Onlangs circuleerden alarmerende nieuwsberichten over de onveiligheid van toegangsbadges. Een ingehuurde ‘ethische hacker’ kon bij een test in amper enkele seconden onder meer de badges van politiekantoren, hotels, steden en mediabedrijven – waaronder ook de VRT – heel makkelijk kraken.
Het was niet de eerste keer dat iemand aan de alarmbel trok: een jaar geleden verscheen het nieuws dat hackers zelfs met een lang vervallen ‘keycard’ van hotelkamers in recordtijd een loper konden maken die hen toegang gaf tot het hele gebouw.
En in 2014 bleek het toegangssysteem van het nieuwe gebouw van de federale politie in Brussel eenvoudig te kraken met een eenvoudige smartphone. Er werd dan maar extra personeel ingezet voor de toegangscontrole, terwijl men snel op zoek ging naar een oplossing.
Zwakke plekken
Wat betekent dit nu voor de toegangsbadge? Moeten we met zijn allen terug naar het tijdperk van de sleutel? Gelukkig niet. Toch is het probleem niet te onderschatten. Om te beginnen, moet je weten waar de zwakke plekken kunnen zitten. Vaak is dat de kaart zelf: niet alle kaarten zijn technologisch sluitend te beveiligen.
Daarbij hoort wel de kanttekening dat er heel wat kaarten op de markt zijn die wél uiterst veilig zijn. Bij de gehackte exemplaren gaat het dan ook om goedkope kaarten, soms zelfs online gekocht via obscure websites. Of om verouderde badges, waarvan de code te ontcijferen is met behulp van de nieuwste technologie én een slimme hacker.
Achter de toegangsbadge schuilt namelijk software, en ook die kan aan vernieuwing toe zijn. Denk er wel aan dat zelfs een gloednieuwe, hoogtechnologische kaart niet veilig is wanneer de software niet op de juiste manier wordt gebruikt. Zo zien we vaak dat een makkelijk uit te lezen serieel productienummer wordt gekozen als identificatienummer van de gebruiker. Zo’n nummer is echter makkelijk te kopiëren in een nieuwe kaart.
Verouderde technologie
Ook de kaartlezers zijn soms verouderd waardoor ze makkelijker te hacken zijn. Wie wil werken met state-of-the-art-kaarten heeft ook kaartlezers van de nieuwere generatie nodig. Daar wringt het schoentje: bedrijven en overheden gaan er graag van uit dat alles oké is zolang er geen veiligheidsproblemen opduiken. Daardoor zijn ze minder snel bereid om te investeren in nieuwe badges en kaartlezers.
Veel organisaties hebben hun oude smartcard-technologie vervangen door nieuwe zonder daar ook de voordelen van een betere beveiliging uit te halen. Ik raad ook aan om het niveau van beveiliging te differentiëren in functie van de organisatie, de locatie en de gebruikers.
Expertise
Advies op maat is alleszins geen overbodige luxe als het gaat over toegangscontrole. Geen enkele organisatie – overheidsdienst, hotel of onderneming – wil de deuren zomaar openzetten. Systemen voor toegangsbeveiliging – kaarten, software en hardware – zijn dan ook geen producten die je tussendoor bestelt op de eerste beste website.
Als je op zeker wil spelen, is het essentieel dat je een leverancier inschakelt met expertise over het hele plaatje: kaarttechnologie, gedegen systeemkennis en ervaring met systeemintegratie zijn allemaal even belangrijk om de juiste toegevoegde waarde uit de beschikbare kaarttechnologie te halen in de juiste context. Daarbij hoort eerst en vooral een grondige risicoanalyse, gevolgd door advies op maat en ten slotte het uitwerken van een geïntegreerde en toekomstgerichte oplossing.
Wim Pletinckx is ceo van Dioss Smart Solutions
