📌 Введение: СКУД как объект комплексного экспертного исследования
- Системы контроля и управления доступом (СКУД) являются важнейшим элементом безопасности любого объекта — от офисного центра до режимного промышленного предприятия. Они защищают материальные ценности, конфиденциальную информацию и, что самое главное, безопасность персонала. Однако любая СКУД имеет слабые места: ошибки монтажа, устаревшее программное обеспечение, небрежность в настройке прав доступа, скрытые дефекты оборудования.
- Независимая экспертиза СКУД позволяет не только зафиксировать уже произошедший инцидент (кражу, проникновение), но и выявить потенциальные уязвимости до того, как ими воспользуются злоумышленники. В отличие от штатных сотрудников службы безопасности, независимый эксперт не ограничен корпоративными обязательствами и действует исключительно в интересах заказчика, применяя научно обоснованные методы диагностики.
⚙️ Глава 1. Сбои в работе СКУД: классификация и методы выявления
1.1. Технические сбои оборудования
| Тип сбоя | Проявление | Причины | Метод выявления экспертом |
| Отказ считывателя карт/биометрии | Карта не читается, биометрический шаблон не распознаётся, дальность считывания упала (с 5 см до 1 см) | Износ катушки антенны, загрязнение оптики (биометрия), дефект пайки, некачественный контакт в разъёме | Сравнение с эталонным считывателем, измерение напряжений на выходе, проверка целостности кабеля |
| «Дребезг» контактов кнопки выхода (REX — Request to Exit) | Дверь открывается самопроизвольно от вибрации, ложные срабатывания | Окисление контактов, неправильная настройка таймера задержки, некачественная кнопка, нарушение пайки «дребезг» логируется | Осциллограф, проверка пайки, анализ журнала на предмет частых событий «Кнопка выхода нажата» без физического воздействия |
| Залипание электромагнитного замка | Дверь не открывается при отключении питания (аварийная ситуация) | Остаточная намагниченность якоря, неправильный зазор между якорем и магнитом, дефект блока питания (БП) (напряжение не снимается до 0) | Измерение остаточного напряжения на замке, проверка зазора щупом, анализ схемы управления реле |
| Задержка срабатывания замка | Дверь открывается через 3-5 секунд после прикладывания карты (норма — 0,5 с) | Перегруженная шина RS-485, нехватка памяти контроллера, большая сетевая задержка (latency), дефект блока питания (БП) по току | Осциллограф (замер времени от фронта сигнала до срабатывания), анализ загрузки контроллера |
1.2. Сбои, связанные с кабельными линиями и интеграцией
| Тип сбоя | Проявление | Метод выявления |
| Обрыв линии RS-485 | Часть контроллеров (дальние) не отвечают, часть работают | Прожарка линий мегаомметром, измерение сопротивления петли |
| Наводки (помехи) на линию связи | Периодическая потеря связи с контроллерами, ложные срабатывания датчиков | Осциллограф (наложение сигнала 50 Гц от силовых кабелей), проверка экранирования |
| Отсутствие реакции АПС на событие «Пожар» (интеграция с автоматической пожарной сигнализацией) | Двери не разблокированы при пожаре | Имитация сигнала тревоги на входном порте контроллера, анализ реакции |
🔓 Глава 2. Уязвимости СКУД: что может быть взломано
2.1. Сетевые и программные уязвимости
| Уязвимость | Риск | Метод выявления |
| Стандартные пароли на контроллерах (admin/123456) | Злоумышленник подключается к web-интерфейсу и открывает любую дверь | Проверка паролей через web-морду, telnet/ssh, SNMP (community public/private), анализ конфигурации (файлы конфигурации,.conf) |
| Отсутствие шифрования трафика (Telnet вместо SSH, HTTP вместо HTTPS) | Перехват паролей и команд открытия дверей по сети (сниффинг) | Анализ трафика Wireshark; попытка подменить команду (ARP-spoofing) |
| Уязвимости в прошивке (Firmware) контроллера (известные CVE) | Удалённое выполнение кода (RCE), DoS-атака, отключение системы | Сравнение версии прошивки с базой CVE; сканирование уязвимостей (Nessus, nmap скрипты) |
| Неограниченное количество попыток подбора PIN (на считывателе с клавиатурой) | Перебор PIN-кода (брутфорс) — злоумышленник может перебрать 10 000 комбинаций за час | Тестирование: ввод неверного PIN многократно, фиксация блокировки или её отсутствия |
2.2. Физические уязвимости
| Уязвимость | Риск | Метод выявления |
| Незащищённый кабель от считывателя до контроллера | Злоумышленник подключается к линии Wiegand (4-6 проводов), перехватывает код карты или эмулирует открытие | Визуальный осмотр; проверка, заведён ли кабель в металлорукав (гофрированную трубу), доступен ли в подвесном потолке |
| Отсутствие антипассбэк (Anti-Passback) | Одна карта может провести двух человек (хвост) | Тестирование: приложить карту, выйти, попытаться войти снова — доступ должен быть запрещён (если настроено) |
| Мастер-карта (Master) не защищена | При утере мастер-карты злоумышленник может открыть любую дверь | Проверка настроек: мастер-карта не должна иметь доступ ко всем зонам |
🕵️ Глава 3. Выявление фактов несанкционированного доступа (форензика)
3.1. Анализ журналов событий (Event Logs)
Эксперт восстанавливает хронологию проходов, анализируя лог-файлы (обычно в формате CSV, SQLite, MS SQL, MySQL). Что он ищет:
| Признак | Что означает | Поисковый запрос |
| Проход с неактивной карты (карта уволенного сотрудника) | Карта не была заблокирована после увольнения; возможен доступ постороннего | SELECT * FROM AccessLog WHERE CardStatus = ‘Disabled’ AND AccessGranted = 1 |
| Доступ в зону, не соответствующую должностным обязанностям | Сотрудник зашёл в серверную, хотя по должности ему туда нельзя (возможно, шпионаж или хищение) | SELECT * FROM AccessLog WHERE UserRole NOT ALLOWED Zone |
| Доступ в нерабочее время (ночью, выходные) | Сотрудник физически находился на объекте вне графика (возможно, вынос имущества) | SELECT * FROM AccessLog WHERE (DATEPART(hh, EventTime) < 7 OR DATEPART(hh, EventTime) > 20) AND User = @User |
| Вход без выхода (или выход без входа) | Карта передана другому лицу (нарушение anti-passback). Хвост. | SELECT * FROM AccessLog WHERE PreviousEventType = NULL (пропущен выход) |
3.2. Сравнение с данными видеонаблюдения
Эксперт сопоставляет событие в журнале (время, идентификатор карты, дверь) с записью видеокамеры:
| Несоответствие | Доказательство |
| Доступ предоставлен, но на видео — пустой проём | Возможно, дверь была не закрыта / подперта, не сработал магнитный контакт |
| По карте Петрова прошёл Иванов | Передача карты, фиксация лица (идентификация по видео) |
3.3. Анализ действий администратора
Эксперт проверяет, не злоупотреблял ли администратор своими правами:
| Действие | Признак злоупотребления |
| Создание/удаление карт | Карта создана в 2 часа ночи (в нерабочее время) |
| Изменение прав доступа | Изменены права группы доступа (например, добавлена серверная комната) без заявки |
| Отключение логирования | Логирование отключалось в определённый промежуток, затем включалось (чтобы скрыть следы) |
🔐 Глава 4. Примеры из практики (кейсы)
Кейс № 1. Уязвимость антипассбэк
Ситуация: В банке сотрудники подозревали, что уборщица после окончания смены проводит своих родственников в хранилище. В системе был включён антипассбэк (Anti-Passback), но экспертиза выявила, что он настроен только на один считыватель, а не на пару «вход/выход». Один сотрудник мог провести картой несколько раз, если интервал между считываниями не проверялся.
Действия эксперта: Эксперт проверил настройки, инициировал тест с двумя картами: провёл картой уборщицы на вход, а затем тут же провёл ею же на вход — система разрешила (нарушение). 🕵️
Результат: Банк изменил конфигурацию, настроив проверку вход/выход. 💪
Кейс № 2. Клонирование карт с помощью проксимити-считывателя
Ситуация: В научно-исследовательском институте из лаборатории пропадали образцы. Система контроля доступа фиксировала проходы только по картам, и все карты были на месте.
Действия эксперта: Эксперт закупил дешёвый копировщик карт (1000 руб.) и скопировал карту менеджера. СКУД не имела защиты от клонирования (Mifare Classic с взломанным шифрованием). Затем эксперт попытался пройти по копии — успешно! 😡
Результат: Институт заменил карты на Mifare DESFire с аппаратным шифрованием, недоступным для копирования дешёвыми устройствами.
Кейс № 3. Администратор-инсайдер
Ситуация: В компании произошла кража ноутбуков из переговорной. Система СКУД показала, что в день кражи в переговорную никто не заходил. Однако записи видеонаблюдения зафиксировали, как неизвестный выходит с ноутбуком. 😨
Действия эксперта: Эксперт проанализировал журнал событий и обнаружил, что логирование было отключено на 20 минут в день кражи. Логирование может отключить только администратор. Эксперт запросил логи доступа администратора (Windows Event Logs) и выявил, что админ заходил на сервер СКУД под своей учётной записью в 3 часа ночи.
Результат: Администратор был уличён во взломе, уголовное дело. Компания усилила мониторинг действий привилегированных пользователей. 💪
📂 Глава 5. Необходимые материалы для экспертизы
| Категория | Конкретные материалы | Цель |
| Журналы событий | Выгрузка логов СКУД (формат CSV, SQLite, MS SQL, MySQL) за последние 3-6 месяцев | Поиск аномалий |
| Документация по СКУД | Схемы подключения, однолинейные схемы, спецификация оборудования | Понимание архитектуры |
| Данные о правах доступа | Матрица доступа (роли -> зоны) | Проверка корректности |
| Сведения об администраторах | Учётные записи, логи действий (Windows Event Logs, syslog) | Выявление инсайдера |
| Записи видеонаблюдения (при их наличии) | Видеофайлы за подозрительный период | Сопоставление с логами доступа |
🎯 Заключение
Независимая экспертиза СКУД — это единственный способ объективно выявить сбои (технические проблемы оборудования и кабельных линий), уязвимости (программные и физические) и факты несанкционированного проникновения (включая инсайдеров). В отличие от штатных сотрудников, независимый эксперт не связан корпоративной лояльностью и использует современное криминалистическое оборудование.
Для заказа экспертизы СКУД обращайтесь в Союз «Федерация судебных экспертов» (сайт: https://khimex.ru/).
Задавайте любые вопросы