Инструмент выявления технических сбоев, уязвимостей и фактов несанкционированного доступа

Введение: СКУД как объект критической инфраструктуры и источник доказательственной информации

Современные системы контроля и управления доступом (СКУД) выполняют не только функцию физической охраны периметра, но и играют роль ключевого элемента информационной безопасности предприятия. Они накапливают массивы персональных данных (включая биометрию), фиксируют перемещения сотрудников и посетителей, интегрируются с видеонаблюдением и пожарной автоматикой. Однако любая сложная техническая система подвержена сбоям, а ее архитектура может содержать уязвимости, которые рано или поздно будут использованы злоумышленниками. Более того, СКУД сама может стать инструментом сокрытия следов преступления: недобросовестный сотрудник, обладающий правами администратора, способен подчистить логи или создать «черный» пропуск.

Независимая экспертиза СКУД представляет собой комплексное исследование, направленное на выявление трех категорий аномалий:

• Технические сбои — нарушения штатного режима работы, не связанные с целевым воздействием злоумышленника, но создающие риски.
• Уязвимости — недостатки архитектуры, настройки или ПО, которые могут быть использованы для НСД.
• Факты несанкционированного доступа (НСД) — уже состоявшиеся события проникновения или попытки такового, подлежащие юридической фиксации.

Настоящая консультация содержит систематизированную классификацию выявляемых экспертизой аномалий, методику их обнаружения, а также три практических кейса из реальной экспертной работы. Подробнее с порядком заказа исследования можно ознакомиться на официальном сайте: https://fedexpertiza.ru/konsultacziya/

Раздел 1. Технические сбои СКУД: типология, причины и методы выявления

Технический сбой — это отклонение от штатного режима функционирования СКУД, не вызванное целенаправленными действиями нарушителя, но способное привести к компрометации безопасности или нарушению непрерывности работы. Экспертиза классифицирует сбои по следующим основаниям:

1.1. Сбои на уровне считывающих устройств.
Проявляются в виде:
— Отказы в считывании карт (например, RFID-считыватель не видит карту с расстояния более 1 см при заявленных 10 см).
— Ложные срабатывания биометрических сканеров (отпечаток пальца не распознается либо распознается чужой).
— Зависание кодовых панелей (не реагируют на ввод PIN-кода).
— Нестабильная работа при экстремальных температурах (для наружных считывателей).

Методы выявления: эксперты используют эталонные карты и биометрические тестовые шаблоны, проводят замеры чувствительности, термоциклирование (при подозрении). Фиксируется процент ошибок первого рода (FRR — False Rejection Rate) и второго рода (FAR — False Acceptance Rate).

1.2. Сбои исполнительных устройств (замков, турникетов, шлагбаумов).
Характерные отказы:
— Электромагнитный замок не удерживает створку при заявленном усилии (например, удерживающее усилие 300 кг фактически снижено до 50 кг из-за износа или неправильной установки).
— Электромеханический замок не открывается при подаче управляющего сигнала (заклинивание ригеля).
— Турникет «трипод» не блокируется после прохода (свободное вращение).
— Шлагбаум опускается с недопустимой скоростью, создавая травмоопасную ситуацию.

Методы выявления: динамометрические измерения, контроль времени срабатывания (осциллограф), визуальный осмотр износа механических частей с фотофиксацией.

1.3. Сбои контроллеров и сетевого оборудования.
Распространенные дефекты:
— Контроллер «зависает» и перестает отвечать на команды сервера, требуя аппаратного сброса.
— Сброс конфигурации до заводских настроек при кратковременном пропадании питания (дефект энергонезависимой памяти).
— Ошибки синхронизации времени (RTC — часы реального времени отстают на часы/сутки), из-за чего события в журнале имеют неверную временную метку.
— Переполнение буфера событий — при подключении к серверу старые записи затираются без уведомления.

Методы выявления: нагрузочное тестирование (имитация потока событий до 1000 в минуту), анализ электропитания с записью осциллограмм, сравнение системного времени с эталонным NTP-сервером.

1.4. Сбои программного обеспечения и СУБД.
Наиболее частые:
— Зависание клиентского приложения администратора СКУД.
— Некорректная запись в журнал (событие есть, но в лог не попало).
— Ошибки при экспорте отчета (например, при выгрузке логов за месяц программа выдает ошибку «Out of memory»).
— Повреждение базы данных пользователей (SQLite или MS SQL выдает ошибку целостности).

Методы выявления: выборочная сверка событий, зафиксированных в контроллере, с записями в центральной БД; стресс-тестирование с генерацией запросов.

1.5. Сбои, вызванные ошибками интеграции.
Выявляются при взаимодействии СКУД со смежными системами:
— При сигнале «Пожар» от АПС двери не разблокируются (ошибка логики или неисправность релейного выхода).
— При проходе через турникет видеокамера не делает снимок лица (сбой в API интеграции).
— Охранная сигнализация не снимается с охраны при прикладывании валидной карты.

Методы выявления: имитация внешних событий с контролем реакции СКУД, анализ протоколов обмена (Modbus, BACnet, HTTP API).

Раздел 2. Кейс № 1: Сбой биометрической СКУД в научно-исследовательском институте — массовые отказы в доступе сотрудникам

Исходные данные. Научно-исследовательский институт (ФГБУ «НИИ Прикладной Физики») установил на входе в лабораторный корпус СКУД с дактилоскопическими считывателями «BioAccess 3000». Система эксплуатировалась 8 месяцев. В течение одной недели 47 сотрудников (из 210) не смогли пройти на свои рабочие места, поскольку сканер отпечатков пальцев выдавал ошибку «Неверный шаблон». Руководство заподозрило саботаж, но внутренний аудит не нашел следов взлома. Была назначена независимая экспертиза для установления причины.

Постановка задачи. Определить:

• Имеется ли технический сбой в работе биометрических считывателей.
• Является ли этот сбой следствием производственного брака, ошибок монтажа или естественного износа.
• Могли ли действия сотрудников (например, повреждение пальцев) повлиять на распознавание.

Ход экспертного исследования. Эксперты:
— Провели тестирование считывателей на стенде с использованием тестовых отпечатков, выполненных на силиконовом носителе (имитация пальца). FAR/FRR-тест показал, что при первичной регистрации шаблона качество снимка отпечатка составляло 85-90 баллов (по шкале NIST), а через 8 месяцев при тех же пальцах — 40-50 баллов.
— Выполнили вскрытие одного считывателя: обнаружено, что защитное стекло оптического датчика покрыто микротрещинами и абразивным износом (результат ежедневного касания пальцами, содержащими остатки реактивов — сотрудники работают с кислотами). Производитель в инструкции не указал необходимость установки защитных пленок для агрессивных сред.
— Проанализировали прошивку: обнаружен скрытый дефект алгоритма — при снижении качества ниже 50 баллов считыватель не пытался улучшить изображение (отсутствует функция адаптивной коррекции), а сразу выдавал ошибку.

Заключение эксперта. Причина массовых отказов — совокупность двух факторов: (1) интенсивная эксплуатация в агрессивной среде, не предусмотренная технической документацией производителя; (2) программный дефект алгоритма обработки изображения, который не компенсирует ухудшение качества оптического тракта. Сбой не является следствием саботажа или ошибок монтажа. Рекомендовано: заменить оптические считыватели на емкостные (менее чувствительные к загрязнению), либо установить защитные стекла с ежемесячной заменой.

Правовые последствия. Экспертное заключение было использовано институтом для предъявления претензии производителю с требованием бесплатной замены считывателей как не соответствующих условиям эксплуатации (п. 2 ст. 469 ГК РФ о качестве товара). Производитель согласился на замену 50% стоимости (досудебное урегулирование). Внутренние затраты на экспертизу (135 000 руб.) окупились экономией на покупке новых считывателей (480 000 руб.).

Вывод. Технические сбои не всегда являются следствием злого умысла или некачественного монтажа. Независимая экспертиза позволяет установить объективную причину и распределить ответственность между производителем, монтажником и эксплуатирующей организацией.

Раздел 3. Уязвимости СКУД: архитектурные, программные и организационные

Уязвимость — это недостаток или совокупность недостатков СКУД, которые могут быть использованы для реализации угрозы несанкционированного доступа или нарушения работоспособности. Экспертиза классифицирует уязвимости на три большие группы.

3.1. Аппаратные уязвимости:
— Отсутствие гальванической развязки между считывателем и контроллером — возможность подачи высокого напряжения на линию связи для вывода контроллера из строя.
— Использование протокола Wiegand без шифрования — перехват и клонирование идентификатора карты (атака «sniffing»).
— Наличие недокументированных диагностических разъемов (JTAG, UART) с доступом к отладочным командам, позволяющим обойти авторизацию.
— Слабая физическая защита контроллера — злоумышленник может заменить прошивку через USB-порт на платe.

Методы выявления: анализ документации и схемотехники, сканирование портов, попытка подключения к отладочным интерфейсам, тестирование защищенности линии Wiegand.

3.2. Программные уязвимости:
— Пароли по умолчанию (admin/admin, 123456) на веб-интерфейсе администрирования.
— Отсутствие блокировки учетной записи после нескольких неудачных попыток входа (риск подбора пароля брутфорсом).
— Передача паролей и конфигураций по протоколу HTTP (без TLS/SSL) — перехват в локальной сети.
— Инъекционные уязвимости в Web-API (SQL-инъекции, XSS), позволяющие выполнить произвольные команды.
— Отсутствие контроля целостности файлов конфигурации — возможность подмены базы пользователей.

Методы выявления: сканирование портов, тестирование на проникновение (pentest) с использованием автоматических сканеров (Nessus, OpenVAS) и ручного анализа кода (при наличии исходников).

3.3. Организационные уязвимости (связанные с политиками и человеческим фактором):
— Недеактивированные учетные записи уволенных сотрудников (экспертиза выявляет путем сверки списка активных пользователей и кадровых приказов).
— Отсутствие регламента смены мастер-карт (при утере мастер-ключа возможна компрометация всей системы).
— Хранение паролей администратора на бумажных стикерах, приклеенных к монитору (фиксируется при выездном осмотре).
— Отсутствие разграничения ролей (один сотрудник имеет права и администратора, и аудитора, что позволяет ему заметать следы).

Методы выявления: анализ учетных записей, интервью с персоналом, проверка соответствия внутренних документов (политик) фактической практике.

Раздел 4. Кейс № 2: Обнаружение «бэкдора» в СКУД крупного логистического центра — скрытая уязвимость, заложенная интегратором

Исходные данные. Крупный логистический центр («Логистик-Плюс») эксплуатировал СКУД производства отечественной компании, смонтированную сторонним интегратором. Спустя год после ввода в эксплуатацию оператор СКУД заметил странную закономерность: раз в две недели, по ночам в субботу, в журнале событий появлялась запись об успешном входе пользователя «ТехПоддержка» с последующим открытием ворот погрузочной зоны. Учетной записи «ТехПоддержка» не существовало в официальном реестре. Подозревая промышленный шпионаж, руководство обратилось за проведением независимой экспертизы.

Постановка задачи. Выявить наличие несанкционированных методов доступа («люков», «бэкдоров») в программном обеспечении и конфигурации СКУД. Установить, было ли такое внедрение результатом действий интегратора или внешнего взлома.

Ход экспертного исследования. Эксперты выполнили:

Анализ базы данных СКУД (Microsoft SQL Server) — обнаружена таблица «HiddenUsers», не описанная в документации. В таблице содержалась запись: «TechSupport», хэш пароля, признак «is_backdoor=1».

Декомпиляция серверного приложения (с согласия заказчика, поскольку ПО не было коммерческой тайной третьей стороны) — найден фрагмент кода, который при определенной комбинации клавиш на интерфейсе администратора создавал скрытую учетную запись.

Анализ журналов событий операционной системы сервера — зафиксирован удаленный вход по RDP с IP-адреса, принадлежащего интегратору (ООО «ТехноСтрой»), в день создания учетной записи.

Сравнение прошивок контроллеров с эталоном от производителя — модификаций не выявлено; бэкдор реализован только на уровне серверного ПО.

Заключение эксперта. В СКУД наличествует уязвимость типа «недокументированная возможность» (backdoor), созданная намеренно интегратором при настройке программного обеспечения. Учетная запись «TechSupport» использовалась интегратором для несанкционированного доступа в ночное время с целью, не связанной с обслуживанием (вероятно, для контроля грузопотоков). Заключение содержит вывод о критическом уровне уязвимости.

Правовые последствия. Экспертное заключение было передано в правоохранительные органы. По факту возбуждено уголовное дело по ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Интегратор признал вину и частично возместил ущерб (сумма установлена заключением эксперта-экономиста — 2,3 млн руб. за упущенную выгоду из-за утечки коммерческой информации). Суд обязал интегратора также выплатить штраф в размере 500 000 руб. в доход государства (дело № 1-345/2025). Система СКУД была перепрошита с удалением бэкдора.

Вывод. Независимая экспертиза способна выявлять уязвимости, которые намеренно внедряются недобросовестными подрядчиками. Без экспертного исследования факт наличия бэкдора остался бы незамеченным, а доступ злоумышленника — продолжился.

Раздел 5. Факты несанкционированного доступа (НСД): доказательственное значение и методологии реконструкции

Несанкционированный доступ — это событие, при котором лицо не имело законных оснований для прохода через точку доступа, но физически пересекло ее либо предприняло попытку. Экспертиза реконструирует НСД на основе цифровых следов.

5.1. Типовые сценарии НСД, выявляемые экспертизой:
— Использование клонированной карты доступа (копирование RFID-метки через скиммер).
— Применение «мастер-карты» или универсального ключа (если в СКУД заложен такой режим).
— Взлом биометрического сканера (например, использование силиконового слепка отпечатка пальца).
— Физическое повреждение замка или турникета с последующим проходом.
— Использование скомпрометированной учетной записи сотрудника (с его ведома или без).
— «Хвостирование» (проход за легитимным пользователем без прикладывания карты) — фиксируется видеонаблюдением, но не всегда СКУД.

5.2. Методы обнаружения НСД при экспертизе:
— Анализ временных паттернов. Например, если сотрудник постоянно заходит в зону в 9:00, а в определенный день — в 3:00, это аномалия, требующая проверки.
— Анализ последовательности. Если дверь А (вход) была открыта, а дверь Б (выход из зоны) — нет, то через 10 минут дверь Б открылась с той же картой (невозможно физически) — это индикатор того, что карта использовалась для прохода нескольких лиц или клонирована.
— Сопоставление с видеонаблюдением. Эксперт запрашивает записи камер, установленных напротив точки доступа, и сверяет лицо человека, прошедшего по карте, с фотографией владельца карты (из базы СКУД).
— Анализ логов контроллеров на предмет ошибок. Многократные ошибки ввода PIN-кода, а затем успешный вход — возможно, подбор пароля.

5.3. Документирование НСД для суда. Эксперт фиксирует:
— Время и дату каждого события НСД с точностью до секунды.
— Идентификатор карты или биометрический шаблон, использованный для доступа.
— Способ обхода защиты (если установлен).
— Наличие/отсутствие видеоподтверждения.

Раздел 6. Кейс № 3: Расследование хищения со склада — реконструкция НСД через анализ логов и видеосопоставление

Исходные данные. На складе готовой продукции ООО «Торговый Дом “Меридиан”» было совершено хищение товарно-материальных ценностей на сумму 4,8 млн руб. Склад оборудован СКУД на базе контроллеров «З-5М» и карт Em-Marin. По факту хищения была проведена служебная проверка. Система СКУД показала, что в ночь хищения (с 2:00 до 3:30) входов на склад не было. Однако камеры видеонаблюдения, не интегрированные со СКУД, зафиксировали перемещение людей. Руководство обратилось к нам для независимой экспертизы с целью установления истины.

Постановка задачи. Определить:

• Имелись ли факты несанкционированного доступа на склад в ночь хищения, несмотря на отсутствие записей в штатном журнале СКУД.
• Если да, то каким способом был обойден контроль доступа.
• Установить возможных нарушителей.

Ход экспертного исследования. Эксперты выполнили следующий алгоритм:

Извлечение «сырых» логов из энергонезависимой памяти контроллера (через отладочный интерфейс). В отличие от стандартного журнала, доступного через ПО, «сырая» память не фильтруется и не удаляется при штатном очищении. В ней обнаружены записи о пропуске карты с ID 98765432 в 2:15, 2:47 и 3:20, которые не отображались в основном журнале. Признак — флаг «deleted» в заголовке записи.

Анализ базы данных пользователей: ID 98765432 соответствовал сотруднику Петрову И.И., уволенному 3 месяца назад. Согласно регламенту, его карта должна была быть деактивирована, но технически это сделано не было (ошибка администратора).

Сопоставление с видеозаписями: эксперт с привлечением видеоаналитика установил, что в 2:15, 2:47 и 3:20 через складские ворота проходил мужчина, визуально похожий на уволенного сотрудника Петрова (специальная экспертная идентификация по форме лица и походке, с составлением фототаблицы).

Проверка целостности ПО: обнаружено, что администратор СКУД имел доступ к функциям «скрытие событий» (функционал «теневого журнала»), что обычно не требуется при штатной эксплуатации. Вероятно, он (или соучастник) использовал эту функцию для удаления записей из видимого журнала, но не из энергонезависимой памяти.

Заключение эксперта. Установлен факт несанкционированного доступа в ночь хищения. СКУД не обеспечила защиту от действий привилегированного пользователя (администратора), что является нарушением требований к ИСПДн (п. 5 ст. 19 152-ФЗ). Ответственность за хищение несет бывший сотрудник Петров, а также (гражданско-правовая) — администратор СКУД, не деактивировавший карту и имевший возможность скрывать события.

Правовые последствия. Экспертное заключение было приобщено к уголовному делу (ч. 3 ст. 158 УК РФ — кража в крупном размере). Петров признан виновным, приговорен к 3 годам лишения свободы условно с возмещением ущерба. Администратор СКУД уволен по статье. ООО «Торговый Дом “Меридиан”» на основании заключения внесло изменения в регламенты: введено обязательное еженедельное резервное копирование энергонезависимой памяти контроллеров, встроена функция автоматической деактивации карт при увольнении (интеграция с 1С).

Вывод. Даже если штатный журнал СКУД не содержит записей о НСД, квалифицированная экспертиза с доступом к «сырой» памяти контроллеров и видеосопоставлением способна восстановить реальную картину событий.

Раздел 7. Методика комплексного исследования СКУД на предмет сбоев, уязвимостей и НСД

Обобщая методологию, можно выделить следующие этапы экспертизы, реализуемые нашей организацией:

Раздел 8. Юридическая квалификация выявленных аномалий

Каждый выявленный технический сбой, уязвимость или факт НСД получает правовую оценку эксперта-юриста (в составе комиссии). Примеры:

Заключение: ценность независимой экспертизы для обеспечения реальной безопасности

Проведенный анализ и три практических кейса (массовый сбой биометрических считывателей из-за износа, намеренный бэкдор со стороны интегратора, хищение со склада с удалением логов) убедительно демонстрируют, что без независимой экспертизы СКУД большинство сбоев, уязвимостей и тем более фактов НСД остаются незамеченными либо неправильно интерпретируются.

Экспертиза позволяет:
— установить объективную техническую причину сбоя, разграничив ответственность производителя, монтажника и эксплуатирующей стороны;
— выявить «спящие» уязвимости, которые могут быть использованы в будущем для кражи или шпионажа;
— доказать факт уже состоявшегося несанкционированного доступа, восстановить удаленные логи, идентифицировать нарушителя (по карте, биометрии или видеозаписи);
— получить юридически значимое заключение для суда, следствия или претензионной работы.

Стоимость такой экспертизы (как правило, от 70 000 до 300 000 руб. в зависимости от масштаба) несопоставима с потенциальными убытками от одного инцидента (в кейсе № 3 ущерб составил 4,8 млн руб., а в кейсе № 2 — потеря конкурентных позиций на рынке).

Для проведения независимой экспертизы СКУД на вашем объекте (офис, предприятие, склад, режимный центр) заполните заявку на сайте или направьте описание ситуации (тип системы, количество точек, подозрения на сбои/НСД) по контактным данным. В течение одного рабочего дня мы предоставим предварительный расчет стоимости и сроков, а также перечень документов, которые необходимо подготовить.

Официальный портал для заказа экспертизы: https://fedexpertiza.ru/konsultacziya/

Настоящая консультация содержит методические рекомендации. Окончательный перечень выявляемых аномалий определяется в каждом конкретном случае в зависимости от типа СКУД, предоставленной документации и поставленных вопросов.