Technologia RFID bije rekordy popularności w wielu branżach. Pozwala na monitorowanie łańcucha logistycznego w spedycji żywności, narzędzi na budowie czy przesyłek w magazynie. Wykorzystuje ją sektor automotive, aby śledzić składanie poszczególnych egzemplarzy pojazdu, i linie lotnicze do monitorowania położenia bagażu pasażera. Systemy RFID z sukcesem wykorzystuje się wszędzie tam, gdzie aktywa można oznaczać w celu ich katalogowania. Na fali tej popularności pojawia się pytanie o bezpieczeństwo technologii RFID. Jakie wiążą się z nią zagrożenia i jak zadbać o większe bezpieczeństwo przy korzystaniu z technologii radiowej?
Chipy RFID są wykorzystywane od czasów II wojny światowej. Po raz pierwszy sięgnęli po nie Brytyjczycy w celu oznaczania samolotów i odróżniania ich od wrogich jednostek. Od tamtej pory wiele się zmieniło, a technologia RFID trafiła do przemysłu, gdzie od lat jest z sukcesem wykorzystywana.
Aby odpowiedzieć sobie na pytanie o bezpieczeństwo RFID, w pierwszej kolejności skrótowo odniesiemy się do zasady funkcjonowania tej technologii.
System składa się z tagów, w których zapisuje się informacje o tagowanym produkcie. Tagi mogą być:
Drugim ogniwem RFID jest czytnik, który zbiera dane zapisane w tagach. W praktyce jest to oczywiście nieco bardziej złożony proces, w maksymalnym uproszczeniu jednak można sprowadzić go do wymiany informacji za pomocą fali radiowej o określonej częstotliwości. W zależności od częstotliwości technologia RFID działa na mniejszą lub większą odległość. Wyróżnia się też różne pojemności tagów – od kilkudziesięciu bitów do kilkuset kilobajtów.
Ze względu na relatywnie prostą zasadę działania i przesyłanie bardzo niewielkich ilości informacji technologia RFID jest uważana za bezpieczną i to na tyle, że m.in. w autach o wartości setki tysięcy złotych montuje się immobilizery bazujące na RFID. W literaturze zwraca się jednak uwagę na potencjalne ryzyka związane z wykorzystaniem technologii radiowej m.in. do ataku Denial of Service czy przesłania w ten sposób złośliwego wirusa.
Choć w praktyce sięganie do RFID w celu przesłania drogą radiową szkodliwego oprogramowania wydaje się mało prawdopodobne, to firmy borykają się z wieloma innymi potencjalnymi zagrożeniami. Są one związane przede wszystkim z:
Miej świadomość, że wystąpienie któregokolwiek z tych scenariuszy wiąże się z ryzykiem poważnych kłopotów i odpowiedzialności prawnej przedsiębiorstwa. Nic więc dziwnego, że cały czas trwają poszukiwania sposobów na zwiększenie bezpieczeństwa zaimplementowanej technologii.
Siłę zabezpieczeń RFID zwiększysz na wiele sposobów i wcale nie wymagają one wdrażania kosztownych zabezpieczeń informatycznych czy wykupywania usługi threat huntingu.
Przede wszystkim zadbaj o szyfrowanie danych z wykorzystaniem silnego algorytmu AES 128 lub 256 bitów. Obecnie jest to już standard kryptograficznych w praktycznie wszystkich programach antywirusowych, VPN-ach czy bankowości.
Zadbaj o jasne uregulowanie w swojej organizacji zasad dostępu do systemu RFID. W ten sposób ograniczysz krąg podejrzanych w razie pojawienia się wątpliwości.
W firmie przeprowadzaj regularne audyty bezpieczeństwa, których celem jest identyfikacja wszelkich podejrzanych zachowań (np. dostępu do tagów poza godzinami pracy). Pamiętaj o stosowaniu odpowiednio długich i złożonych haseł utrudniających dostęp do pamięci tagów i regularnie je zmieniaj.
Kolejnym sposobem, który możesz zastosować, aby zwiększyć bezpieczeństwo danych, jest jednostronne szyfrowanie. Wszystkie obliczenia związane z kryptografią będą wtedy odbywały się wyłącznie w czytniku. W rezultacie odczytanie taga czy „podsłuchanie” wymiany informacji staje się bezwartościowe, a kluczowe informacje nadal są chronione.
Rozważ również wdrożenie w organizacji równolegle innych metod autoryzacji jako uzupełnienia RFID. Obecnie są to przede wszystkim technologie związane z rejestrem rozproszonym i technologią blockchain oraz wieloskładnikowa autoryzacja. W ten sposób tworzysz kolejne warstwy bezpieczeństwa.
Dobrym rozwiązaniem może być stosowanie tagów krótkiego zasięgu i umiejscowienie ich w miejscu, gdzie będą niewidoczne dla postronnego obserwatora. Złodziej, który nie wie, że coś można ukraść, nie będzie podejmował prób włamania. Do odczytania danych konieczne będzie zbliżenie się do znacznika na niewielką odległość.
Drastycznym rozwiązaniem jest „uśmiercenie” taga poprzez wpisanie określonego kodu, który prowadzi do permanentnej dezaktywacji układu pamięci. Wyłączony w ten sposób tag już nigdy nie będzie mógł zostać odczytany.
Choć zabezpieczenie RFID nie jest idealne, wdrażając proste rozwiązania możesz znacząco poprawić ochronę informacji zapisanych w tagach. Wymaga to jednak kompleksowego spojrzenia na swoją działalność i to zarówno od strony pracowników, stosowanych technologii, jak i organizacji poszczególnych procesów w organizacji.
