Защищенная идентификация в Системах Контроля Доступом: УЯЗВИМОСТЬ В СКУД

Когда СКУД - НЕ БЕРЕЖЁТ

По данным ISBC, одного из крупнейших производителей идентификаторов в РФ, 97% организаций в России не используют защищенные методы идентификации в СКУД. 

Связано это с двумя основными причинами - контроль доступа осуществляется либо по морально и технически устаревшим картам EM Marine, которые не имеют и не могут иметь никакой защиты от копирования, или по картам Mifare, но не в защищенном режиме - что с точки зрения устойчивости к подлогу равноценно использованию карт EM Marine. То есть почти все компании в стране имеют брешь в системах контроля доступа, но ничего не делают с этим.

Из числа компаний, которые используют защищенные от копирования форматы карт,
только 10% используют их правильно.

Так исторически сложилось. Россия в силу особенностей технологического развития практически не пользовалась магнитными картами для доступа, а сразу перешла на бесконтактные. Карты EM Marine - на тот момент самые дешевые и понятные в работе идентификаторы. 

Стоимость заметно отличалась от Mifare в меньшую сторону, организация системы контроля доступа и выпуска новых карт была более понятна и проста - как для монтажных организаций, так и для владельцев СКУД. 

Считыватель Sigur MR1 работает с различными типами карт Mifare: Classic, DESFire, Plus - в том числе в режиме SL3, а также банковскими картами.

Те же, кто все-таки перешел на Mifare, к сожалению, очень часто не используют возможности защищенной идентификации, а просто «читают» их UID, доступ к которому никак не защищен. Опять же, почему? Потому что нет соответствующих компетенций, чтобы настроить работу, и инфраструктуры - считыватели, поддерживающие «секьюрные» режимы, менее распространены и стоят дороже. 

Почему пора что то с этим делать

Но переходить на более защищенные способы идентификации необходимо: повышать компетенции, обновлять инфраструктуру. И вот почему. 

Во-первых, знать о такой глобальной уязвимости в системе контроля доступа и ничего с этим не делать - халатно. Да, можно возразить, что там же охранник сидит, он все контролирует. Не все: человеческий фактор, отвлекся, отвернулся, телефон упал со стола, наклонился поднять. К чему эти риски, если их можно исключить? 

Клонирование карт незащищенных от копирования занимает
считанные секунды.

Во-вторых, стоимость карт EM Marine и Mifare практически сравнялись (если, например, говорить о Mifare Classic или ID) - этот фактор нивелирован, сэкономить почти не получится. 

Понятно, что взять и заменить в один момент все карты, - дорого. Но для плавного перехода существуют мультиформатные считыватели: старый считыватель вышел из строя - заменить его на мультиформатный: он и EM Marine прочитает, и Mifare в защищенном режиме. 

В-третьих, например, можно совместить функции СКУД с другими функциями в одной карте: у работников есть транспортные карты - используйте их и экономьте. Есть зарплатный проект - поговорите с банком, с производителем СКУД, они подскажут, как организовать и настроить систему доступа по банковским картам: это надежно с точки зрения стойкости к взлому и копированию, карты всегда у работников под особым контролем. Более того, можно сэкономить на их администрировании: карта - собственность банка, пусть он их и меняет, и перевыпускает. 

Обычные банковские карты с бесконтактным чипом можно
использовать для нужд СКУД.

Возможно также перейти не на новые карты, а на идентификацию по мобильному телефону. Это тоже вариант: трафик шифруется, доступ к телефону защищен аутентификацией по биометрии или пин-коду. Да и просто так смартфоны друг другу не передают - это личные вещи, которые работники будут стараться держать при себе. 

Sigur MR1 BLE также поддерживает идентификацию с использованием смартфона - как на базе iOS, так и Android.

Просто, как EM Marine

Да, настройка оборудования для работы в защищенном режиме требует определенных компетенций и знаний. Но крупные производители СКУД обычно стараются сделать этот процесс максимально удобным, привычным и понятным. 

Ключевых момента здесь два. Первый - нужно иметь ввиду, что многие считыватели Mifare поддерживают только чтение номера карты. При этом считыватели, которые могут работать с защищенной памятью, должны быть для этого правильно настроены - обычно по состоянию «из коробки» они опять же читают только номер карт. 

Выдача новой карты в СКУД с помощью настольного считывателя.

Например, в Sigur мы постарались упростить этот момент: прямо в ПО, без использования стороннего софта, можно готовить карты настройки считывателей для работы в защищенном режиме. Эти карты потом «предъявляются» считывателям и сообщают, откуда из памяти карт пользователей читать идентификационные данные, какой ключ (пароль) для этого использовать. 

Второй - подготовка новых карт Mifare (Classic, DESFire, Plus) для сотрудников и гостей также возможна в ПО Sigur без стороннего софта. Оператор просто назначает карту персоне, указывает права доступа и выдает - также, как это делается при использовании карт EM Marine. 

То есть в Sigur работа с картами с поддержкой защищенного режима также проста и удобна, как и с картами EM Marine: как в плане технического перехода и настройки, так и с точки зрения работы операторов СКУД.

Резюме

В итоге получается, что переход на защищенную идентификацию, - необходимый и не столь уж болезненный процесс, как многим представляется. Такая модернизация системы контроля доступа позволит закрыть уязвимости в безопасности, сделать организацию более современной и даже сэкономить на выпуске и администрировании карт. 

Организовать работу с идентификаторами, защищенными от копирования поможет считыватель Sigur MR1, - он поддерживает работу с большинством карт семейства Mifare, а также позволяет использовать мобильные устройства для идентификации в СКУД. 

Подробнее на официальном сайте производителя - SIGUR