Денис Иванов, 23/10/19
Департаменты информационных технологий (ИТ) присутствуют на всех крупных объектах. В их ведении находится все, что касается инфраструктуры информационной сферы: это и сети передачи данных, и серверы, и вопросы поддержки и обслуживания программного обеспечения, и многое другое. В то же время ИТ-департаменты играют все большую роль в подборе и эксплуатации средств и систем контроля и управления доступом (СКУД). Почему растет их влияние и какие новые тенденции намечаются в сфере СКУД в связи с этим?
Поскольку СКУД имеет дело с большими объемами критически важной информации, которая во многом определяет эффективность бизнеса, то собственники все чаще принимают решение о том, что управлять этими объемами должны те, кто отвечает за управление информационными потоками.
Прогресс и консерватизм
У ИТ-специалистов в силу специфики работы и накопленного опыта сложились определенные шаблоны того, как должна работать инфраструктура, с которой они имеют дело: какие сервисы она должна предоставлять, как должна создаваться, развиваться, модифицироваться и функционировать в целом. И разумеется, эти привычные модели и шаблоны работы им было бы комфортно транслировать на новые виды деятельности. И тут возникает вопрос: насколько производители и поставщики продуктов и решений для СКУД соответствуют их ожиданиям? Каковы эти ожидания? Попробуем разобраться.
СКУД по некоторым параметрам на несколько лет отстает от информационных технологий
Сфера физической безопасности весьма консервативна и по скорости внедрения инноваций на несколько лет отстает от информационных технологий. Для СКУД до сих пор характерно применение низкоскоростных интерфейсов, слабое внимание к защите информации, использование низкопроизводительных оконечных устройств и т.д. Это приводит к тому, что поставщики ряда наиболее распространенных решений не готовы к новым вызовам.
Мониторинг и контроль состояния
В сфере ИТ практически все оборудование оснащено средствами самоконтроля и информирования о своем состоянии. Для этого существуют стандартные средства, такие как протокол SNMP или решение Zabbix. Оба варианта дают возможность вести мониторинг работоспособности средств, которые их поддерживают: серверов, сетевого оборудования, источников питания, оконечных устройств и т.д.
Такой мониторинг позволяет создавать автоматизированные системы технического обслуживания и ремонта, организовывать соответствующие бизнес-процессы, контролировать своевременность выполнения работ и, в конечном итоге, снижать издержки на эксплуатацию систем и повышать их надежность. Но, разумеется, от оборудования СКУД потребуется соответствующая производительность и совместимость с упомянутыми средствами контроля.
Работа на перспективу
В сфере информационных технологий, с одной стороны, привычен постоянный рост производительности оборудования, появление новых сервисов, развитие и совершенствование существующих и возможность внедрения этих сервисов в том числе на уже эксплуатируемом оборудовании. С другой – наиболее затратная часть (например, кабельная инфраструктура) проектируется и сертифицируется с горизонтом в 25 лет. Соответственно, в ИТ привычны "длинные" инвестиции и прогнозирование и при этом возможность адаптации того, что можно адаптировать, к новым вызовам. Это означает автоматизацию процедур обновления, поддержки систем на современном уровне, прозрачность и понятность условий сопровождения со стороны производителей и поставщиков.
На данный момент в системах безопасности ситуация зачастую иная. Производители не задумываются о централизованном обновлении предлагаемых ими средств и не готовы к формализации долгосрочного сопровождения. Если в ИТ привычно понятие SLA – соглашений об уровне сервиса, то для систем безопасности (и в частности СКУД) такая модель пока непривычна, более того, она зачастую встречает сопротивление со стороны заказчика. Лично мне однажды один из конечных клиентов заявил: "За все годы существования холдинга мы никому не заплатили ни рубля за поддержку и гордимся этим". Соответственно, отсутствие запроса от рынка приводит к тому, что вендоры средств СКУД либо даже не задумываются о том, чтобы начать внедрять сервисную модель предложения своих товаров, либо сталкиваются на этом пути с сопротивлением потребителей. Возможно, большее влияние ИТ-департаментов начнет менять ситуацию.
Защита информации
Еще один важный фактор, которому уделяется огромное влияние в сфере ИТ, – это защита информации. К сожалению, в этом вопросе СКУД также не на высоте.
Потенциально все в порядке на уровне карт и их коммуникаций со считывателями: есть хорошо защищенные карты и встроенные в них и в считыватели высоконадежные алгоритмы шифрования коммуникаций, есть защищенный вариант подключения считывателей к контроллерам – OSDP. Однако, даже при внедрении очень дорогих решений СКУД порой приобретаются самые дешевые из доступных идентификаторы EM-Marine, которые клонируются в любом ларьке, а то и вовсе просто проходя мимо носителя идентификатора. OSDP, по крайней мере в России, если и внедряется, то крайне редко. Причина может быть связана как с ценовыми вопросами, так и с проприетарностью решения.
Защита информации в СКУД: возможности и реалии
В чем-то похожая ситуация наблюдается в части ПО и системообразующего оборудования: большая часть предложений на рынке в лучшем случае подразумевает авторизацию пользователей ПО (возможно, ПИН-коды на аппаратных средствах управления и индикации).
Авторизацию серверных приложений на контроллерах, с которыми они взаимодействуют, предлагают очень немногие, а уж взаимную авторизацию контроллеров друг у друга и полное шифрование всего трафика – так и вовсе единицы. У пользователей подобные решения невостребованы, и большинство технических средств СКУД просто не обладают необходимой функциональностью и вычислительными ресурсами.
Кросс-платформенность
Еще один важный фактор проявился при общении с ИТ-предприятиями (различными сервис-провайдерами, операторами ИТ-инфраструктуры и т.д.).В системообразующей инфраструктуре многих подобных организаций просто нет оборудования, работающего под управлением Windows. Необходимость его развертывания для внедрения СКУД вызывает неприятие, поскольку они сознательно отказались от использования этих операционных систем, желая снизить затраты на приобретение программного обеспечения и повысить уровень защищенности информационной инфраструктуры и устойчивость к внешним атакам.
Отдельный вопрос – внедрение систем на государственных объектах. Мы все чаще слышим о переходе на отечественное ПО и операционные системы с открытым исходным кодом. Соответственно, перед производителями решений для СКУД встает вопрос о готовности к поставкам кросс-платформенного программного обеспечения.
Кроме того, актуален и вопрос повышения надежности внедряемых и внедренных решений. Например, от серверного программного обеспечения ожидают горячего резервирования. Здесь отличным рецептом является возможность виртуализации серверных приложений, потому что в этом случае вопросы резервирования отлично решаются в рамках среды виртуализации. Но в этом случае важно, чтобы программные средства СКУД были работоспособны в такой среде.
Системная интеграция
ИТ-решения внедряются таким образом, чтобы оптимизировать те или иные бизнес-процессы организации. Создаются единые модели представления данных, единые точки авторизации пользователей, общие модели разграничения прав, централизованные инфраструктуры управления правами и многое другое. ИТ-специалисты ожидают от СКУД возможности интеграции в ИТ-инфраструктуру и бизнес-процессы предприятия, что предъявляет соответствующие требования к средствам СКУД, такие как поддержка LDAP, интеграция в Active Directory. В результате, например, становится невозможной авторизация пользователя в информационной системе при незафиксированном факте физического доступа на объект, упрощается передача информации об отработанном времени, процедура выдачи пропусков принятым на работу и отзыва пропусков у уволенных и многое другое.
Пример из жизни
Поучительная история произошла в университетском кампусе, где система безопасности в числе прочих решает и задачи контроля доступа.
Представьте: проректор по административно-хозяйственной части (АХЧ) приносит ректору на подпись служебную записку с предложением установить шлагбаум на одном из проездов, который занят припаркованными машинами, в результате чего мусоровоз не может забрать мусор.
Обратите внимание на цепочку: служебная записка – резолюция "согласен" – передача в отдел закупок. Ни служба безопасности, ни отдел информационных технологий здесь никак не фигурируют, даже мыслей не возникает, что решение данного вопроса как-то может быть связано с ними.
Итог: появляется шлагбаум, оператору по вывозу мусора выдается брелок для его открытия.
Через некоторое время по этому проезду едет главный инженер к коммуникациям, куда ему периодически нужен доступ. А тут шлагбаум. Понять, откуда он взялся, почти нереально – попробуй найди ту служебную записку. Результат: пишется новая служебная записка, на шлагбауме появляется еще один контроллер, еще один считыватель, служба главного инженера получает брелоки и открывает шлагбаум.
Проходит время. Приезжает машина "Водоканала": оказывается, у них на территории кампуса коллектор. И вдруг – шлагбаум. И опять: звонки, выяснения, проезд как-то открывают. На будущее, "во избежание", пишется служебная записка, ставится еще один контроллер, еще один считыватель, брелоки передаются "Водоканалу", шлагбаум открывается.
Потом кто-то из административного персонала обращает внимание на отличную пустую парковку в удобном месте. Но вот незадача – шлагбаум. И история со служебной запиской, новым контроллером, новым считывателем, брелоками снова повторяется!
Результат – "ощетинившийся" антеннами считывателей шлагбаум, перекрывающий доступ на объект. И никто его не контролирует.
Люди понятными им способами решали несколько частных задач. В шаблоне решения этих задач вообще не было этапа согласования со службой безопасности или ИT, что в принципе логично. Ну как может проректор по АХЧ решить, что эти подразделения имеют какое-то отношение к вывозу мусора? Как следствие, – дыра в безопасности и управленческий хаос.
От ожиданий к реальности
Основная задача в сложившейся ситуации – это превращение ожиданий в практики использования, чтобы они не оставались только картинками в буклетах или слайдами презентаций. Тем более что положительные примеры того, как на предприятиях принимают во внимание современные тренды цифровизации, уже есть.
Фото: ru.freepik.com
