¿Las tarjetas de claves RFID rastrean al usuario a través de formas de entrada?

Habiendo especificado y revisado los sistemas de ingreso de tarjetas inteligentes y tarjetas RFID como parte de la auditoría de PCI DSS, puedo confirmar que el sistema puede, y con frecuencia lo hace, rastrear a las personas cuando se mueven a través de ubicaciones bloqueadas en un sitio. Normalmente, esto es para permitir el control detallado de qué persona (generalmente basada en el rol) puede acceder a qué áreas de un edificio, p. Ej. solo unas pocas personas pueden acceder a la sala de servidores (a menudo con 2fa), y ciertas personas pueden acceder a las oficinas de seguridad donde se monitorea el CCTV, etc. Muchas políticas de seguridad requieren que los datos de entrada / salida se conserven para fines de auditoría y, por lo tanto, el seguimiento es inherente en el sistema.

He administrado dos sistemas populares, y ambos tienen esta capacidad de seguimiento. Si lo piensa, debe tener una base de datos central con al menos una tabla de usuarios y tablas de derechos en el back-end para restringir a las personas a ciertas áreas (nuestro personal de TI fue el único permitido a través de las puertas de la sala de servidores protegidos, por ejemplo). Ejemplo), y todos los sistemas en los que he utilizado el historial de eventos. Al menos un sistema utilizó MSSQL en el back-end. Si el sistema no supiera a QUIÉN estaba tratando de ingresar, no sería capaz de diferenciar según el acceso a roles.

Como consecuencia, puedes hacer algunos controles de seguridad ingeniosos con esto. Puede restringir ciertos usuarios a ciertos pisos o edificios, y en ciertos momentos del día. Se podría permitir el acceso después de las horas, pero generar un informe cada mañana de anomalías. Puede rastrear el último lugar que una persona ingresó, aunque a menos que tenga que usar su tarjeta para salir, esta puede no ser la ubicación actual del usuario. El seguimiento de la ubicación a lo largo del tiempo sería fácil. Actualmente utilizo un producto SIEM que también agrega estos eventos, por lo que a veces ni siquiera está limitado al software de administración proporcionado por el proveedor para el control y la correlación.

Lo más probable es que sus tarjetas no sean genéricas, ya que esto no tendría mucho sentido. Tener dos o más etiquetas idénticas es un problema de seguridad al menos en el punto de vista de no repudio.

Todos los sistemas a los que llegué a conectar con el mecanismo de control del sistema en línea utilizado, es decir, la tarjeta era una mera etiqueta con información de identidad (como el número de tarjeta, la identificación del empleado o algún otro identificador único) que se aprobó por el lector a algún tipo de base de datos de control.

Dado que casi todas las interacciones de las tarjetas deben estar respaldadas por una base de datos, lo sería, y es probable que sea posible rastrear la actividad del usuario mediante una simple consulta SQL, si no se implementa directamente en la IU del sistema.

En un escenario paranoico, podría haber "puntos de control" ocultos en todas las instalaciones que podrían activar el chip RFID en una distancia más larga (incluso unos pocos metros), siguiendo el movimiento de la tarjeta con bastante precisión. Esto es, sin embargo, más de un supuesto de seguridad de grado TLA *. En la mayoría de los escenarios comerciales, solo habrá cerraduras, puertas y portones visibles que requerirán la acción deliberada del usuario (es decir, colocar físicamente la tarjeta cerca del lector) y estos serán los únicos puntos capaces de rastrear la tarjeta de manera confiable.

* Agencia de tres letras

Depende de cómo funciona el lugar de trabajo.

Por ejemplo, trabajo como técnico de TI en una empresa, literalmente, y etiquetamos cuando entramos, salimos, etc. Al configurar esto, me pidieron que asignara a todos los miembros de la empresa su nombre y función. . Querían que se permitiera monitorear cuando las personas se retrasan mucho más fácilmente, lo que automatiza una deducción absurda de los salarios. No preguntes por qué, solo se pidió que se hiciera y tenía que hacerlo.

La industria estándar es lo que menos se requiere para tener algo de seguridad con las etiquetas para ver qué está pasando alrededor del edificio. Al menos, por experiencia, eso es lo que sé.