В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
 |
RFID, SaaS, Mobile, биометрия: новейшие технологии |
1. |
Почему большую часть рынка RFID-считывателей продолжает занимать Proximity-технология, несмотря на все свои недостатки? |
2. |
SaaS (Software as a Service) на российском рынке СКУД - реальное завтра или туманное когда-нибудь? |
3. |
Биометрия так и останется нишевым продуктом или сможет в обозримой перспективе потеснить RFID-технологии в СКУД? |
4. |
Функционал современных СКУД избыточен или недостаточен для отечественного потребителя? 5. Современные мобильные технологии и СКУД - где возможны "точки соприкосновения"? |
А собственно, какие недостатки у Proximity-технологии? По сравнению с реально работающими технологиями я вижу только недостаточно мудреное шифрование, которое позволяет либо считать код, либо клонировать карту. Но взламывать систему таким образом слишком дорого, и на подавляющем большинстве объектов злоумышленникам дешевле подкупить охрану или перелезть через забор.
Мое мнение, что облачные решения для систем безопасности - это примерно то же самое, что хранение секретных планов нашего Генерального штаба на сервере ЦРУ.
Как только какой-нибудь способ идентификации даст такую же надежность и быстродействие, как RFID, он сразу же не то что потеснит-заменит его. Также, как когда-то RFID сменил Touch. Я думаю, что это время уже близко.
Этот вопрос - как уравнение с двумя неизвестными: чтобы его решить, надо знать, о каком потребителе идет речь. Для многих мелких объектов достаточно даже автономной системы с функциональностью тупого триггера: пускать - не пускать. А для ряда крупных заказчиков недостаточно возможностей самой интеллектуальной СКУД: им необходима адаптация под свои задачи, которая зачастую выливается в создание целой системы интеграции с инженерными, производственными, информационными структурами предприятия.
Термин "точки соприкосновения" (см. вопрос 5) напоминает хорошо знакомое старшему поколению "мирное сосуществование". Правильнее, наверное, говорить об использовании в СКУД современных, в том числе и мобильных, технологий. Не просто ради крутости системы, а для решения конкретных задач Например, была бы очень удобна идентификация пользователей СКУД по NFC, прежде всего для самих пользователей, которые скорее забудут дома карточку, чем мобильник. Для администраторов СКУД большой радостью стало бы оповещение о сбоях в системе посредством того же сотового телефона Начальники бы с огромным удовольствием отслеживали на iPad в Куршевеле опоздания и прогулы подчиненных. Для серьезных заказчиков можно было бы внедрять в систему мобильный Интернет. Например, для создания единой СКУД с удаленными филиалами. Хотя, почему "было бы", это уже есть...
Соблазн применения "типового решения" и элементарная экономия на проектировании, цене карт и считывателей (плюс малая осведомленность заказчиков) зачастую перевешивают элементарные законы логики, увы. Прекрасно осознавая недостатки и уязвимости технологии Proximity, многие инсталляторы и интеграторы уверяют, что на объекте "все равно будет охранник - вот пусть он и сверяет фотографии на входе...". В итоге СКУД зачастую превращается в придаток "человека с ружьем", вместо того чтобы этого самого человека заменить и помочь заказчикам максимально уйти от пресловутого человеческого фактора.
Еще одна причина - огромное количество карт, уже находящихся на руках у пользователей. Очень часто бюджет на расширение существующей СКУД (или развертывание СКУД в офисном центре, где все сотрудники уже пользуются Proxy-картами для входа в здание) оказывается скромнее, чем бюджет на покупку новых карт взамен Proximity Понятно, что такая "оптимизация" имеет право на существование, но в большинстве случаев это лишь увеличивает для заказчика стоимость будущего (и практически неминуемого) перехода на более надежные и безопасные RFID-карты.
На уровне менталитета отдать кому-то БД своей СКУД - совсем не то же самое, что хранить где-то в облаке вордовские документы и презентации Power Point.
Для продвижения SaaS-схема должна победить как минимум два главных предубеждения потребителей (помимо доказательства тезиса экономической эффективности для заказчика такой схемы, но это как раз проще всего, достаточно сослаться на опыт других облачных приложений):
Хранение БД
Можно сколько угодно убеждать заказчика, что серверы абсолютно надежны и кража БД невозможна, - вам все равно не поверят. Как быть? Убедить клиентов, что потенциальная кража БД ни коим образом не позволит злоумышленнику открыть дверь А это реализуемо только в том случае, если вместо использования идентификаторов карт доступа (которые по определению должны быть указаны в БД) облачная СКУД оперирует данными о доступе, которые записываются на карту с использованием аппаратной криптографии Smart-карт MIFARE, DESFire и пр. Подобные технологии подразумевают хранение ключей шифрования в аппаратном обеспечении (в самой карте и в устройствах, ее считывающих и записывающих) без необходимости их хранения в базе данных.
В итоге, даже получив доступ к базе, злоумышленник не сможет ни записать подложный ключ доступа, ни считать данные с реального ключа или точки доступа.
Работоспособность СКУД
Обеспечить работоспособность СКУД, независимую от связи с облаком, - тоже вполне реализуемая (уже сегодня) задача. Если права доступа записаны на карту (см. выше), а в контроллере точки доступа имеются свои часы реального времени и сохранены все параметры, потребителю понадобится лишь изредка синхронизировать данные между картами пользователей, точками доступа и базой данных СКУД. Можно в ручном или в автоматическом режиме. Исключительно для обновления прав доступа, сбора аудита за определенный период и/или получения отчетов, например, о приходе-уходе сотрудников для учета рабочего времени.
Конечно, реализовать контроль над системой в реальном времени - тоже не проблема Только вот заказчики, готовые оплачивать труд сотрудника, постоянно контролирующего СКУД в реал-тайме, вряд ли заинтересуются SaaS-схемой... Им проще поставить систему на свои серверы.
Учитывая, что мы сами биометрией не занимаемся (ввиду скорее исторических, чем технических причин), позволю себе "околотехническое" мнение.
Лично меня в перспективах развития биометрии сильно настораживает европейский опыт - в некоторых странах данные системы (это относится не только к СКУД, но и, например, к системам логического доступа) находятся если не под полным запретом, то под жестким законодательным регулированием Общая идея таких мер - защита персональных данных. Пример такого регулирования - разрешение на применение только данных систем, в которых биометрические признаки хранятся не в контроллере доступа, а на Smart-карте, которую пользователь носит с собой. Как технарь, я прекрасно понимаю, что математическая модель вычисления биометрического идентификатора и снимок отпечатка пальца (сетчатки глаз, 3D-модели лица и т.п.) - это принципиально разные вещи, и "распечатать на бумаге" дактилоскопические отпечатки, даже вскрыв память контроллера, невозможно - но, похоже, убедить в этом многих европейских законодателей так и не удалось. Не ровен час, и у нас в стране пройдет такая законодательная инициатива. Или просто государство решит монополизировать право использования биометрических данных граждан...
Кроме того, в России существует "генетическая память", благодаря которой все, что связано с биометрией (что для обывателя то же самое, что и дактилоскопия), прежде всего ассоциируется с силовыми органами Поэтому я не верю, что биометрия может потеснить карточные системы, а вот их интеграция (двухфакторная идентификация по карте + биометрия, причем с хранением биометрического идентификатора на карте) может оказаться весьма популярным решением для критически важных объектов или точек доступа.
Скорее всего, биометрия все же уйдет в область "обслуживания государственных интересов"..
А почему отечественный потребитель должен отличаться от "импортного" (см. вопрос 4)? При этом глупо спорить, что на данный момент такое отличие - железобетонный факт. И создали его мы сами (я имею в виду разработчиков и инсталляторов СКУД) На этапе становления и развития СКУД в России в борьбе за место под солнцем мы готовы были "по любому чиху заказчика" писать новые программные модули, придумывать невиданный доселе функционал и ставить другие нечеловеческие эксперименты над собой и заказчиком. Но такая ситуация не может считаться нормальной - и многие российские разработчики это давно поняли
Функционал СКУД как минимум на 90% зависит от функционала ПО управления системой, поэтому будет уместна аналогия, например, с продуктами Microsoft Office. Многие ли из вас умеют использовать эти продукты хотя бы на 15-20% их реального функционала? И главное - а многим ли это надо?
Но ведь при этом уже давно известно, что именно такой подход позволяет (как это ни странно) снижать издержки на разработку и сопровождение продуктов. Потому что разработчику не нужно держать дикий штат программистов для "доработки напильником" базового продукта под нужды "очень важного клиента" - и такой же штат техподцержки для обслуживания появившихся в итоге такой деятельности уникальных версий ПО.
Поэтому избыточность СКУД я считаю скорее абсолютно необходимым условием нормального развития любой системы, чем ее недостатком.
Вот только не стоит путать избыточность и "экзотичность" функционала. Западные разработчики вовсе не прочь реализовать какой-нибудь интересный запрос на добавление новой функции, но только если увидят за этим функционалом будущее с точки зрения продаж другим пользователям в ранге пакета стандартных функций будущих версий ПО. Наши разработчики так или иначе придут к тому же.
Для меня этот вопрос во многом связан с вопросом 2 (SaaS, Software as a Service). Потому что под мобильными технологиями в СКУД сейчас прежде всего понимают применение NFC-телефонов в качестве карты доступа. И вот тут как раз комбинация облачных технологий, сервисов сотовых операторов и возможностей NFC, что называется, "складываются в общую картинку".
Пример
Допустим, у вас есть несколько офисов, разбросанных по разным городам или странам. Между ними постоянно перемещаются сотрудники (менеджеры, разработчики, инсталляторы - да кто угодно). Причем некоторые из них обязаны не просто бывать в разных офисах, но выезжать туда по первому требованию в любое время дня и ночи.
Разворачивать свою локальную СКУД в каждом офисе, держать штат сотрудников, занимающихся администрацией систем и выдачей карт доступа, - не самое дешевое удовольствие. Давать доступ "всем, всегда и везде" - тоже не слишком верный (и безопасный) подход.
Решение
1. Подписываемся на SaaS-сервис СКУД и создаем единую БД сотрудников и офисов с точками доступа.
2. Выдаем сотрудникам SIM-карты или телефоны с поддержкой NFC-технологии, причем на аппаратном уровне обеспечиваем криптографию данных. (Ключи шифрования не хранятся в облаке! Помните ответ на вопрос 2?) Наверняка понадобится еще и подписка на спецсервис со стороны мобильного оператора.
3. Записываем данные об уровне доступа в защищенную память NFC-чипа и инициализируем контроллеры точек доступа (записываем в них конфигурацию и опять-таки ключи шифрования).
4. При необходимости предоставить доступ сотруднику в какой-то из офисов просто меняем его права в облаке - и жмем кнопку "сохранить". Через сети сотового оператора на NFC-чип приходит пакет данных, и в телефон записываются новые права доступа. После получения подтверждения об успешности отправки данных (еще один пакет данных, отправленный в ответ на первый) сотрудник получает SMS с подтверждением назначения доступа - можно ехать в командировку!
5. При открывании двери (точки доступа) запись аудита производится как в память контроллера СКУД, так и в память телефона. При необходимости факт открытия через все те же сети сотового оператора немедленно отправляется в облачную БД СКУД и/или в виде SMS-уведомления выбранным сотрудникам.
Ответ прост - потому что, как говорится, дешево и сердито. Это уже немало. А из минусов для данной технологии я знаю только один: недостаточная защищенность от копирования (по крайней мере у наиболее массовых карт с рабочей частотой 1 25 кГц). Кстати, надо уточнить терминологию: слово Proximity характеризует все пассивные карты с дальностью чтения до 10-15 см, и если говорить строго, то те же бесконтактные Smart-карты также относятся к этой категории, а уж у них недостатков (кроме несколько более высокой по отношению к простым картам цены) практически нет.
В широком смысле применение SaaS в СКУД - это уже не завтрашний, а сегодняшний день: на рынке есть предложения облачного учета рабочего времени, который сейчас является практически неотъемлемой частью профессиональной СКУД. Мне, например, известен также облачный сервис онлайн-идентификации по лицу. Что же касается чисто "доступных" функций, то в России мне пока такие решения не известны, и тому есть объяснения.
Во-первых, для вынесения ПО СКУД в облака требуются надежные, круглосуточно работающие каналы связи, которые у нас еще далеко не везде есть.
Во-вторых, такой сервис рентабелен только при очень большом количестве клиентов - затраты на надежную облачную инфраструктуру и ее поддержание довольно высоки Конечно, можно арендовать их у дата-центра, но и в этом случае расходы будут не такими уж и маленькими, что не приносит конечному пользователю практически никаких дополнительных преимуществ.
Ну и главное - это менталитет: любая крупная компания согласится переплатить, но не выносить персональные данные всех своих сотрудников, а также условия доступа к своим святая святых в чужие хранилища.
Если посмотреть на экономический аспект, то даже бухгалтерия (нужная всем и каждый день) в облачных сервисах не дает реального выигрыша. Что же касается такой специальной области, как контроль доступа на предприятие, то здесь экономический эффект достигнут пока быть не может, а следовательно, и ждать бурного развития в данном направлении пока не приходится.
Пока достоверность идентификации (при времени на обработку биометрических данных не более 0,2 с для базы данных в 50-100 тыс пользователей) не составит 100%, биометрия не потеснит "карточные" технологии. Она всегда будет несколько дороже, а это для большей части пользователей один из важнейших критериев.
Биометрия всегда будет важна там, где нужна гарантия, что "ключ" нельзя передать постороннему лицу. Но в основной массе пользователи в ближайшие годы будут предпочитать старые добрые Proximity-карты.
Наверное, многие уже имеют ноутбуки со сканерами отпечатков пальцев, и периодически им приходится нажимать Ctrl-Alt-Del для входа в систему по паролю вместо отпечатка пальца. И это при том, что в данном случае работает не идентификация, а верификация, при которой пороги распознавания мягко говоря, занижены. Если же на входе на даже не очень крупное предприятие поставить любую биометрическую СКУД, то проблемы на каждый день будут обеспечены.
Что уж там греха таить - сегодня большинство СКУД, представленных на российском рынке, имеют весьма сходный функционал, который создавался на основе пожеланий клиента и российского менталитета, поэтому выбор СКУД идет по совсем другим критериям.
Один и тот же функционал в пользовательском интерфейсе можно подать очень разными способами - здесь мы говорим о таком понятии, как юзабилити. Это важнейший фактор при выборе системы (конечно же, после надежности). Кроме того, многие крупные структуры имеют свои нормативные акты, касающиеся технологий работы с кадровым составом - основным субъектом СКУД, что опять же накладывает свой отпечаток на интерфейс системы. Можно спорить в части цифр, но, по грубой оценке, 80% пользователей не нужно 80% функционала стандартной СКУД, предлагаемой на рынке. Иначе говоря, 98% пользователей будут удовлетворены функционалом СКУД, какого бы происхождения она ни была.
Зато на оставшейся паре процентов производителям можно отточить свое мастерство, сделав свою систему вполне пригодной уже не для 98, а для 98,5% пользователей.
Вопрос втом, что считать "мобильными технологиями". Если говорить о Wi-Fi, то здесь имеет место проблема "последней мили": когда к КПП, где есть сеть 220 В, но нет Ethernet и невозможно через бетонное дорожное покрытие проложить дополнительный кабель, требуется подключить контроллер СКУД - беспроводные технологии являются единственным выходом. В практической жизни это единичные случаи.
Но есть еще одна тенденция, которая через некоторое время "изменит жизнь к лучшему", - это перспектива использования мобильного телефона в качестве идентификатора пользователя. Сегодня мобильный телефон выполняет множество функций, и мы с этим смирились.
Буквально с 2013 г. (имеется в виду Россия) мобильный телефон сможет заменить обычную карту доступа с использованием технологии NFC, при этом обновление прав доступа такой "карты" может осуществляться также дистанционно, с применением уже известных и давно работающих сервисов мобильной связи.
Технология Proximity 125 кГц, появившаяся на рынке более 20 лет назад и ставшая промышленным стандартом, на сегодня имеет сотни миллионов пользователей. К началу XXI века стало очевидным, что данная технология уязвима. Особенно это относится к технологии 1 25 кГц на основе амплитудной модуляции и к открытому формату 26 бит Wiegand. Рынок ответил технологией 13,56 МГц, более защищенной, и наличием дополнительных возможностей использования карты для других приложений. Однако потребители продолжают эксплуатировать старую технологию. Основных причин две:
Известно, что стоимость Smart-карт и считывателей новейших технологий с возможностью последующего апгрейда уже сопоставима со стоимостью карт и считывателей старой технологии 125 кГц. О случаях подделки карт где только не пишут, аппараты для копирования имеются в свободной продаже. Риск - дело благородное, но не в сфере безопасности. Как известно, скупой платит дважды.
В 2011 г. американский журнал SDM провел онлайн-опрос на тему "Какая из технологий СКУД окажет наибольшее влияние на вашу компанию?". Как показывает график, отображающий результаты, подавляющее большинство читателей журнала полагает, что это будут беспроводные сети и SaaS-решения.
Что касается российского рынка, считаю, что SaaS с задержкой в несколько лет придет на рынок СКУД. Причина - в неразвитости внутренней инфраструктуры организаций, высокой стоимости и низкой пропускной способности интернет-технологий. Кроме того, быстрому распространению SaaS в СКУД мешает сложившийся стереотип мышления Потребитель убежден, что при аутсорсинге услуг, связанных с безопасностью, увеличивается риск утечки информации.
Используя биометрическую идентификацию, следует помнить о вероятности возникновения ошибок FAR/FRR. Необходимо учитывать взаимосвязь этих показателей искусственно снижая уровень "требовательности" системы (FAR), мы, как правило, уменьшаем процент ошибок FRR, и наоборот. На сегодня все биометрические технологии являются вероятностными - ни одна из них не способна гарантировать полное отсутствие ошибок FAR/FRR. К тому же для идентификации требуется значительно большее время, чем в случае с картой, что неприемлемо для точек массового прохода. Данные обстоятельства в совокупности с относительной дороговизной продукции, на мой взгляд, являются главным препятствием для широкого распространения биометрических технологий Поэтому биометрическая аутентификация должна использоваться для особых зон доступа и быть по крайней мере двухфакторной - дополненной идентификацией по карте.
Как правило, разработка СКУД идет с учетом нужд конкретного потребителя. Потребителей много, и нужды у них разные. Законченное решение от производителя объединяет в себе самые разнообразные функциональные возможности. Так что для среднестатистического потребителя функционал СКУД в большей степени избыточен.
Мобильный телефон стал неотъемлемой частью жизни современного человека.
Уже осуществлен ряд проектов с использованием смартфонов с технологией NFC (Near Field Communication - технология ближнего поля) в качестве средства идентификации в СКУД. Важнейшее условие - надежная защита информационных данных. Очень важно различать простую эмуляцию карты стандарта IS014443 с использованием NFC и настоящие высокозащищенные приложения для мобильных ключей. Думаю, что в ближайшее время следует ожидать массового применения мобильных технологий в контроле доступа.
Опубликовано: Журнал "Системы безопасности" #1, 2013
Посещений: 9181
Автор
| |||
Автор
| |||
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
