Как обезопасить СКУД даже от самого подготовленного взломщика?
Наталья Беркутова, Александра Кунина, Дмитрий Попов, 22/10/21
Несмотря на алгоритмы криптографической защиты и другие современные технологии, вопрос защиты данных в СКУД по-прежнему актуален. Как бы парадоксально это ни звучало, в отрасли безопасности "безопасность" развивается медленнее, чем в других сферах. Большинство каналов связи в таких системах до сих пор остаются "прозрачными": они не зашифрованы и не имеют инструментов, препятствующих перехвату данных. Часто для этого даже не требуется каких-то специфических знаний и навыков, что становится дополнительной мотивацией к подлогу системы злоумышленниками.
Основа любой системы контроля и управления доступом (СКУД) – это управляющее устройство (контроллер), считыватели и идентификаторы, с которых система и получает всю необходимую информацию.
Три самых популярных вида идентификаторов – карты, биометрия и смартфоны. Это первое уязвимое место в системе безопасности. Практически любой идентификатор, например карту, можно копировать, а систему распознавания лиц – обмануть с помощью фотографии.
От бесконтактных карт до биометрии
До сих пор самым популярным форматом карт в России остается EM Marine, который не имеет абсолютно никакой защиты. Получив такую карту, можно буквально за 100 рублей сделать ее копию в любом из многочисленных сервисов, специализирующихся на изготовлении ключей или домофонных брелоков. Или, потратив примерно такую же сумму, делать дубликаты самостоятельно с помощью устройств для клонирования карт, находящихся в свободной продаже на AliExpress и подобных площадках.
Чтобы избежать такой ситуации, требуется использовать современные стандарты карт, которые благодаря шифрованию обеспечивают безопасность информации на самой карте. Например, когда считыватель не просто получает общедоступный UID (уникальный идентификационный номер) карты, но также обращается к определенному зашифрованному месту на ней и убеждается, что на нем записан необходимый "ключ" (пароль) для дальнейшей работы.
Одни производители разрабатывают свои уникальные форматы идентификаторов, другие поддерживают открытые и общеизвестные, например MIFARE. Такие карты широко используются в качестве транспортных в системах "Тройка" или "Подорожник", как Ski Pass на большинстве горнолыжных курортах или как пропуск в некоторых фитнес-центрах, например World Class.
Кроме того, некоторые банковские карты с бесконтактным чипом (MasterCard PayPass, Visa PayWave) могут выступать в качестве идентификатора MIFARE, что позволяет в рамках одного носителя объединить несколько функций. Нередко такой подход используется в кампусных проектах, где для студента эта карта – и финансовый инструмент, и обычная банковская карта, на которую он получает стипендию, и пропуск в общежитие или лабораторию, и читательский билет и др.
Если говорить о формате MIFARE, то можно по-разному подходить и к способу шифрования этих карт. Определенные вендоры предоставляют возможность пользователю на своей стороне переводить карты в зашифрованный режим, а некоторые сами занимаются шифрованием и хранением ключей, отправляя клиентам уже готовые карты.
Важно, чтобы решения производителя имели возможность работы с идентификаторами, имеющими инструменты защиты от копирования. Вендор также должен позаботиться о том, чтобы для непосредственного пользователя системы работа с такими картами с точки зрения администрирования не была сложной.
В последнее время в качестве идентификаторов все чаще встречаются и смартфоны. Передача данных в этом случае может осуществляться при помощи двух технологий – NFC и Bluetooth. Они обе пришли из ИТ-сферы, широко распространены и доступны на большинстве устройств.
Интерфейсы связи между считывателем и контроллером
Перейдем ко второму возможному уязвимому месту в системе. После того как считыватель получил информацию от идентификатора, он должен передать ее на контроллер. Есть множество интерфейсов связи между считывателем и контроллером, которые используются производителями СКУД по всему миру. Одни из самых распространенных – Touch Memory, Wiegand и OSDP.
Каждый производитель выбирает сам для себя интерфейс, исходя из запросов со стороны рынка. Иногда разработчики создают свои, менее публичные, протоколы связи. При этом система становится менее гибкой, что отчасти сделано еще и для привязки к поставщику (Vendor Lock) и установки дальнейшего оборудования только определенного производителя.
Таблица. Стандарты интерфейсов связи между считывателями и контроллером
Такие интерфейсы, как Wiegand и Touch Memory (его еще часто называют iButton), не поддерживают шифрование передаваемых данных, аутентификацию сторон или контроль целостности линии связи. Передача данных по ним происходит посредством коротких импульсов от считывателя, которые контроллер фиксирует на своей стороне и понимает, какая информация была передана.
Эту информацию можно легко перехватить, наблюдая за колебаниями напряжения на проводах линии. Конечно, добраться до самих проводов под чистовой отделкой или в специальные короба – более сложная задача, однако сама уязвимость при этом не теряет своей актуальности.
Устройство для копирования бесконтактных карт
Интерфейс OSDP (Open Supervised Device Protocol) – современный, унифицированный и безопасный, но пока недостаточно распространенный. Очень важный аспект стандарта – это возможность использования криптографии при обмене данными между периферийными устройствами и контроллером.
OSDP представляет собой все еще нишевое решение для заказчиков, у которых вопрос безопасности стоит на первом месте (например, банковские структуры или предприятия нефтегазовой отрасли). Но это только пока: стандарт все больше набирает популярность не только за счет своей унифицированности и защищенности, но и удобства настройки и использования. Безопасность – это хорошо, но это не единственное, что нужно пользователям.
Так, например, к нативным возможностям OSDP относится отслеживание состояния связи с устройствами, а также, в отличие от того же Wiegand, отсутствие необходимости прокладки дополнительных коммуникаций: на одной линии могут работать и несколько считывателей.
Интерфейс OSDP хоть и является стандартом, но, как следует из названия, никак не ограничивает возможности расширения своих функций.
При желании производителя по этому же интерфейсу можно обновлять настройки индикации считывателей, прошивки устройств, настраивать режимы работы с картами, имеющими инструменты защиты от копирования, и многое другое.
Примеры идентификаторов формата MIFARE
Интерфейсы связи между контроллером и сервером
Третье уязвимое место в системах контроля и управления доступом – связь между контроллером и сервером, которая осуществляется разными способами. Самыми распространенными интерфейсами для этого являются RS-485 и Ethernet.
При взаимодействии сервера с контроллером может передаваться различная информация (данные для доступа сотрудников – номера карт, правила доступа), а также осуществляется обратная процедура – отправка на сервер информации о событиях на точках прохода. Все это происходит посредством канала, который тоже должен шифроваться.
Поскольку СКУД все глубже интегрируется в ИТ-экосистему компаний, использование интерфейса Ethernet смотрится выигрышнее из-за удобства подключения, администрирования и достигаемого уровня безопасности. Так, например, при передаче данных существует нативная возможность их защиты посредством шифрования по стандартным протоколам TLS и DTLS, широко использующимся во множестве приложений, с которыми знаком каждый: веббраузеры, клиенты электронной почты, мессенджеры или приложения IP-телефонии (VoIP).
Защита передаваемых данных от идентификатора до сервера СКУД
Хранение данных
Очень важен вопрос хранения на сервере личных данных сотрудников, клиентских баз и другой конфиденциальной информации. Для этого существуют специализированные программы для защиты данных от копирования и передачи, средства для шифрования информации на жестких дисках и т.д.
Но, даже несмотря на их использование, не стоит забывать базовые правила, выполнение которых становится залогом надежности хранения данных. Среди них можно отметить своевременное обновление системы, установку надежных паролей и их регулярную смену, проработку политик доступа, включенный Firewall и др.
Основным источником возникновения угроз для безопасности является не оборудование, а сам человек. Можно рассчитать устойчивость системы и предусмотреть риски, но по итогу самом слабым местом в системах безопасности остается человеческий фактор. Например, сотрудник охраны бизнес-центра может продать парковочные карты жителям соседних домов, а рядовой сотрудник – исправить данные о своем рабочем времени, если оператор забудет выйти из программы. Подобных примеров множество.
Гарантия защиты
Проблема обеспечения безопасности информации в системах безопасности крайне актуальна.
В этом смысле "сквозная защита данных", начиная от идентификатора и заканчивая сервером системы, – это обязательная составляющая современных СКУД, помимо которой производителю следует позаботиться об удобстве использования и администрирования всей системы.
В условиях сближения с ИТ-сегментом строгое следование стандартам, проверенным на протяжении нескольких лет и успешно применяющимся повсеместно, не только гарантирует достаточный уровень защиты информации в СКУД, но также делает систему более понятной и прогнозируемой для ИТ-специалистов, все чаще задействованных в выборе и администрировании подобных решений.