ACaaS: парадигма сервисных моделей в СКУД

Хотя рынок систем контроля и управления доступом (СКУД) — сфера довольно консервативная и революционных изменений здесь не происходит, мы наблюдаем эволюцию в сторону повышения безопасности технологий идентификации, рост числа интегрированных систем с распределенной филиальной структурой и поддержкой широкого списка оборудования ведущих мировых производителей. Глобальные процессы, происходящие в мире, такие как цифровизация, развитие IoT, искусственного интеллекта, естественно, оказывают влияние на развитие этой отрасли. Одна из таких тенденций — организация контроля доступа по сервисной модели (Access Control as a Service или ACaaS — контроль доступа как услуга).

Самые разные сервисы все активнее внедряются в нашу жизнь, и мы с удовольствием ими пользуемся. Например, в 2018 г. в Москве был сосредоточен самый большой в Европе каршеринг-автопарк. Все более востребованными становятся услуги аренды квартир, складов. Во многих городах открываются коворкинги, куда можно прийти поработать и воспользоваться Интернетом за определенную плату. Происходит постепенное изменение парадигмы поведения: чем меньше мы владеем чем-либо, тем мы более свободны в своей жизни. Мы избавлены от забот о хранении, обслуживании, страховании, уплате налогов, ремонте и т.д.

Эта же парадигма проявляется и в области систем безопасности.

Облачный бум

Впервые термин SaaS (Software as a Service) появился на Западе и перекочевал в Россию с названием "облачный сервис".

Рис. 1. Услуги SaaS

Существует огромное количество сервисов, облегчающих жизнь компаниям, которые могут заказать ту или иную услугу, закладывая ее в бюджет как операционные расходы. Например:

1. Поведенческая аналитика. Анализируя, что люди делают на сайте, можно изучить их поведение на каждом этапе.
2. Бухгалтерский учет. Все больше компаний отдают эту услугу на аутсорсинг.
3. CRM (Customer Relationship Management). Системы управления взаимоотношениями с клиентами.
4. ERP (Enterprise Research Planning). Планирование ресурсов предприятия.
5. Хостинг.

Модель СКУД как услуги

Всем хорошо знакома классическая модель системы контроля и управления доступом: считыватель, интерфейсный модуль контроля, корпоративный сервер, рабочие места (бухгалтерия, охрана, бюро пропусков и т.д.).

Рис. 2. Архитектура классической СКУД

В модели СКУД как услуги (Access Control as a Service) внутренняя архитектура остается прежней, а считыватели и серверная часть переходят в облако.

Традиционных рабочих мест, как в классической модели, в этом случае нет. Каждый пользователь может с любого места, где есть Интернет, подключиться к облаку и получать соответствующие данные.

Рис. 3. Архитектура СКУД как услуги (ACaaS)

По сути, это новый характер взаимоотношений "потребитель — поставщик", где обслуживание передается сторонней организации, которая:

• отслеживает работоспособность и устраняет ошибки;
• обновляет ПО;
• хранит на своем сервере данные о событиях.

Преимущества от использования этой модели получают, прежде всего, конечные заказчики:

• отсутствие необходимости установки программного обеспечения на свой сервер и каждое рабочее место;
• поддержка и обновление сервиса становятся исключительно задачей разработчика;
• платформенная независимость;
• подключение к Интернету необходимо только для изменения настроек;
• возможность работы СКУД без компьютера на объекте, нет необходимости устанавливать рабочее место;
• централизованное управление несколькими объектами;
• работа из любой точки мира.

Инсталляторы тоже видят ряд плюсов:

1. Отсутствие установки и необходимости настройки программного обеспечения.
2. Доступный монтаж СКУД на объектах, где установка компьютера невозможна или нерентабельна.
3. Возможность избежать прокладки дополнительных сетей.

Рост рынка ACaaS

По исследованиям Gartner, к 2020 г. 20% крупных организаций будут использовать облачные технологии для организации систем физического контроля доступа.

Аналитическое агентство MarketsandMarkets прогнозирует, что рынок ACaaS будет расти примерно на 24—26% в год и в 2022 г. превысит отметку 1,6 млрд долларов. Основным драйвером роста с долей 45% станут США

Мобильный доступ как услуга

Наиболее стремительно развивающийся сервис в СКУД — это мобильный доступ, состоящий их четырех основных элементов:

1. Мобильный идентификатор в телефоне.
2. Портал (или доверенный центр), в котором выдаются мобильные идентификаторы.
3. Мобильное приложение.
4. Считыватель.

Рис. 4. Основные элементы мобильного доступа

Рис. 5. Прогноз глобальных продаж мобильных идентификаторов (тыс. шт.) по данным IHS Markit, 2018 г.

Если говорить об изменениях мобильного доступа как услуги, то вначале продажи постоянных мобильных идентификаторов подразумевали капитальные вложения компаний. Теперь этот подход меняется на модель операционных расходов, когда компания оплачивает услугу на год вперед и вместо мобильных идентификаторов получает лицензию.

На первый взгляд кажется, что это дороже, поскольку платить надо ежегодно. С другой стороны, с учетом сменяемости смартфонов (в среднем раз в 2—3 года) и текучести кадров подписная модель более выгодна. При смене смартфона или увольнении одного сотрудника и найме другого не нужно заново платить за идентификатор. К тому же многие производители услуг мобильного доступа предоставляют возможность на одну лицензию выпустить несколько мобильных идентификаторов для различных устройств.

Процесс подписки происходит примерно так: первый заказ, через какое-то время дополнительный заказ и по окончании календарного года — обновление (прерывание либо изменение количества лицензий).

Рис. 6. Модель подписки на мобильный доступ как услугу (цены условные)

Например, начальный заказ компании включает в себя 100 лицензий. Через четыре месяца компания может увеличить штат сотрудников и потребуются еще 300 лицензий, которые будут стоить уже на треть дешевле, так как продолжается календарный год. Через восемь месяцев оформляется еще один заказ по стоимости, пропорциональной прошедшему периоду. По окончании календарного года принимается решение, сколько лицензий будет продлено, приобретено или отменено.

По исследованиям международной экспертной компании IHS Markit и прогнозу глобальных продаж, рост числа мобильных идентификаторов по 2021 г. будет происходить в геометрической прогрессии

Контроль рабочего времени сотрудников и оптимизация пространства

Относительно недавно на рынке появилась услуга Real-Time Location Service. Ее суть в том, что каждый сотрудник имеет определенную метку (например, мобильный телефон) и данные о его местонахождении фиксируются специальными устройствами, которые устанавливаются в помещении и по Wi-Fi передают информацию в облачные сервисы.

Подобная статистика нужна для понимания того, как сотрудник ведет себя на рабочем месте, чем он занят, каковы его перемещения. В случае аварийной ситуации можно отследить, кто еще не покинул помещение. Кроме того, с помощью аналитики перемещения сотрудников владелец компании может оценивать, насколько эффективно используется пространство помещения и правильно ли оно организовано.

"Бреши небесные"

Облачные решения обладают массой преимуществ. Сами облака становятся доступнее, удобнее и с каждым годом предоставляют все больше функциональных возможностей. Вместе с тем в СКУД мы не наблюдаем форсированного перехода на облачные решения. Какие факторы на это влияют? Помимо призраков "Большого брата" или хакера, похищающего персональные данные, пользователей, как правило, волнует ряд типовых вопросов:

1. Какие существуют угрозы при использовании облачных решений?
2. Как обеспечивается хранение, обработка, передача и уничтожение персональных данных?
3. Кто несет ответственность за утечку данных и в какой мере?
4. Какова мировая практика и тенденции в этой сфере?
5. Что происходит в области законодательных актов?

Что утекает?

Хотя в целом количество утечек возрастает, тем не менее в банках, финансовом секторе, страховании и государственных структурах на самом деле оно уменьшилось.

Согласно исследованию группы компаний InfoWatch, чаще всего происходит утечка персональных данных (80% случаев). Равные доли (по 9,2%) приходятся на платежную информацию, коммерческие секреты и производственные ноу-хау.

Рис. 7. Отраслевое распределение утечек из облачных сервисов (%), по данным группы компаний InfoWatch

Защита персональных данных у нас и за рубежом

Многие эксперты считают, что Федеральный закон о персональных данных № 152 слишком общий и требует доработки с упором на международную практику и четкой сегментации.

В октябре 2018 г. Россия присоединилась к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенция № 108), в том же году вступил в силу Европейский общий регламент по защите персональных данных — GDPR (General Data Protection Regulation).

GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

За несоблюдение положений GDPR накладываются достаточно серьезные штрафы.

• В Великобритании оштрафовали British Airways на 183 млн фунтов за утечку персональных данных клиентов. Как говорится в сообщении регулятора, расследование выяснило, что информация клиентов была скомпрометирована из-за слабой защиты ИТ-систем компании. Среди утраченных данных оказались номера кредитных карт, детальные сведения о бронированиях билетов, имена и адреса пассажиров.
• 21 января 2019 г. Национальная комиссия по информатике и гражданским правам Франции (CNIL) вынесла решение оштрафовать американскую компанию Google LLC на 50 млн евро за нарушение основных требований GDPR. Сумма штрафа беспрецедентна. Это наглядно показывает, чем грозит несоответствие требованиям. Что же Google сделала не так в отношении обработки персональных данных? Французская комиссия определила, что при начальной конфигурации мобильного устройства на операционной системе Android (Google) пользователь не получает полной информации о том, что Google делает с его персональными данными.
• В августе 2019 г. шведская школа оштрафована на 200 тыс. крон (около 1,37 млн рублей) за то, что использовала для контроля посещаемости учащихся функцию распознавания лиц через камеры. Как сказано в сообщении регулятора, биометрические данные для распознавании лиц представляют собой конфиденциальные личные данные, которые нуждаются в особой защите. Совет средней школы заявил, что они получили согласие учащихся на распознавание лиц для контроля посещаемости. Однако юристы, участвующие в расследовании, пришли к выводу, что такое согласие является недействительным, поскольку ученики находятся в зависимости от школы. Это первый штраф от шведского регулятора по европейскому регламенту о защите персональных данных.
• В 2019 г. исследователи безопасности обнаружили доступное через Web-браузер хранилище ElasticSearch, принадлежащее ведущему мировому разработчику биометрических систем идентификации. В результате утечки скомпрометировано более миллиона отпечатков пальцев и другая критичная информация.

Будущие надежды и опасения

Достоинства облачных сервисов очевидны: доступность, низкая стоимость, надежность, безопасность, удобство. Они обладают большей производительностью, функциональностью и хранилищем данных и продолжат завоевывать новые ниши.

Текущая ситуация на международной арене ACaaS позволяет предположить, в каких направлениях будут развиваться дальнейшие события:

• угрозы утечек персональных данных будут возрастать;
• способы защиты и технологии информационной безопасности будут совершенствоваться;
• продолжат ужесточаться высокие требования международного законодательства к защите персональных данных.