Fysisk sikkerhed

Fysisk sikkerhed beskytter organisationens lokaler, IT-udstyr og personale mod uautoriseret adgang, tyveri og miljømæssige trusler. Det er fundamentet, som al teknisk sikkerhed bygger på, fordi fysisk adgang til systemer kan omgå selv de stærkeste digitale forsvar.

Tilbage til ordbog

Hvad er fysisk sikkerhed?

Fysisk sikkerhed omfatter de foranstaltninger, der beskytter en organisations bygninger, rum, udstyr og mennesker mod fysiske trusler. Det dækker alt fra adgangskontrol ved hoveddøren til klimastyring i serverrummet og sikkerhedskameraer på parkeringspladsen.

Mange organisationer fokuserer på digital sikkerhed og overser det fysiske aspekt. Men en angriber med fysisk adgang til et serverrum kan tilslutte en USB-enhed, kopiere data fra en harddisk eller installere hardware-keyloggere. Ingen mængde kryptering, firewalls eller endpoint-sikkerhed beskytter mod en person, der fysisk fjerner en server.

Fysisk sikkerhed hænger tæt sammen med adgangskontrol (hvem har adgang til hvad), identitetsstyring (hvordan verificeres identitet) og overvågning (hvordan opdages uautoriseret adgang).

Sikkerhed i lag

Fysisk sikkerhed organiseres i koncentriske zoner med stigende sikkerhedsniveauer:

Perimeter: Hegn, porte, belysning og overvågning af bygningens ydre. Formålet er afskrækkelse og tidlig detektion.
Bygningsadgang: Adgangskontrolsystemer ved indgange, receptionist, besøgsregistrering og sikkerhedsvagter.
Kontrollerede zoner: Kontorområder med adgangskort, der begrænser adgang til medarbejdere og godkendte gæster.
Sikre zoner: Serverrum, datacentre og arkiver med stærk adgangskontrol som multifaktorautentificering (kortlæser plus PIN eller biometri).

Denne lagdelte tilgang følger princippet om forsvar i dybden. En angriber skal passere flere barrierer, og hvert lag giver mulighed for detektion og respons.

Konkrete foranstaltninger

Fysisk sikkerhed omfatter flere typer foranstaltninger:

Adgangskontrol: Kortlæsere, PIN-koder, biometrisk autentificering og nøglesystemer. Serverrum bør kræve flerfaktor-adgang. Log alle adgangsforsøg og gennemgå dem regelmæssigt.

Overvågning: Kameraer, alarmsystemer og bevægelsessensorer. Optagelser bør gemmes i en periode, der gør det muligt at undersøge hændelser. Kombinér med digital overvågning for et samlet overblik.

Miljøbeskyttelse: Brandalarm, slukkesystemer, klimastyring (temperatur og luftfugtighed) og vanddetektorer i serverrum. Strømforsyning med UPS og nødgenerator sikrer tilgængelighed ved strømsvigt.

Udstyrsbeskyttelse: Sikring af bærbare computere med kabellock, skærmfiltre der forhindrer medsyn, og sikker bortskaffelse af medier og udstyr. Relaterer til datasletning ved kassering.

Personaletræning: Sikkerhedsbevidsthed inkluderer fysiske aspekter: lås altid skærmen, hold ikke døre åbne for ukendte, rapportér mistænkelig adfærd.

Regulativer og standarder

ISO 27001 har et helt afsnit i Annex A (A.7) dedikeret til fysiske kontroller: sikre områder, fysisk adgangskontrol, beskyttelse mod miljømæssige trusler, arbejde i sikre områder, og sikker bortskaffelse af udstyr. Et ISMS skal adressere fysisk sikkerhed.

NIS2 kræver, at organisationer beskytter deres kritiske infrastruktur, hvilket inkluderer fysisk sikkerhed af IT-systemer. DORA stiller tilsvarende krav til finansielle institutioners fysiske IKT-sikkerhed.

CIS 18 adresserer fysisk sikkerhed indirekte gennem kontrol 1 (inventarstyring) og kontrol 4 (sikker konfiguration). Under GDPR er fysisk sikkerhed en del af de tekniske og organisatoriske foranstaltninger til beskyttelse af persondata.

Ofte stillede spørgsmål om fysisk sikkerhed

Hvorfor er fysisk sikkerhed vigtig for IT-sikkerhed?

Hvis en angriber får fysisk adgang til servere, netværksudstyr eller arbejdsstationer, kan de omgå mange digitale sikkerhedsforanstaltninger. Fysisk sikkerhed er fundamentet, som teknisk sikkerhed bygger på.

Hvad er sikkerhedszoner?

Sikkerhedszoner er områder med forskellige sikkerhedsniveauer. Typisk: offentlig zone (reception), kontrolleret zone (kontor), restriktiv zone (serverrum) og højsikkerhedszone (datacenter). Adgangskrav stiger for hver zone.

Skal fysisk sikkerhed dokumenteres i et ISMS?

Ja. ISO 27001 Annex A har et helt afsnit (A.7) dedikeret til fysiske kontroller, herunder sikre områder, adgangskontrol, beskyttelse af udstyr og sikker bortskaffelse. Fysisk sikkerhed er en obligatorisk del af et ISMS.