikere at arbeidsgiver mister tillit til deg, og i verste fall kan politiet utpeke deg som mistenkt. Sistnevnte gjør det problematisk for et konsulenthus å leie deg ut til kunder og i det hele tatt ha deg på jobb. Selv om ingen på kontoret tror at du hadde noe med det å gjøre og politiet til og med har skrevet deg ut som mistenkt kan du likevel risikere å måtte gi fra deg mobiltelefoner, nettbrett, laptoper og duppeditter for at politiet eller jobben skal kunne utføre sine etterforskninger. Det betyr at alle private bilder, meldinger, etc. vil bli kopiert og gått gjennom av andre mennesker. Det kan bli en stor psykisk belastning for en ansatt, og de færreste bedrifter har i dag rutiner på plass for å ivareta en ansatt i en slik situasjon.

En nøye planlagt og vel gjennomtenkt red team øvelse kan bli en god opplevelse for de involverte. Den kan gjennomføres på en slik måte at det føles lærerikt og belysende, og det skal ikke være en prosess som går etter enkeltpersoner som gjør feil. Det kan det få store konsekvenser under et reelt angrep fordi man fjerner insentiver for å melde ifra. Belønn ærlighet og oppfordre heller til at de melder inn noe mistenkelig en gang for mye enn en gang for lite. 

Nå har vi snakket om det menneskelige aspektet ved fysisk sikkerhet. Det er fordi social engineering er en stor del av angrepsvektorene, og dine ansatte kan være årsaken til at angrepet blir stoppet eller ikke. Det er mange sikkerhetsmekanismer som kan, bør og må være på plass i et fysisk sikkerhetsprogram som til sammen skal gjøre det vanskelig for ubudne gjester å komme på besøk. Det er viktig at noen eier dette programmet og eier risikoen for den fysiske sikkerheten. Noen må ha ansvar for at de forskjellige elementene her designes, implementeres, vedlikeholdes, monitoreres og oppgraderes. Det fysiske sikkerhetsprogrammet bør være underlagt en overordnet sikkerhetsstrategi drevet av husets CISO (Chief Information Security Officer). 

Tre viktige kategorier for fysisk sikkerhet

For de som ikke har et fysisk sikkerhetsprogram på plass er SANS Instituttet sin artikkel “Physical Security and Why It Is Important” av David Hutter en god plass å starte. I artikkelen lister Hutter opp tre kategorier for fysisk sikkerhet: 

  • Administrative mekanismer
  • Fysiske mekanismer
  • Tekniske mekanismer 

Administrative mekanismer

Anleggsmekanismer

Mennesker skal være siste forsvarslinje. Det skal finnes automatiserte sikkerhetsmekanismer på plass ved området og i bygget hvor virksomheten befinner seg.

Anleggsplan

Man skal ha en oversikt over de kritiske kanalene i bygget. Elektroniske låser må være koblet til et strømnett, men må kanskje også være koblet til en backup strøm-ressurs hvis ekstremvær slår ut strømmen. Hvis en server som styrer kritiske virksomhetssystemer skal være tilgjengelig fra utsiden må den blant annet ha strøm, internett-tilgang og tilgangsstyring. Det skal dokumenteres kartlegging av kritisk-sti og dokumentasjonen skal revideres ved faste intervaller.

Anleggslokasjon

Når man vurderer et anlegg til virksomheten sin skal man vurdere beliggenheten, nærmeste naboer, pris og størrelse. Deler man bygg med andre virksomheter eller er man i konkurranse eller konflikt med virksomheter i nabobygg? Har området høy kriminell belastning? Ligger bygget i et område som er ekstra utsatt for ekstremvær og har man tilgang på stabilt elektrisk nett og internett?

Anleggsdesign

Bygget som skal bygges, leies eller kjøpes må ha tilstrekkelig sikkerhetsmekanismer som en del av sitt design som eksempelvis gjerder, utganger, nødutganger, trapper, alarmer og låser. Bygget må være designet for at uønskede ikke skal komme seg inn. Man bør også vurdere hva som er brukt til å konstruere bygningen som vinduer, vegger, heiser og dører. Har bygget for eksempel rom med høynet beskyttelse i form av ekstra tykk dør, sikring mot vannlekkasjer og brann, eller overvåkning fordi man skal huse servere og andre sensitive fysiske ressurser? Støtter anlegget opp under de unike behovene man har?

Områdetrusler

Når man er operativ vil det være mulig for trusselagenter å utføre angrep utenfra. I nyere tid har disse angrepsvektorene eksplodert. En angriper kan nå dine trådløse nettverk med antenner eller bruke fjernstyrt utstyr som droner og RC-biler. De kan benytte utstyr som plukker opp vibrasjoner i glass for å avlytte rom, late som de snakker i telefonen når de egentlig går utenfor og filmer bygget eller kartlegge store deler av anlegget med Google Maps og street view. Bare i Oslo finnes det flere konferanserom som burde vært konstruert på en helt annen måte. Hvem som helst kan sitte med en kikkert eller en drone og se hele presentasjoner i godt belyste glassrom som minner mer om et utstillingsvindu på H&M enn et møterom for noen av norges største virksomheter. 

Datasikkerhet

Serverrom og andre rom som huser virksomhetens systemer må befinne seg på områder med tilstrekkelig sikkerhetsmekanismer. Dette punktet er egentlig bare et mer spisset punkt som hører til anleggsdesign, men det er nødvendig med egne rutiner for tilgangsstyring og oppkobling til fysiske områder som har tilgang til nettverk og data.

Tjenestepersonell

Når man skal ha service på en kaffemaskin eller en printer, når eierne av bygget skal skifte teppene eller når vaskepersonalet kommer etter arbeidstid må det være kommunisert ut til de som til daglig jobber i etasjen. Hvilket firma kommer de fra, når kommer de, hva skal de gjøre, hva heter de som kommer og hvor lang tid vil det ta? En serviceperson til en kaffemaskin trenger ikke å få gå fritt i bygget.

Fysiske mekanismer

Sonesikkerhet

Å dele opp området, både innvendig og utvendig, inn i soner kan være fornuftig. Man kan sette opp gjerder rundt byggene og ha et fast vakthold ved eventuelle inngangsporter. De ansattes roller og tilgangsnivå kan styres med adgangskort. Inne i bygget trenger ikke besøkende rett til å vandre på alle områder. For å komme inn i bygget kan alle eksterne registrere seg, alle besøkende ha en kontaktperson som er ansvarlig for de så lenge de er i bygget og inngangssluser som gjør det mulig for bare èn person om gangen å gå inn. På denne måten kan man unngå at noen uten tilgang smetter seg inn sammen med autorisert personell.

Vakthold

Vakter eller personell ved resepsjon eller service desk bør være på plass slik at alle som kommer til bygget må registrere seg med id. Videre må det være en avtale knyttet til ankomsten og registrering av en kontaktperson som skal være den besøkendes verge under oppholdet.

Tekniske mekanismer

Kameraovervåkning

Kameraovervåkning er som et tveegget sverd. Det forebygger ikke så godt som vi ønsker, man får ikke lov til å bruke det på områder i bygget hvor ansatte ferdes daglig og de har en tendens til å ikke alltid gi de bildene man ønsker. Utendørs må alle innganger overvåkes av mer enn ett kamera og de bør være fysisk plassert slik at det ikke er lett å komme seg frem til de. Kameraer som er koblet på et datanettverk bør være på et eget dedikert nett.

Adgangskort

Det finnes mange typer adgangskort, men de fleste har enten en RFID chip eller en magnetstripe. Man kan også ha såkalte keyfobs som bare er små tags uten noe informasjon på. I dag er det veldig vanlig å ha adgangskort med firmalogo, bilde av den ansatte samt navn og diverse annen informasjon. Disse kortene skal være synlige når man oppholder seg inne i bygget slik at man enkelt skal kunne se om personen man møter gangen er en fremmed eller en kollega. Denne strategien er en god tanke, men fungerer ofte svært dårlig i praksis. Det er sjelden at regelen håndheves og følges og det er mange som har kortene skjult.

De som derimot har kortene på seg legger de ofte ikke vekk når de reiser fra jobb. De setter seg på toget og t-banen med et synlig skilt som sier hvem de er og hvor de jobber. Dette gir trusselagenter en gyllen mulighet til å klone adgangskortet ditt når de sitter eller står ved siden av deg. Selv om de ikke får pin koden din så er det nok av bygninger som ikke krever kode innenfor normal arbeidstid. På noen gamle typer kort mottar man hashen på kortene når de klones, og det er sjeldent vanskelig å knekke en pin kode på ti tusen muligheter med tall mellom 0-9. 

En bedre strategi vil derfor være å ha blanke adgangskort som ikke gir fra seg noe informasjon annet enn et id-nummer. Da vil ikke en trusselagent med en gang vite hvilket bygg dette kortet hører til. 

Alarmsystemer

Alarmer på bygget kan utløses av et bredt utvalg av ulike typer sensorer. Sensorer på vinduer, dører og bevegelse, fukt- og røykvarslere eller for mange forsøk med feil kode på en elektronisk lås er noen eksempler. De ulike sensorene kan også trigge forskjellige alarmer og automatiserte reaksjoner. Sensorer på røyk og varme (brann) kan starte lokalisert vannspredning og brannalarmer kan fortelle om områder som ikke lengre kan brukes som rømningsvei. Alarmer kommer i flere varianter som for eksempel stille alarmer som varsler vaktselskaper og virksomhetens kontaktpersoner, støyalarmer som skal skremme vekk inntrengere og varsle de i og rundt bygget, og alarmer som låser ned områder og ressurser.

Adgangslogger

For å komme inn i bygget og passere dører og heiser bør det være et krav at den ansatte bruker adgangskortet sitt. Hver gang kortet brukes registreres dette i en logg. Dermed kan man søke gjennom logger for å se hvem sitt kort som ble brukt eller hvem som var i nærheten da den uønskede hendelsen skjedde.

Rogue Access Point Detection

En trusselagent som har kommet seg på innsiden vil kunne sette opp keyboard-sniffere eller screen-grabbere som overfører data på et eget wifi nettverk slik at enheten ikke skal plukkes opp av overvåkningssystemer på nettverket. Med RAPD (Rogue Access Point Detection) vil man trigge en alarm når noen i bygget oppretter et nytt wifi-punkt. Utfordringer rundt denne algoritmen er at ansatte setter opp egne nett i hytt og pine med BYOD (bring your own device) verdenen som vi nå lever i. Det kan være hensiktsmessig at ansatte må registrere sine enheter de har med på jobben slik at man kan se om det nye nettet kommer fra en kjent enhet eller ikke.

Nettverksovervåkning

Dette er forsåvidt en software-mekanisme, men oppgaven er å oppdage nye fysiske enheter som kobler seg på eksisterende nettverk. Noen nettverk kan være satt opp slik at de bare godtar visse enheter eller enheter fra spesifikke geografiske områder. På denne måten kan man avdekke om noen for eksempel har plantet en nettverkssniffer i  bygget.

Dynamiske lys

Lys som aktiveres ved bevegelse enten innendørs eller utendørs bør brukes slik at ingen kan bevege seg usett i mørket. Det bør logges når lysene ble aktivert, og lys på noen områder bør også utløse alarmer. Dette gjelder lys på områder hvor ikke en spurv eller et ekorn kan utløse moroa.

Hvilken informasjon er tilgjengelig på deg?

Avslutningsvis vil jeg oppfordre alle til å tenke over hvilken informasjon som er tilgjengelig offentlig på deg eller dine ansatte. En inntrenger vil velge minste motstands vei, og hvis det er å ringe på døra hjemme hos Jostein med hammer og blåselampe for å “be pent” om adgangskort, laptop med korrekt sertifikat, påloggingsinformasjon eller en disk, ja, da kan de finne på å gjøre det. Som den klassiske tegneseriestripa XKCD viser; alt du trenger for å bryte verdens beste kryptosystem er en skiftenøkkel og en LinkedIn profil.