Управление посетителями
Взято с www.secnews.ru
Управление посетителями
А вы в курсе, что за компании навещают вашу компанию?
Мой друг возглавляет успешную фирму, которая занимается веб-дизайном и оказывает услуги веб-хостинга. Расположенные в фешенебельном офис-парке Сэндтон, помещения его компании находятся на расстоянии нескольких сотен метров от главного входа в парк и штаба охраны. Каждый раз, когда я прихожу к нему на работу, меня заставляют остановиться у входа, заполнить строку в книге регистрации посетителей, а на выходе -- вернуть разовый пропуск с подписью моего друга охраннику.
В декабре по офисам прошлись грабители -- пропали все компьютеры, ноутбуки, принтеры, сканнеры и мониторы. За несколько недель до этого пятеро молодых людей сунулись в те же самые офисы под конец рабочего дня. Я видел на записи с камер видеонаблюдения, как они ходили по коридорам, входили и выходили из помещений. Может быть, они хотели проконсультироваться насчет вебсайта? Вот только у одного из них был с собой пистолет...
К счастью, до инцидента тогда не дошло. Вся пятерка, улыбаясь, выкатилась из офиса, как только с ними поздоровался вслух задержавшийся на работе сотрудник. На волоске от инцидента? Возможно. Имеет ли отношение к последовавшему грабежу? А кто его знает...
Брешь в обороне СКД
Управление посетителями составляет проблему для большинства систем контроля доступа, поскольку основная масса СКД занимается контролем доступа уже установленных личностей -- работников предприятий, где установлены системы. Идентификация эта необходима для множества целей, не имеющих отношения к контролю доступа: табельный учет, налогообложение, медицинская страховка и обслуживание, контрактные отношения найма, и так далее.
С другой стороны, посетителей зачастую бывает весьма немало, к тому же незнакомых в лицо -- и поэтому все, что нам остается -- анализировать их внешний облик. Они могут принадлежать к различным категориям -- от поставщиков, клиентов и контрактников до провайдеров услуг, курьеров и экспедиторов. Они также взаимодействуют с различными жлементами вашего бизнеса. Вы можете ежедневно встречать в коридоре молоддого человека из фирмы, доставляющей сэндвичи, но при этом никогда не увидеть водителей грузовиков, въезжающих и выезжающих из вашего склада. Дело в том, что вашей системе контроля доступа эти люди могут оказаться вовсе незнакомы. Почти на сто процентов уверен, что система не сможет опознать ни одного из таких визитеров.
В компетентных системах контроля доступа предусматривается возможность учета посетителей и контроля их прав доступа. Однако известно ли нам вообще, кто они -- эти самые посетители, можем ли мы их идентифицировать? Даже в лучшем случае мы не можем применить к ним всех жестких и тщательных мер контроля, которые распространяются на доступ сотрудников организации. А в худшем -- у вашего рабочего места могут запросто появиться вооруженные незнакомцы. Однако наиболее распространенный метод контроля посетителей не имеет ни малейшего отношения к СКД и осуществляется путем записи в бумажные журналы регистрации -- и потому он принципиально небезопасен.
Подъедьте на автомобиле к главным воротам любого предприятия, и вы упретесь в шлагбаум. Скорее всего к вам подойдет охранник и попросит вас заполнить форму регистрационного бланка для посетителей. Обычно это отксерокопированный листок, на котором оставлены свободные графы для внесения в них номера автомобиля, имени, номера контактного телефона, времени прибытия и личной подписи посетителя. В более продвинутых версиях это могут быть профессионально отпечатанные бланки, содержащие несколько более подробный набор вопросов -- скажем, к кому вы держите путь и с какой целью. Такие бланки зачастую снабжены отрывным купоном, который вы должны подисать у персоны, к которой направляетесь, а затем, выезжая с территории, вернуть охране.
Мне всегда было интересно, что же происходит дальше с этой информацией. Иногда я даже спрашиваю об этом охранников. Все пожимают плечами. Неоднократно в журналах посещений мне приходилось видеть, что непосредственно передо мной на территорию заехал известный персонаж диснеевского мультика. Просмотрите корпоративные журналы посещений -- сколько президентов, рок-звезд и известных религиозных деятелей вы там обнаружите! Очевидно, далеко не все подходят к процессу регистрации с должной серьезностью. Чаще здесь царит легкая шутливая атмосфера, возможно, вызванная небольшим раздражением от на первый взгляд бессмысленной бюрократической процедуры у входных ворот. Да, это может показаться смешным. Однако веселье может закончиться весьма скоро. К сожалению, в условиях ЮАР такое легкомыслие может обернуться летальным исходом.
Защитите информацию о ваших посетителях
Допустим, парня, въехавшего на охраняемую территорию непосредственно передо мной, зовут вовсе на М.Маус, он человек правдивый и не склонный шутить на темы идентификации своей личности. Как только я получаю доступ к книге регистрации, мне становится доступна вся информация о нем -- кто он, откуда и как ему позвонить. Я успею разглядеть и его подпись. В некоторых журналах задается вопрос и об идентификационном номере. Таким образом, заполняя книгу регистрации посетителей, вы выставляете на всеобщее обозрение: ваше имя, подпись, идентификационный номер, номер мобильного телефона, название компании, где вы работаете, номер вашего автомобиля и имя того, к кому вы приехали. Предполагается, что все это входит в комплекс обеспечения мер безопасности?! Конечно же, это не так.
На переднем крае борьбы с преступностью
Случайно это происходит или планомерно, но справедливым видится утверждение, что большинство преступлений на рабочих местах совершается полностью либо частично с привлечением лиц, являющихся посторонними по отношению к бизнесу, становящемуся жертвой преступления. В любом случае они являются посетителями -- более того, они принадлежат к определенной категории посетителей: нежелательных.
Конечно, некоторые из преступников проникают на территорию, минуя обычные легальные способы проникновения -- взбираясь по стенам либо штурмуя изгороди -- и потому никак не фигурируют на охраняемых проходных. Однако, многие проникают и более простым путем, въезжая или входя в ворота -- совсем как мы с вами. Они что-то пишут в журналах посещений -- а потом отправляются по своим темным делам. Некоторые проникают ряжеными -- или под видом обслуживающего персонала -- чтобы не перерезать колючую проволоку и не карабкаться по отвесным стенам. Что их всех объединяет -- так это намерение совершить задуманный каждым в отдельности набор криминальных действий. Наши сверхнавороченные системы контроля доступа неспособны этому противостоять -- просто потому, что они просто не в курсе, кто все эти люди.
Преступники надеются на то, что им удастся проскочить неопознанными и никак не связанными с теми действиями, которые они производят на объекте. Попасться, быть обвиненными и понести наказание -- всего лишь вопрос занятости, но допустить это -- не в их планах. Здравый смысл подсказывает, что быть опознанным на сходе на объект -- не слашком удачное начало для криминальной операции. Еще паршивее -- если на входе некое устройство отсняло ваш отпечаток пальца. Уж лучше взбираться по стенам и делать дырки в заборах...
Вопрос соответствия нормам законодательства
Одна из функций, выполняемых книгой записи посктителей, не имеет никакого отношения к обеспечению физической безопасности. Она имеет отношение к южноамериканскому Закону об охране здоровья на производстве 1993 года, согласно которому все предприятия, не оказывающие услуги розничной торговли, обязаны записывать всех приходящих на территорию посетителей. Во многом это требование обусловлено потенциальной ответственностью, которую может понести владелец бизнеса за происшествия либо несчастные случаи, могущие произойти на рабочем месте. Ответственность работодателя за произошедшее с работником и посетителем различна, различны и нормы закона, применяемые, к примеру, в случаях причинения вреда здоровью либо при выставлении требования компенсации ущерба. Правилами предписывается хранить записи обо всех посетителях на протяжении трех лет, но есть и специфические исключения -- так, в строительной отрасли требуемый срок хранения таких записей составляет тридцать лет.
Если мы оставим в стороне весьма существенные проблемы с хранением и поиском записей в огромном количестве бумажных регистрационных книг, проблемы с точностью и достоверностью содержащихся в них записей останутся актуальны. Возможно, факт посещения вашей организации Элвисом Пресли или Гарри Поттером и сможет доставить вам кратковременное удовольствие -- однако это прямое свидетельство того, что методы контроля доступа, применяемые в большинстве наших с вами организаций, способны остановить разве что Микки Мауса.
Источник: Hi-Tech Security Solutions
Марк Эрдли (Mark Eardley)