4 miesięcy temu
W jakim celu stosuje się systemy kontroli dostępu?
Systemy kontroli dostępu stosuje się w celu zabezpieczenia obiektu. Jest to oczywiste do momentu, kiedy postawione zostanie dodatkowe pytanie – przed jakiego rodzaju intruzem? Może to być zaskoczeniem, iż klasyfikacja intruzów, z wyjątkiem ich stopnia profesjonalizmu, może mieć znaczenie. Aby adekwatnie przedstawić to skądinąd najważniejsze zagadnienie planowania zabezpieczeń z zastosowaniem EACS, należy przywołać dwa fakty. Pierwszym jest to, iż kiedy opracowywano rozwiązanie SKD nie włączono go do już istniejącej i dobrze opisanej dziedziny SSWiN. Stworzono odrębną, opisaną dzięki osobnych norm, ponieważ SKD i SSWiN nie można mierzyć jedną miarą, mimo iż oba systemy służą do realizacji tego samego zadania, czyli technicznej ochrony osób i mienia. Mimo to, do dziś wiele osób wymaga przedstawienia takich samych atestów czy certyfikatów urządzeń SKD, jak te przeznaczone dla rozwiązań SSWiN. Drugi fakt dotyczy nazewnictwa. W anglosaskim obszarze językowym, gdzie opracowano kontrolę dostępu, nazwano ją access control. Angielskie control to po polsku sterowanie, a nie kontrola. Podobny problem wystąpił wcześniej z tłumaczeniem terminu quality control i w powszechnym obiegu stosuje się określenie kontrola jakości, a tylko specjaliści z tej dziedziny rozróżniają, kiedy ma miejsce kontrola, a kiedy sterowanie jakością. Fachowcy z branży zabezpieczeń też powinni oddzielać reaktywną czynność kontroli od pro-aktywnej sterowania dostępem, czyli ruchem osobowym w obiekcie. Mając to na uwadze, systemy kontroli dostępu maja za zadanie chronić przed osobami uprawnionymi (w jakiś sposób) do przebywania w danym obiekcie, tj. przed intruzem wewnętrznym.
Oczywiście, systemy kontroli dostępu stosowane na obrysie bądź na obwodzie obiektu, będą również zapewniać ochronę przed intruzem zewnętrznym, nieuprawnionym do przebywania w nim. Nie zmienia to jednak faktu, iż ich podstawowy cel stanowi ochrona zasobów znajdujących się w obiekcie przed osobami uprawnionymi do przebywania w nim.
Systemy kontroli dostępu – sterowanie ruchem osobowym w obiekcie
Systemy kontroli dostępu oferują różnego rodzaju funkcjonalności, których głównym zadaniem jest zabezpieczenie obiektu przed intruzem wewnętrznym. Jedną z nich są dwustronnie kontrolowane przejścia, na których czytniki są zainstalowane zarówno po stronie wejścia, jak i wyjścia. Aby wejść lub wyjść należy użyć karty. Rejestr zdarzeń w takim miejscu umożliwia określenie czasu przebywania użytkownika (posiadacza karty) w danym pomieszczeniu. jeżeli jest on dłuższy niż wynika to z obowiązków służbowych i/lub poleceń przełożonego, powinien stanowić powód do złożenia wyjaśnień oraz określenia czy pracownik nie przyłożył odpowiedniej uwagi powierzonemu zadaniu czy wszedł w posiadanie wartości przechowywanych w tym pomieszczeniu.
Kolejną funkcją jest antypassback, czyli tryb działania, który wymaga potwierdzenia opuszczenia przez użytkownika obszaru kontrolowanego, aby możliwe było powtórne wejście i na odwrót. Można ją uruchomić wyłącznie na przejściach dwustronnie kontrolowanych, a opracowano ją w celu uniemożliwienia przekazania przez użytkownika (po wejściu do obiektu/pomieszczenia) swojej karty innej osobie, która nie posiadając własnej, mogłaby również wejść. Funkcja ta oferuje 5 trybów, takich jak twardy, miękki, globalny, czasowy i obszarowy.
Systemy kontroli dostępu zapewniają również inne funkcjonalności umożliwiające śledzenie ruchu osób uprawnionych w obiekcie, np.:
- obecność podwójna – każdorazowo, co najmniej dwóch uprawnionych użytkowników wchodzi do obszaru/pozostaje w obszarze,
- blokada przechodzenia grupowego – zapobiega lub wykrywa usiłowanie uzyskania dostępu przez, co najmniej dwie osoby wykorzystujące tylko jeden identyfikator,
- śledzenie danych identyfikacyjnych – śledzenie ruchu karty w czasie rzeczywistym podczas wchodzenia i wychodzenia,
- eskortowany dostęp gościa – przyznanie dostępu pod warunkiem sekwencyjnego użycia karty gościa i uprawnionej osoby towarzyszącej.
Szczegółowe wyjaśnienia tych pojęć znajdują się w normie PN-EN 60839-11-1:2014-01P.
Podstawowy obowiązek inwestora
Inwestor ma za zadanie wyznaczyć przejścia (drzwi), przy których należy zastosować system kontroli dostępu, a także określić ich rodzaj (jedno- lub dwustronnie kontrolowane). Tej czynności nie powinien realizować projektant, ew. może/powinien doradzić. Pomocną będzie tu norma PN-EN 60839-11-2 „Wytyczne stosowania”, w której opisano wymagania ogólne dotyczące planowania, instalowania, eksploatacji, konserwacji i dokumentacji elektronicznych systemów kontroli dostępu (EACS).
Inwestorzy, którzy posiadają szczególnie cenne/wrażliwe zasoby, a więc muszą liczyć się z podwyższonym ryzykiem narażeń, powinni zapoznac się również z zaleceniami normy PN-EN 60839-11-1 „Wymagania dotyczące systemów i komponentów”. Pomoże im to przełożyć wiedzę o lokacji chronionych zasobów, znajomość procedur działalności podstawowej obiektu (ruchu osób w obiekcie) oraz informacje o personelu, na wymagania użytkowe wobec instalacji SKD. Wspomnianej wiedzy o funkcjonowaniu przedsiębiorstwa w zabezpieczanym obiekcie nie posiada żaden projektant. Co więcej, w niektórych przypadkach nie powinno się jej mu udostępniać.
Systemy kontroli dostępu, a rejestracja czasu pracy (RCP)
Inwestor często wymaga, aby systemy kontroli dostępu realizowały także funkcje rejestracji czasu pracy. Często wynika to z chęci wdrożenia systemu 2 w 1. Celem RCP jest dostarczenie służbom odpowiedzialnym za rozliczenie płac (HR) danych o przepracowanym przez pracownika czasie, dlatego w proces inwestycyjny należy włączyć osoby, które wykonują zadania nie mające nic wspólnego z czynnościami służb ds. zabezpieczeń, a także uwzględnić uregulowania prawne dotyczące rozliczania czasu pracy. Zagadnienia sprzętowe i softwarowe, istotne ze względu na całkowitą odmienność funkcjonalności SKD i RCP, można opanować, jeżeli wybrane zostaną profesjonalne produkty i doświadczony integrator systemów. Szczególne znaczenie ma to w przypadku dużych przedsiębiorstw, gdzie dane RCP muszą być automatycznie przekazane w czasie rzeczywistym do systemu ERP. W zintegrowanym rozwiązaniu SKD-RCP-ERP zyskuje się możliwość dokonywania operacji on-line na jednej wspólnej bazie danych pracowników, a więc zmiany dokonują się równocześnie we wszystkich systemach.
Rozbrajanie przejść kontrolowanych przez System sygnalizacji pożaru (SSP)
Planując systemy kontroli dostępu często stawia się wymaganie, aby w przypadku alarmu pożarowego, SSP automatycznie i bezwarunkowo rozbroił (otworzył) wszystkie przejścia kontrolowane, ze względu na obowiązujące przepisy. Z punktu widzenia zabezpieczeń oznacza to, iż w przypadku alarmu pożarowego (intruz wewnętrzny może względnie łatwo go wywołać) dostęp do chronionych zasobów będzie otwarty. Stawiającego takie wymaganie należy poprosić o wskazanie podstawy prawnej, która miałaby wymuszać zastosowanie takiego rozwiązania. Można spokojnie czekać na odpowiedź, ponieważ żadne przepisy tego nie wymagają. Poprawnym postępowaniem w projektowaniu SKD jest uzgodnienie, w jaki sposób ma funkcjonować każde pojedyncze przejście kontrolowane w przypadku alarmu pożarowego. Osprzęt przejścia kontrolowanego, które ma pozostać uzbrojone (zamknięte) podczas alarmu pożarowego jest dostępny na rynku. Kwestie związane z indywidualnym ewakuacyjnym rozbrojeniem (otwarciem) przejścia w sytuacji zagrożenia (nie tylko pożarowego) ma opanowane każdy profesjonalny projektant i zna skutki ew. błędu w tej materii.
Wyższość niższej ceny nad wyższym bezpieczeństwem
Systemy kontroli dostępu starszego typu, w których zastosowano zbliżeniową technologię kart/czytników w jej pierwszym wydaniu, mają trzy słabe punkty:
- format Wieganda stosowany w kodowaniu kart (danych identyfikacyjnych przechowywanych w pamięci transpondera)
- częstotliwość 125 kHz radiowej komunikacji pomiędzy kartą i czytnikiem,
- interfejs Wieganda stosowany w przewodowej transmisji danych pomiędzy czytnikiem a centralą SKD.
Wspomniane rozwiązania pojawiły się na rynku kilkadziesiąt lat temu i zostały ustanowione jako branżowy standard, co umożliwiło właścicielom instalacji SKD uniezależnienie się od konkretnego dostawcy kart i czytników. Jednak już od wielu lat można zakupić, w stosunkowo niskiej cenie, urządzenia do przełamywania takich systemów. Duplikacja kart 125 kHz czy otwieranie przejść z czytnikami 125 kHz dzięki hackerskich urządzeń jest w tej chwili bardzo proste. Mając to na uwadze, dość gwałtownie opracowano standaryzowane rozwiązania nieporównywalnie trudniejsze do przełamania:
- karty tzw. inteligentne, gdzie dane są szyfrowane (analogiczne do kart bankowych),
- częstotliwość 12,56 MHz radiowej transmisji pomiędzy kartą i czytnikiem,
- interfejs RS-485 i protokół OSDP w transmisji danych identyfikacyjnych pomiędzy kartą a centralą SKD.
To rozwiązania oferują mnóstwo zalet w zakresie poziomu bezpieczeństwa danych i odporność na przełamanie. Mają również jedną wadę, którą jest cena, dlatego, w celu umożliwienia stopniowej modernizacji starszych systemów kontroli dostępu, opracowano karty i czytniki wielosystemowe łączące obie technologie.
Nadal niestety zdarza się, iż ze względu na koszty, choćby w nowo realizowanych systemach kontroli dostępu inwestorzy wymuszają zastosowanie starych rozwiązań. Na szczęście, pojawiły się już dwie okoliczności sprzyjające podniesieniu poziomu bezpieczeństwa SKD. Pierwszą jest trend na stosowanie telefonów jako nośników danych identyfikacyjnych, nie pozwalają one bowiem na ich nieszyfrowanie i na otwartą komunikację z czytnikami. Drugą jest RODO przewidujące (wysokie) kary za niezabezpieczone przetwarzanie danych osobowych.
Systemy kontroli dostępu z identyfikacją biometryczną
Technologią biometryczną, o której w tej chwili mówi się najczęściej jest identyfikacja twarzy, zaś najrzadziej identyfikacja naczyń krwionośnych (palca lub dłoni). Obie postrzegane są jako kontrowersyjne. Wyrokiem NSA, pracodawca nie może wykorzystywać biometrycznych metod identyfikacji w RCP, Kodeks Pracy zezwala jednak na ich wykorzystanie w SKD.
Inwestor powinien wiedzieć, iż biometryczne systemy kontroli dostępu można tak skonfigurować, iż wzorzec danych biometrycznych pracownika w ogóle nie jest przechowywany w ich pamięci, a jedynie w pamięci nośnika (karty), który cały jest w wyłącznym posiadaniu jej użytkownika (pracownika). Użytkownik karty na przejściu kontrolowanym najpierw wczytuje wzorzec biometryczny z karty do czytnika, który następnie porównuje go z aktualnym odczytem adekwatnej cechy fizycznej użytkownika i przesyła informację o pozytywnym/negatywnym wyniku porównania do centrali SKD, która z kolei podejmuje decyzję o przyznaniu/odmowie dostępu. W tak skonfigurowanej instalacji SKD (jednorazowe) zaprogramowanie wzorca danych biometrycznych w nośniku, a także każda transakcja z użyciem nośnika na przejściu kontrolowanym są odnotowywane w rejestrze zdarzeń systemu, bez wpisu samego wzorca cechy fizycznej użytkownika i jej aktualnego odczytu. Porównanie zapisanego w nośniku wzorca cechy z jej aktualnym odczytem jest znacznie szybsze niż porównanie aktualnego odczytu z wzorcem przechowywanym w pamięci systemu, zwłaszcza w systemach z dużą liczbą użytkowników, co jest kolejną zaletą takich systemów kontroli dostępu.
