Varmistaako RFID tietoturvan toimistossa?

RFID-tunnistustekniikka perustuu tietojen siirtämiseen radiotaajuudella lukulaitteen ja tunnisteen välillä. Sen avulla voidaan toteuttaa tunnistus-, jäljitys- ja paikantamisjärjestelmiä. Yrityksissä RFID:tä käytetään yleisimmin kulunvalvonnassa sekä kiinteistöjen, arvokkaan omaisuuden ja luottamuksellisten tietojen suojaamiseen. Näissä järjestelmissä voidaan käyttää esimerkiksi etäluettavia kortteja ja avaimenperiä tai biometrisiä skannereita. RFID-kortteihin ladataan yleensä tiettyjä henkilötietoja, joiden avulla käyttäjät todennetaan ja yrityksissä varmistetaan turvallisuus. 

Tällaisilla melko yksinkertaisilla järjestelmillä on loputtomasti käyttökohteita. Kun kurkistetaan RFID-teknologian tulevaisuuteen, huomataan, että sitä voidaan käyttää esimerkiksi työterveyden ja -turvallisuuden parantamiseen toimistorakennuksissa nopeuttamalla evakuointia, jos syttyy tulipalo. Jokainen rakennuksesta poistuva henkilö voidaan kirjata, jotta pystytään varmistamaan, että kaikki ovat poistuneet turvallisesti.

Joissain yrityksissä katsotaan vieläkin pidemmälle tulevaisuuteen. Pieni joukko Tukholmassa Epicenter-toimistorakennuksessa työskenteleviä on ottanut vapaaehtoisesti RFID-siruistutteet käsiinsä. Sirujen avulla avataan ovia, käytetään tulostimia ja maksetaan automaateista tehtyjä ostoksia. Kiistanalaista tai ei, tässä työympäristössä halutaan ottaa käyttöön uusia teknologioita ensimmäisten joukossa. Kun siru asetetaan ihon alle istutteena, sen kadottamista ei tarvitse pelätä ja samalla turvallisuusjärjestelmiä on helpompi käyttää.

RFID-teknologia ei kuitenkaan ole aukotonta. Aina kun uusi teknologia yleistyy, hakkereille tarjoutuu tilaisuus käyttää sitä väärin. Vuonna 2013 matalalla radiotaajuudella toimivia RFID-kortteja käytettiin lukuisissa kohteissa teknologiayrityksistä sairaaloihin. Niiden sisältämiä tietoja ei salattu eikä käyttäjiä todennettu, joten tiedot voitiin kaapata lukulaitteen läheisyydessä. Uudemmat RFID-kortit perustuvat suojatumpaan tekniikkaan, mutta haavoittuva tekniikka on edelleen käytössä monissa yrityksissä. Julkaistun raportin mukaan lähes 80 % liikekiinteistöissä käytettävistä kulunvalvontakorteista voidaan hakkeroida niiden protokollan haavoittuvuuksien vuoksi. Esimerkiksi yrityksissä edelleen käytettävät EM4100-kortit ja -avaimenperät kuuluvat tähän ryhmään. University of Holland -yliopiston opiskelijat hakkeroivat yleisesti käytetyn Mifare Classic RFID -sirun vain osoittaakseen, kuinka haavoittuvia nämä vanhemmat sirut ovat. Muun muassa Isossa-Britanniassa käytettävä Oyster-korttijärjestelmä ja hollantilainen OV-sirukortti perustuvat tähän ratkaisuun.

Tietomurtoja voi tapahtua yllättävissä paikoissa. Siksi on kehitetty uusinta RFID-teknologiaa varmempi suojausjärjestelmä. Tarkastellaanpa esimerkiksi tulostamisen turvallisuutta. Global Print Security Report -julkaisun mukaan 60 % Isossa-Britanniassa, Yhdysvalloissa, Ranskassa ja Saksassa toimivista yrityksistä on joutunut tulostamiseen liittyvän tietoturvaonnettomuuden uhriksi edellisenä vuonna. Niistä aiheutui keskimäärin yli 400 000 dollarin vahingot. 

Näiden tietomurtojen syyt vaihtelevat salasanojen joutumisesta vääriin käsiin (24 %) ulkoiseen hakkerointiin (25 %) ja työntekijän virheeseen (32 %). Siksi edes nykyaikaiset ja paremmin suojatut RFID-kortit eivät riitä riskien eliminoimiseen. Tietojen pitäminen luottamuksellisina edellyttää, että asiakirjan koko elinkaari suojataan ja että RFID otetaan osaksi kattavaa ja integroitua suojausjärjestelmää. Siksi pelkkä laitteiden fyysinen suojaaminen ei riitä. Myös verkko ja jopa yksittäiset asiakirjat on suojattava tehokkaasti. 

Minkä tahansa uuden teknologian käyttöönottaminen aiheuttaa uuden ja ennakoimattoman riskin. Yrityksissä on meneillään nopea muutos ja siksi vaarana on innovaatioansaan lankeaminen ilman, että ensin varmistetaan turvallisuus. Yrityksissä täytyy keskittyä toimistorakennusten turvaamiseen alusta loppuun saakka. Tämä edellyttää, että perusasiat ovat kunnossa. RFID ei ole uusi ”hypeteknologia”. Kun sitä käytetään oikein, se toimii minkä tahansa turvallisuusstrategian vankkana perustana. Valitettavasti mikään teknologia sellaisenaan ei riitä, mutta kun järjestelmät suunnitellaan alusta alkaen turvallisiksi ja varaudutaan haavoittuvuuksiin kaikissa niiden osissa, yritykset voivat ottaa innovaatioita käyttöön luottavaisin mielin.

Kirjoittaja Quentyn Taylor

Director of Security, Canon EMEA