Citius, altius, forties...
Немного о разумном консерватизме
Наличие богатого ассортимента новинок на рынке СКУД не подразумевает их автоматического внедрения на реальных объектах. Для нового устройства или новой технологии порою важно не то, насколько они функциональны и эффективны, сколько реальная готовность потребителей их использовать. Рынок безопасности, особенно в сегменте СКУД, всегда отличался заметным консерватизмом и порою даже достойная и интересная новинка проходит весьма длительный путь завоевания потребительских симпатий (и кошельков). Если здоровый консерватизм уберегает потребителя от скоропалительных и необдуманных шагов, то нежелание что-либо менять в принципе кроме как "упертостью" назвать нельзя, и это может привести к серьезным проблемам.
В данном каталоге вы можете ознакомиться с разными интересными новинками СКУД, но я считаю необходимым во введении сделать акцент на двух известных технологиях идентификации - Proximity и Smart, относящихся к направлению RFID, - поскольку ситуация на многих существующих объектах с точки зрения безопасности становится гротескной и требует вмешательства. Инерция мышления у многих руководителей просто "зашкаливает", и напомню, что СКУД - это все-таки система безопасности и должна ее обеспечивать соответствующим образом.
Небольшой экскурс в историю
Если отмотать назад лет двадцать и вспомнить, какие технологии идентификации были именно тогда на только начинающем формироваться рынке СКУД, то можно назвать карты с магнитной полосой, Wiegand и Proximity. Биометрия в России тогда была из разряда "есть ли жизнь на Марсе", и мы о ней говорить не будем. Если на Западе, где, собственно говоря, началось развитие СКУД, магнитные карты получили широкое распространение, то у нас фактически массовое применение СКУД ассоциируется именно с бесконтактными Proximity-картами. Технология карт Wiegand, фактически ставшая переходной от магнитных карт к Proximity, не получила широкого распространения и в некотором роде стала экзотикой, которую сейчас встретить менее реально, чем те же магнитные карты, продолжающие применяться в некоторых сегментах СКУД до сих пор (например, гостиничные системы). Proximity-технология (125 кГц), относящаяся к классу RFID (Radio Frequency Identification), имела в свое время два больших преимущества перед магнитными картами - приличную защищенность и бесконтактный (дистанционный) способ чтения карты на считывателе. Именно удобный бесконтактный способ идентификации и стал ключевым фактором распространения Proximity в СКУД и сделал данную технологию доминирующей на рынке. Вы спросите - зачем нужны такие исторические экскурсы? Просто это поможет трезвым взглядом оценить уже текущую ситуацию.
От Proximity к Smart
Прогресс и техническая мысль не стоят на месте, и нет ничего странного, что со временем появилась следующая RFID-технология - бесконтактные Smart-карты (13,56 МГц). Самое главное, что, сохраняя удобный бесконтактный способ идентификации, они имели намного большую защищенность. Важно также, что на них можно было хранить разную информацию (в разных секторах памяти) и перезаписывать ее при необходимости, что наделяло их новым функционалом. В России наибольшее распространение получили Smart-технологии Philips MIFARE и HID iClass. С момента своего появления в 1994 г. Smart-технология проделала большой путь, и в настоящее время мы можем наблюдать уже третье, четвертое поколение продуктов, которые давно переросли стандартный функционал считывателей и идентификаторов для СКУД. Длительное время Proximity и Smart присутствовали на рынке одновременно и успешно сосуществовали, поскольку ориентировались на разные целевые группы потребителей, но ситуация давно изменилась. Если раньше потребитель мог выбрать невысокую функциональность и приемлемую защищенность за умеренную цену или широкие возможности, высокую защищенность и перспективность за ощутимо большую стоимость, то теперь защищенность Proximity не выдерживает никакой критики, а стоимость Smart-считывателей и карт давно упала до того же уровня. Порядок цены один, а по защищенности эти технологии просто несравнимы. Насчет защищенности все просто - наберите запрос "клонирование Proximity-карт" и посмотрите, что получится. Стоимость выезда мастера с оборудованием для клонирования Prox-карты на месте составляет 800 рублей, как говорится, no comments.
Ключевое отличие Smart от Proximity-технологии состоит в том, что перед передачей данных на считыватель выполняется ряд действий, связанных с защитой информации, при этом обеспечивается взаимная аутентификация карты и считывателя, осуществляется сессия обменов информацией между ключами кодировки. Только после этого данные шифруются с измененными ключами, и карта передает их.
Вывод простой: если у вас сейчас на объекте используются Proximity-карты в СКУД или даже MIFARE Classic, то это не система безопасности, а просто система регистрации персонала (причем незащищенная). И если вы руководитель СБ, пора не просто задуматься о проблеме, давно пора ее решить!
Кто виноват и что делать?
Если вы руководитель СБ и не хотите, чтобы вам хозяин бизнеса или совет директоров задали первую часть вопроса, то на вторую ответ уже есть - пора переходить на другие, защищенные технологии идентификации. Чтобы "подсластить пилюлю", хочу сказать, что переход необязательно должен быть сразу и везде, можно его сделать различными путями и постепенно, сохранив на какое-то время часть системы на старом оборудовании, о чем скажу ниже. Есть также еще один положительный момент: современные технологии обеспечивают возможность совершенствования системы без замены оборудования. Я хочу поделиться краткой цитатой моего коллеги Сергея Гордеева из компании HID Global: "Любые технологии рано или поздно устаревают и становятся уязвимыми. Задача состоит в том, чтобы иметь возможность обезопасить систему от хакерских атак в будущем, тем самым значительно продлить срок жизни продуктов и сохранить инвестиции заказчиков. Пользователям теперь не требуется менять считыватели и карты в случае компрометации программного интеллекта этих компонентов - достаточно провести апгрейд (сменить прошивку), не снимая считыватель со стены. Другими словами, речь идет о применении методов ИT для СКУД".
Современные мультиформатные считыватели для апгрейда СКУД
Для минимально болезненного перехода к новым технологиям идентификации в существующих СКУД возможно использование нескольких вариантов такого апгрейда:
- Использование карт с несколькими чипами (читаются и на старых считывателях, и на новых).
- Использование новых мультиформатных считывателей, способных читать и старые, и новые карты.
Есть еще простой способ - выкинуть старые считыватели и карты и заменить их на Smart-считыватели и карты последнего поколения, но не все готовы терять уже установленное оборудование.
Какой вариант предпочтительнее для вас, зависит от того, какое количество карт и точек прохода есть сейчас в вашей системе, и от вашей готовности к радикальным переменам. Если у вас много карт, возможно расширение системы сделать на мультиформатных считывателях, если много считывателей - возможно, будет дешевле заменить карты на мультиформатные.
Современные мультиформатные считыватели поддерживают открытый протокол управления устройствами (OSDP, Open Supervised Device Protocol) - новый стандарт Ассоциации индустрии безопасности (SIA), который вместе с протоколом защищенного канала (SCP) обеспечивает безопасную передачу данных и централизованное управление. При этом обеспечивается многоуровневая безопасность, выходящая за рамки стандартной технологии карт СКУД и защита от взлома для ключей и криптографических операций (за счет аппаратного обеспечения с элементами безопасности EAL5+). Мультиформатные считыватели облегчают переход на новую технологию на объектах, построенных на традиционных технологиях (125 кГц). Это достигается за счет поддержки чтения карт HID Prox, Indala, AWID и EM4102, что позволяет эффективно использовать инвестиции, вложенные ранее в инфраструктуру карт. Независимые от технологии считыватели также поддерживают платформы iCLASS® Seos™ и iCLASS SE, стандарт iCLASS, MIFARE, MIFARE DESFire EV1 и другие ведущие технологии. Такие считыватели обладают высокой приспособляемостью - обеспечивают взаимодействие с различными технологическими средами и моделями, включая смартфоны NFC.
Системы безопасности должны обеспечить безопасность
В заключение я позволю себе сделать некоторое лирическое отступление от темы. Если мы говорим о том, что наши системы обеспечивают безопасность объекта, они сами должны быть защищены от неправомерных действий и саботажа. Если в современных СКУД даже действия операторов подвергаются аудиту, внутреннему контролю и протоколированию, то уж потенциальная опасность клонирования идентификатора СКУД недопустима.