Автор: Леонид МЕДВЕДЕВ, преподаватель учебного центра «Информзащита»

Оценка соответствия и эффективности использования систем объектовой безопасности

Экспертам в области систем объектовой безопасности довольно часто приходится сталкиваться с ситуацией, когда к ним обращаются предприниматели с просьбой проверить имеющуюся систему защиты на наличие уязвимостей. Чаще всего основанием для таких обращений становятся хищения с территории охраняемого объекта. И жалобы предпринимателей в подобных случаях звучат примерно одинаково: вложил кучу денег, накупил дорогущего железа, заплатил монтажникам, наладчикам и т. п., а в результате как воровали, так и воруют.
Это видимая сторона медали, и с подобными вопросами чаще всего приходят предприниматели, работающие в области розничной торговли. А если объект не относится к розничной торговле и явно не воруют? Свидетельство ли это того, что система безопасности построена грамотно и работает эффективно или на фирме просто нет ничего, что можно явно похитить?
Есть еще одна сторона медали. Предприятия, серьезно вложившиеся в создание у себя системы безопасности, начинают нести убытки от работы этой самой системы. Да, там не воруют. Но, забыв про то, что система безопасности всего лишь один из инструментов бизнеса, ее ставят над этим самым бизнесом, и в подобной ситуации довольно быстро безопасность становится самоцелью, подминая под себя коммерческую основу предприятия, и бизнес начинает терпеть убытки.
Встречаются и прямо противоположные примеры, когда серьезная система безопасности существует только на бумаге, а по факту эффективность ее использования по тем или иным причинам крайне низка. Примеров неэффективного использования систем объектовой безопасности огромное количество – и говорить об этом можно очень долго.
Давайте попробуем коротко рассмотреть основные причины неэффективной работы подобных систем.
Статистика проведенных аудитов систем безопасности свидетельствует, что чаще всего уязвимости в системах безопасности крупных компаний говорят о неэффективном использовании существующих систем, а в мелких компаниях чаще встречаются ошибки в проектировании подобных систем безопасности.

С небольшими компаниями все более-менее понятно. Проектировка системы безопасности уже не очень дешевое удовольствие, а в сочетании со стоимостью «железа» зачастую становится вообще неподъемной. Да и серьезные компании, специализирующиеся на проектировании и строительстве систем безопасности, неохотно берутся за подобные небольшие проекты. Как результат, небольшие компании, строя систему безопасности, чаще всего обращаются к услугам непрофессионалов. В моей практике даже был случай, когда систему безопасности спроектировал лично директор магазина, до этого никогда не занимавшийся подобной деятельностью. Почитал кое-что в интернете, накупил в Китае камер, рекордеров, систему контроля, нанял какую-то бригаду шабашников, специализировавшуюся на пожарных сигнализациях, и они ему все смонтировали под его же чутким руководством. В результате система работала, камеры снимали, рекордеры писали, система контроля как-то пыталась управлять доступом и контролировать, а вот потери бизнеса от хищений не уменьшились, и единственным плюсом подобной системы безопасности оказалась ее цена. Она действительно была смешной.
Крупные компании чаще всего обращаются к профессионалам, и в этом случае система оказывается спроектирована и смонтирована на «отлично». Чудеса начинаются после передачи системы заказчику. Причем чем более совершенная и современная система устанавливается, тем больше вероятность ошибок именно организационных и эксплуатационных.
Какие же это ошибки?

Ошибка номер 1. Любая система безопасности работает максимально эффективно только в тесном симбиозе с отделом кадров. На практике же между безопасниками и кадровиками в лучшем случае нет взаимодействия, а в худшем они ведут негласную войну за влияние в компании, а руководство эту войну поддерживает. В такой ситуации ни о каком симбиозе речи идти уже не может и механизмы систем безопасности на 30–40% прокручиваются вхолостую. То же самое можно сказать и про эффективность работы отдела кадров.


Ошибка номер 2. Мы поставили суперсовременную систему и теперь можем уволить дармоедов-охранников, заменив их электроникой. Конечно, я немного утрирую, но с различными вариациями подобного подхода мне приходилось сталкиваться не единожды. Пытаясь заменить живых людей электронными системами, мы часто забываем о том, что электроника, какой бы умной она ни была, всего лишь инструмент, который помогает обнаружить угрозу и иногда даже ее устранить. На человека же возложены функции анализа, контроля, принятия решения. Убирая из схемы человеческий фактор либо пытаясь заменить квалифицированного специалиста менее квалифицированным, мы не просто снижаем эффективность работы системы, мы ее фактически делаем недееспособной.
Пример из жизни. На предприятии начались хищения информации. Руководство предприятия оснастило весь объект самыми совершенными на настоящий момент системами контроля. Служба безопасности разработала и внедрила целый ряд процедур, направленных на предотвращение хищений информации. На территории предприятия было запрещено пользоваться любыми электронными гаджетами, кроме корпоративных мобильных телефонов. Все гаджеты сдавались при входе на объект в специальную камеру хранения. За соблюдением запрета следила самая на тот момент совершенная система видеоконтроля с системой распознавания гаджетов. То есть если системе казалось, что у вас в руках находится электронный гаджет (телефон, планшет, электронная книга, фотоаппарат и т. п.), не опознанный системой как свой, она подавала сигнал тревоги, и на место нарушения выдвигалась группа немедленного реагирования из сотрудников службы безопасности. Видеосистема была жестко связана с системой СКУД, а последняя работала не только на систему безопасности, но и на систему кадрового контроля. А информация утекала и утекала. В ходе проведения аудита систем безопасности компании было обнаружено единственное слабое место. Операторами видеонаблюдения работали обычные охранники-пенсионеры. Они честно смотрели в экраны, они своевременно и четко наводили группы ГНР на нарушителей, выявленных системой, они сами выявляли нарушителей, используя для их определения алгоритмы, заложенные в систему. Но они не разбирались в гаджетах, они не умели анализировать увиденное, а аналитика в их группе не было. В результате они видели, как злоумышленник переснимает документы, являющиеся коммерческой тайной, на часы с цифровой камерой, они видели, как он же сканирует документы ручкой-сканером, но они не могли правильно интерпретировать увиденное, и в результате безумно дорогая, современная и совершенная система работала вхолостую. Побочным результатом проведенного аудита оказался отчет о том, что в результате введения дополнительных процедур в системе безопасности, направленных на выявление и пресечение канала утечки информации, бизнес начал нести убытки, так как дополнительные процедуры начали создавать препятствия для основной работы. В результате за четыре месяца работы компания недополучила 37% прибыли.


Ошибка номер 3. При проведении аудитов часто оказывается, что современная и эффективная система безопасности существует только на бумаге. Камеры есть, но работает в лучшем случае половина, установлен сигнальный контур, но он не подключен. Пульт видеонаблюдения выведен на проходную, и его контролирует пенсионер, по совместительству охранник на этой самой проходной. На него же выведена сигнализация, у которой при ближайшем рассмотрении отключена половина датчиков. Список можно продолжать долго. Самое же неприятное происходит, когда венчает этот список нежелание руководства компании по тем или иным причинам добиваться нормального функционирования системы безопасности. Последнее легко определить, ознакомившись с результатами проводимых внутренних аудитов системы безопасности, а точнее, с отсутствием таковых аудитов и результатов.

Ошибка номер 4. Несоответствие системы охраны объекта возможным угрозам и рискам. Чаще всего с подобным можно встретиться, когда начальником службы безопасности компании становится генерал на пенсии. Он привык все делать по-генеральски, с размахом. Плюс ему хочется продемонстрировать свою нужность на этой должности и оправдать свою зарплату. В результате система охраны обычного коммерческого предприятия начинает напоминать систему охраны объекта атомной промышленности. А по стоимости может такую систему даже переплюнуть.
Список ошибок можно продолжать довольно долго, превратив небольшую статью в многотомный труд. Но из всех ошибок особенно хочется выделить главную – отсутствие регулярного тестирования существующей системы объектовой безопасности на стрессоустойчивость, на наличие уязвимостей, на способность противостоять существующим угрозам. То есть отсутствие регулярных внутренних аудитов. Ведь аудит не только позволяет обнаруживать имеющиеся уязвимости. Он позволяет оценить эффективность системы не только с точки зрения имеющихся угроз, но и с точки зрения бизнеса. Он позволяет внедрять и эффективно использовать новейшие технологии, что, в свою очередь, позволяет поддерживать уровень системы безопасности компании на должной высоте.



Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru