Анализ СКУД: как проверить систему контроля и управления доступом на эффективность

Николай Чекрыгин

Руководитель Операционно-технической группы в Terra-Security. Эксперт в организации экосистем технической безопасности

29.08.2019

Хакеров, способных преодолеть установленные на периметре сети системы защиты, гораздо меньше чем людей, способных проникнуть на территорию компании физически. Для первого необходима сильная техническая база и багаж опыта. Для второго – немного везения, уверенность и неэффективная система контроля доступа.

Зачем нужна система контроля и управления доступом

Система контроля и управления доступом (СКУД) – это совокупность программно-технических и организационно-методических средств, решающих задачи контроля доступа в помещение. СКУД защищает от проникновения злоумышленников, позволяет организовать внутреннюю безопасность и повысить дисциплину на объекте. 

Территория компании разделяется на зоны, каждая из которых отделена дверью (турникетом, воротами и прочим) со считывающим устройством. Людей делят на группы: сотрудники отделов, обслуживающий персонал, руководящий состав – и так далее. Члены групп получают право доступа в каждую из зон в соответствии со служебными обязанностями. Помимо этого, сотрудникам назначается график посещения: если рабочий день строго нормирован, начинается в 9:00 и  заканчивается в 18:00, то в 18:01 сотрудники с выставленным графиком пройти на территорию не смогут. Вплоть до наступления очередного рабочего дня.

Важно понимать, что единожды установленная и настроенная система не будет оставаться безопасной всегда. К тому же, система изначально может быть спроектирована с ошибками, которые окажутся критическими для вашего персонала.

Фото: kp.ru

Вспомните, как преодолел турникет Борис Гриц, напавший на радиоведущую «Эхо Москвы» Татьяну Фельгенгауэр 23 октября 2017 года. Ему понадобилось ровно два действия: прыснуть из газового баллончика охраннику в лицо и поднырнуть под «лапы» турникета. Дорогая система контроля и управления доступом не выдержала столкновения с одним злоумышленником и баллончиком за пару сотен рублей. Результат: смертельно опасное ранение журналистки.

Это далеко не единственный случай, когда отсутствующая или неправильно функционирующая система контроля и управления доступом приводила к негативным последствиям. Джейсон Стрит, эксперт компании Pwnie Express, регулярно проводит тестирования на проникновение и аудит – и даже грамотно настроенный СКУД для него не проблема в случае, если персонал не обучен и не ознакомлен с регламентирующими безопасность документами.

Очередной тест требовал проникнуть в серверную государственного учреждения. На пути Джейсона стоял пропускной пункт на первом этаже: с турникетом, считывающим чипованные пропуски, и вооруженной охраной. Стрит просто заговорил с одним из сотрудников перед турникетом, и этого уже оказалось достаточно, чтобы охрана сочла его работником компании. Дальше Джейсон разыграл небольшой спектакль с «потерей пропуска», после чего легковерные охранники оформили ему временный. Без проверок, без выяснения личности, без тени сомнения. Они либо не были знакомы с внутренними инструкциями по безопасности, либо не считали нужным их выполнять – в результате Стрит проник в серверную, обманул дежурившего там техника и подсадил в сеть «трояна». Потенциальные риски и потери организации после такого оценить сложно – злоумышленник может получить доступ к конфиденциальным данным учреждения, персональным данным сотрудников, изменить их в соответствии со своими интересами либо продать. 

Анализ защищенности СКУД

В каждой системе рано или поздно находят брешь или новый вектор атаки – для программ в таком случае выпускают патчи, закрывающие уязвимости. В системе контроля и управления доступом такие бреши также вероятны, и выявить их поможет только регулярная диагностика системы контроля доступа. 

Организовать аудит можно двумя способами:

  • силами внутреннего отдела безопасности;
  • с помощью компании, работающий на аутсорсинге.

Второй способ обследования хорош тем, что не требует от руководства фирмы дополнительных действий: заключаете с компанией договор, обговариваете пожелания по тестированию – и за осмотр принимаются профессионалы. Работников внешней компании не понадобится дополнительно обучать, обследование никого из ваших сотрудников от непосредственных обязанностей не оторвет – бизнес-процессы не остановятся.

Бесплатный аудит объекта

Доверьте проверку работоспособности технических систем безопасности специалистам Terra-Security. Убедитесь в защищенности людей, объектов и ценностей на предприятии.

ОСТАВИТЬ ЗАЯВКУ

Вариант аудита СКУД внутренними силами подходит вам, если у вас есть служба безопасности. Диагностика системы контроля доступа, проведенная собственными силами, первое время будет требовать больше времени, чем аналогичная проверка внешней компанией.

Если вы решили провести аудит эффективности СКУД самостоятельно, то для вас он будет состоять из двух одинаково важных этапов:

  • оценка практической эффективности;
  • оценка полноты регламентирующих документов и принятых организационных мер.

Под оценкой практической эффективности будем понимать способность оборудования отсечь нежелательных посетителей, разграничить доступ людей в разные зоны, обеспечить безопасность сотрудников, информации и материальных ресурсов компании, а также надежно сохранить резервные копии базы данных и логов системы.

Нет смысла проводить диагностику системы контроля доступа, если у вас нет и не было четкого представления о том, чего вы добивались внедрением системы. Чтобы определить свои цели, ответьте на следующие вопросы:

  1. От кого нужно защищать объект?
  2. Какие противоправные действия злоумышленник может предпринять?
  3. Какие инженерно-технические и организационные меры приняты?

От кого защищать объект

Предполагаемый преступник может относиться к внутреннему, комбинированному или внешнему нарушителю. 

Внутренний нарушитель – это сотрудник компании, который имеет доступ в список разрешенных зон. Вы можете ограничить список доступных ему зон, график посещения, контролировать его перемещения по зданию и отслеживать попытки доступа в запрещенные зоны.

Комбинированный нарушитель – это пара злоумышленников, один из которых работает в вашей компании, а второй приходит извне. Инсайдер может либо подготовить неучтенный пропуск для своего сообщника, либо воспользоваться своим, либо провести его по временному. Также он может рассказать постороннему человеку известную ему часть информации о внутреннем устройстве систем безопасности.

Внешний нарушитель – человек извне, пытающийся самостоятельно преодолеть пропускной пункт и проникнуть на территорию компании.

Какие противоправные действия злоумышленник может предпринять

На третьем этапе необходимо определить, какие противоправные действия способен совершить злоумышленник, преодолев контрольно-пропускной пункт. Он может свободно передвигаться по большей части здания и заходить в часть кабинетов? Или дальше первого коридора пройти не удастся, так как двери снабжены считывателями и электромагнитными замками, а охранники мониторят видеокамеры и заметят подозрительного человека?

На этом этапе вы будете проводить осмотр работающей СКУД. Вы допускаете, что злоумышленник намерен преодолеть охрану и нужно понять, какие риски вы понесете в случае его успеха. Действия нападающего сводятся к следующему списку:

  • проникновение;
  • кража;
  • саботаж;
  • диверсия;
  • нанесение ущерба (материального, репутационного и так далее).

Внутренний отдел безопасности, занимающийся диагностикой системы контроля доступа, обязан не просто составить возможные сценарии действий злоумышленника, но также просчитать возможные последствия для компании.  

Какие инженерно-технические и организационные меры приняты

Анализ СКУД проводится на основе изучения исполнительной документации, осмотра объекта (при ее отсутствии) и проверки программирования. Осмотр проводят сразу по двум направлениям: инженерно-технические и организационно-распорядительные меры защиты.

В состав СКУД входят преграждающие управляемые устройства, устройства ввода идентификационных признаков, контроллеры и программное обеспечение. Также сюда включают системы видеонаблюдения и учета рабочего времени. Их проверять нужно, но часто это происходит в рамках отдельных мероприятий. 

analiz-skud-elementy-skud

Если решили проверить все разом, то помните, что видеонаблюдение в связке с зональной системой СКУД должно давать четкое понимание того, какой сотрудник где находится. По отчетам ПО вы должны видеть, сколько в интересующей зоне людей – а затем подключиться к системе видеонаблюдения и через мониторинг проверить, нет ли кого лишнего. Кроме того, видеонаблюдение должно быть правильно настроено: задано необходимое качество записываемого видео, указан метод хранения архивов, настроены зоны для датчиков движения. 

Что касается систем учета рабочего времени – по большей части они нужны с финансовой точки зрения и позволяют в удобном формате отслеживать график посещаемости работников: кто приходит вовремя, кто опаздывает либо уходит чуть раньше. Подобные терминалы в целях безопасности слабо применимы, но даже с их помощью опытный специалист по безопасности способен выяснить о сотруднике немало: достаточно построить график посещаемости и сразу станут заметны возможные аномалии. К примеру, сотрудник прошел через проходную, но до рабочего места добрался только через полчаса. Что он делал эти 30 минут – пил кофе с красивой ассистенткой или пытался пробраться в серверную? 

Проверку инженерно-технической части опишем, исходя из приведенных выше элементов системы. Задача преграждающих управляемых устройств заключается в том, чтобы подтвердить право зайти на территорию с помощью чипованной карточки – и отсечь всех, у кого такого права нет. На пропускном пункте всегда должен дежурить охранник, который будет следить за проходящим потоком людей. От посетителей он должен быть отделен стеклом, защищающим от прямого контакта. Вспомните еще раз приведенную выше историю о нападении на Татьяну Фельгенгауэр – простой турникет и нулевая защищенность охранника привели к тому, что первый рубеж обороны компании был преодолен крайне легко. Полноростовой турникет и ограждение для охранника свело бы шанс такой атаки к нулю.

Оборудование во время диагностики системы контроля доступа нужно проверять на изношенность механизмов. Первичная диагностика по силам внутреннему отделу, в случае подозрения на неисправность и нахождения устройства на гарантии – сообщить поставщику. Если гарантия уже закончилась, а турникет, скажем, вышел из строя – придется вызывать стороннюю компанию. 

Главная задача считывателя – пропустить в охраняемую зону только человека, обладающего нужным идентификационным признаком (карточкой с чипом, заведенным в систему отпечатком пальца и так далее). Проверка включает все попытки обмануть считыватель – использовать стороннюю карту или чужой отпечаток, попытаться вывести терминал из строя или же просто применить грубую физическую силу и попробовать рывком открыть дверь. Из нашего опыта следует, что неправильно установленный электромагнитный замок против такого не устоит. Старые считыватели также легко можно обойти коротким замыканием. 

Что касаемо попытки использовать заведомо неправильный отпечаток – сегодня это уже мало где сработает, но еще пару лет назад на самых дешевых считывателях электроника ошибалась. Не стоит забывать и о правильно настроенной системе запрета двойного прохода (Antipassback).

Запрет двойного прохода (Antipassback) – это дополнительная функция системы контроля и управления доступом, при которой исключается повторный проход сотрудника на охраняемую территорию без предварительного выхода. Таким образом Antipassback не позволяет человеку проводить кого-либо по своему пропуску.

Контроллер отвечает за работу всей системы. Доступ к нему нужно ограничить, так как инструкции по работе и программированию большей части устройств доступны в Интернете. Получив доступ к контроллеру злоумышленник может вывести из строя часть системы, запереть или напротив открыть контролируемые двери. 

В СКУД есть такое понятие как «контролируемая зона» – это такое пространство компании, где исключено неконтролируемое пребывание посторонних. Никто туда так просто не зайдет, и не останется там без присмотра – либо будет находиться в присутствии сотрудника организации, либо в поле зрения видеокамер. Разумеется, это оборудование, равно как и линии связи и питания должны размещаться в контролируемой зоне. Более того, они должны быть расположены таким образом, чтобы свести вероятность несанкционированного доступа к нулю.

Контроллеры должны быть снабжены блоками питания с дополнительными батареями для автономной работы: даже если вам отключат свет и попытаются штурмовать, блоки питания  помогут продержаться приличное время – сутки, двое или даже трое. Батареи должны быть заряженными. В условиях реальной жизни, даже приобретая новый аккумулятор, нельзя быть уверенным в его заряде. Полностью заряженные АКБ не перевозятся. Работоспособность блоков питания, состояние батарей и в целом сети питания во время проверки также необходимо оценивать – если что-то внезапно выйдет из строя, то двери распахнутся и останутся открытыми. Возможна обратная ситуация: скачки напряжения в сети питания уже неоднократно приводили к тому, что контроллер переставал открывать двери. Поэтому диагностика сети также необходима. 

В результате проведения анализа защищенности вы получаете детальный отчет по состоянию безопасности на предприятии и защищенности СКУД. Регулярная проверка может казаться необязательной – настроенная система более-менее способна работать сама по себе. Но такой подход чреват тем, что какая-то часть системы выйдет из строя, а вы про это узнаете, когда злоумышленник этим сбоем воспользуется.

 

Обслуживание технических систем безопасности

Обеспечьте бесперебойную работу всех систем технической безопасности на предприятии.

Назначить встречу с Экспертом

Подписаться на блог

Подпишитесь на блог, чтобы быть в курсе свежих новостей

Появились вопросы?

Задайте их нашему эксперту и получите ответ в течение 30 минут

Shchukina-Tatyana-Viktorovna Татьяна Щукина Региональный менеджер