Mija już trzy lata od wprowadzenia w 2016 obowiązującej wersji Normy Obronnej, mimo to, nadal przysparza ona wiele problemów interpretacyjnych. Czy to znaczy, że została źle napisana? Myślę że nie, jest ona po prostu kompromisem między: stanem aktualnym zabezpieczeń na jednostkach wojskowych, złożonością problemu ich ochrony, a próbą otwarcia się na nowe technologie, nawet te, które nie były znane w chwili pisania Normy Obronnej. Na pewno wiele negatywnych opinii dla tego dokumentu powstało w wyniku wybiórczego podejścia do tematu, np. aby zrobić poprawnie instalację kontroli dostępu nie wystarczy przeczytać tylko część NO-04-A004-6:2016, ponieważ kontrola dostępu jest tylko jednym z elementów systemu bezpieczeństwa, na który mają wpływ pozostałe elementy. W takim kontekście chciałbym przeprowadzić analizę zagadnień dotyczących kontroli dostępu w Normie Obronnej.

 

 Główne cele jakie można zaobserwować w najnowszej NO to zwiększenie poziomu zabezpieczeń chronionych obiektów, poprawienie stabilności i autonomiczności oraz ułatwienie obsługi i zarządzania danymi w oprogramowaniu. Zresztą o wadze oprogramowania w NO może świadczyć to, że ponad sześćdziesiąt procent tekstu zawartego w NO jest opisem funkcjonalności jakimi ma się charakteryzować oprogramowanie. Jest to potwierdzenie ogólnoświatowego trendu jaki dotknął branżę bezpieczeństwa.

 

Zwiększenie poziomu zabezpieczeń chronionych obiektów w ramach kontroli dostępu należy zrealizować przede wszystkim poprzez zastosowanie pasywnej, szyfrowanej nieumożliwiającej podsłuchania ani skopiowania karty (NO-04-A004-6:2016 punkt: 2.4). Norma nie wskazuje konkretnej technologii kart, dzięki czemu jest otwarta na nowe rozwiązania. Na rynku oferowane są w tej chwili dwie technologie spełniające ten zapis: Mifare Plus i DESFire. Na pewno nie spełnia go standardowy Mifare ani Unique mimo deklaracji producentów. Ich zabezpieczenia bardziej polegają na ochronie swoich interesów (czytniki i karty można kupić tylko u nich), niż zabezpieczenie przed zeskanowaniem karty (posiadając kartę ze standardowym Mifare można w Warszawie w kiosku z biletami wykasować wszystkie pseudo zabezpieczenia i wgrać na nią bilet miesięczny). Nie do końca konsekwentnie względem transmisji między kartą, a czytnikiem została rozstrzygnięta kwestia transmisji między czytnikiem, a kontrolerem. Niby zapis NO-04-A004-4:2016 punkt: 2.1 stanowi, że w przypadku montażu urządzenia poza strefą ochronną należy do transmisji danych wykorzystywać wyłącznie transmisję cyfrową szyfrowaną, jednak pojęcie strefy ochrony jest n i e zd e f i n i owa n e.00Jeżeli przyjmiemy, że strefą ochronną jest granica działki to faktycznie nie ma problemu z wykorzystywaniem niczym niezabezpieczonego jednokierunkowego Wieganda. Jeżeli podejdziemy do tego bardziej zdroworozsądkowo i stwierdzimy, że czytnik zewnętrzny na wejściowej do jednostki furtce jest już poza strefą ochrony, to będziemy wymagali dwukierunkowej transmisji danych z kontrolą działania czytnika, szyfrowaną transmisję danych, najlepiej na RS485 zgodnie z tym kierunkiem, z którym podąża świat. Dla przypomnienia klasa 4 według normy EN 60839-11-1:2013, która jest dedykowana na obiekty infrastruktury krytycznej oraz militarne w ogóle nie zezwala na korzystanie z Wieganda, a w klasie 3 można korzystać z Wieganda pod warunkiem montażu kabli w metalowych rurkach. Na zachodzie Europy egzekwowanie użycia tej normy poskutkowało tym, że około 80% całej sprzedawanej kontroli dostępu jest realizowana w oparciu o szyfrowaną transmisję po RS485.

 01

Dodatkowym wymogiem, który ma zwiększyć poziom bezpieczeństwa na obiektach jest konieczność wykorzystywania anti-passback (NO-04-A004-6:2016 punkt: 2.2), ale nie w zakresie jednego kontrolera tylko obejmującego wszystkie przejścia na jednostce. Czyli jak się nie wejdzie na teren jednostki to nie można wejść do żadnego budynku, oraz jak się nie wyjdzie z budynku A to nie można wejść do budynku D. W tym kontekście istotna jest również integracja kontroli dostępu z depozytorem kluczy (NO-04-A004-6:2016 punkt: 2.8), która ma zadbać o to aby osoba, która pobrała klucze nie mogła opuścić jednostki oraz możliwość ustawienia terminu ważności dla karty (NO-04-A004-6:2016 punkt: 2.2). Piszący normę zauważyli, że niektórzy producenci idą trochę na skróty i zaznaczyli, że ważność kart ma być przechowywana i respektowana na poziomie kontrolera.

 

Poprawienie stabilności systemu w głównej mierze polega na rozproszeniu decyzyjności co do otwarcia drzwi, czyli rezygnacja z central lub jeszcze gorzej komputerów, w których przechowywane były uprawnienia na rzecz lokalnych kontrolerów obsługujących kilka drzwi w najbliższej lokalizacji (NO-04-A004-6:2016 punkt: 2.2) oraz zasileniu kontrolerów zasilaniem z sieci 230 V zabezpieczonej lokalnym akumulatorem (NO-04-A004-6:2016 punkt: 2.11). Sposób monitorowania stanu zasilania nie jest

dokładnie opisany więc, według mnie można się w tym przypadku posiłkować zapisem jaki możemy znaleźć w części dotyczącej systemów alarmowych (NO-04-A004-1:2016 punkt: 4), gdzie musimy monitorować: brak i przywrócenie zasilania podstawowego, brak zasilania rezerwowego (akumulatora) lub spadek napięcia zasilania rezerwowego poniżej poziomu, przy którym urządzenia pracują poprawnie. Istotną uwagę poświęcono również ochronie przed sabotażem (NO-04-A004-6:2016 punkt: 2.2). Poprzez analogię do części NO-04-A004-1: 20016, w której bardziej rozbudowany jest opis poświęcony sabotażom. Można wnioskować, że monitorowanie sabotaży powinno być realizowane na każdym etapie od monitorowania każdej skrzynki i puszki połączeniowej po monitorowanie przerwania połączenia między komputerem, a kontrolerem i kontrolerem, a czytnikiem. Kolejny raz sensownym wydaje się dwukierunkowa transmisja danych eliminująca jednokierunkową transmisję Wiegand. Oczywiście same czytniki, nawet po Wiegandzie mają sabotaż oderwania od ściany, ale wystarczy pamiętać jakiego koloru są przewody w danym czytniku odpowiedzialne za sabotaż, aby ich nie przecinać odcinając czytnik od kontrolera. Wtedy do próby przejścia przez takie drzwi nikt nie będzie wiedział o odcięciu czytnika. Czyli zakładany czas 5s nie zostanie spełniony.

 

Ułatwienie obsługi i zarządzania danymi w oprogramowaniu nie zostało sprowadzone do roli wyświetlania suchych zdarzeń, a są to wymagania konkretne i bardzo rozbudowane. Ewidentnie pisane przez pryzmat polskich produktów, które znalazły zastosowanie w wojsku. Posiadają one znacznie bardziej rozbudowaną obsługę przez co kłopotliwe jest spełnienie wielu opcji przez zagraniczne kontrole dostępu, których najczęściej nie można dostosować do wymogów lokalnych. Podstawowym parametrem jaki ma spełniać oprogramowanie to możliwość wprowadzania użytkowników (NO- -04-A004-6:2016 punkt: 2.1) z zastrzeżeniem, że nie można wydać (wygenerować) dwóch takich samych identyfikatorów kart. W brew pozorom wiele kontroli dostępu można wydać kilka takich samych identyfikatorów (dotyczy to systemów z programatorami: dodajemy osobę i kartę, usuwamy i kolejny raz dodajemy osobę programując nową kartę z poprzednim identyfikatorem, mamy wtedy dwie karty w obiegu o tym samym identyfikatorze). Idealny system z programatorem kart musi sam generować unikalny identyfikator, tym bardziej, że fizyczny numer karty nie może mieć żadnej relacji z nadrukowanymi na karcie numerami.

 

Konieczność wydawania duplikatów kart nie może powodować dublowania numeru fizycznego tylko i wyłącznie jej uprawnienia z ustawieniem działania takiej karty do np. jednego dnia. Oczywiście, aby nie można było korzystać z obu kart, na okres działania duplikatu oryginał musi być zablokowany w systemie. W tym miejscu należy pamiętać, że za uprawnianie kart pracowników odpowiedzialny jest administrator posiadający swoje stanowisko poza Lokalnym Centrum Nadzoru. Oficer dyżurny w zakresie uprawnień może je jedynie blokować po stwierdzeniu jakiś nieprawidłowości ze strony użytkownika (częściowo lub całkowicie) lub modyfikować w zakresie przewidzianym przez administratora. Dla oficera dyżurnego, oprogramowanie jest podstawowym narzędziem zarządzania kontrolą dostępu. Z niego oficer powinien mieć możliwość weryfikacji na obrazie z kamer osób przechodzących przez przejścia z prezentacją ich zdjęć (NO-04-A004-6:2016 punkt: 2.2), wyświetlania i wydruku osób obecnych na danym obszarze. Do zadań realizowanych przez OD należy również wydawanie i odbieranie przepustek typu „Gość”, łącznie z pełną kontrolą ich przemieszczania – funkcjonalność określana jako „Recepcja”, rzadko spotykana w zagranicznych rozwiązaniach. Ważną możliwością jest zdalne odblokowanie/zablokowanie przejść i jednorazowe otwarcie – jest to zabezpieczenie na wypadek zablokowania się osoby w wyniku zadziałania anti-passback. Oczywiście zablokowana osoba musi mieć zapewnioną możliwość skomunikowania się z OD, a on z kolei na weryfikację poprzez zamontowane kamery. W celu uproszczenia obsługi wymagana jest pełna wizualizacja aktualnego stanu przejść na podkładach architektonicznych z mechanizmami zgodnymi z częścią: NO-04-A004-5:2016. W tym miejscu należy spojrzeć szerzej na temat, ponieważ wymagana jest współpraca systemu kontroli dostępu z wewnętrznymi i zewnętrznymi systemami alarmowymi, telewizją dozorową, systemem pożarowym i innymi urządzeniami znajdującymi się na terenie jednostki (NO-04-A004-6:2016 punkt: 2.13). Można tą współpracę realizować poprzez elektryczne połączenie tych systemów, ale można zrobić to bardziej funkcjonalnie poprzez system integracyjny.

 

Całkowicie osobnym tematem są raporty, których w normie przewidziano bardzo dużo. Począwszy od konieczności rejestrowania i możliwości wydruku wszystkich zdarzeń powstałych w kontroli dostępu po raport ostatniego użycia karty dostępu, filtrowanie względem przejścia, daty i czasu oraz wiele innych kryteriów.

 

Norma zwraca uwagę również na poziom zabezpieczenia samego oprogramowania (NO-04-A004-6:2016 punkt: 3) wymagając od producenta zapewnienia środków uniemożliwiających nieuprawnione dokonanie zmian. Realizuje się to najczęściej poprzez rozbudowane uprawnienia, ograniczające dostęp osobom do poszczególnych opcji oraz zabezpieczenie samej bazy danych. W większości przypadków, producenci korzystają z baz danych typu SQL, które albo sami zabezpieczają fabrycznie przed zewnętrznym dostępem, albo umożliwiają założenie instalatorowi własnych haseł dostępu do bazy.

 

Mam nadzieję że tym artykułem przybliżyłem nieco problematykę Normy Obronnej i zachęciłem wszystkich do przeczytania wszystkich jej części, ponieważ dopiero w tedy można mieć obraz systemu bezpieczeństwa jaki forsuje NO-04-A004:2016, której tylko jednym ze składowych elementów jest kontrola dostępu. Dla porównania proponował bym zgłębić również normę EN 60839-11-1:2013, która promuje zmiany w systemach bezpieczeństwa w całej Europie.

02

 

 

 

Pin It

 

bg
pi