Každá budova má slabé místo. Možná jsou to nouzové dveře zaklíněné v otevřené poloze. Možná jsou to dveře serverovny, které stále používají stejný PIN kód jako před třemi lety. Ať už je mezera jakákoli, tradiční zámky a klíče nedokážou držet krok s hrozbami, jimž moderní objekty čelí.
Systém fyzické kontroly přístupu tyto mezery uzavírá. Určuje, kdo se dostane dovnitř, kam smí a kdy, a každou událost zaznamenává pro účely auditu.
Tento průvodce vysvětluje, jak tyto systémy fungují, jaké komponenty budete potřebovat a na co se zaměřit při výběru. Ať už zabezpečujete jednu kancelář, nebo spravujete přístup napříč desítkami lokalit, nabídneme vám jasnou představu o tom, jak může účinné fyzické zabezpečení vypadat v praxi.
Co je systém fyzické kontroly přístupu (PACS)?
Systém fyzické kontroly přístupu (PACS) je elektronický bezpečnostní systém, který přes zabezpečené dveře a vstupní body vpustí pouze oprávněné osoby. Na rozdíl od mechanického zámku, který přijme jakýkoli odpovídající klíč, PACS před rozhodnutím o odemčení dveří ověří identitu.
Většina interakcí trvá méně než sekundu. Někdo přiloží kartu, přiloží telefon nebo zadá PIN a systém tiše rozhodne, zda by měla být dané osobě v daném čase povolen průchod konkrétními dveřmi.
Samotné ověření identity lze provést několika způsoby. Většina organizací používá na jednom systému kombinaci různých typů přihlašovacích údajů. Jedním z příkladů je vícefaktorové ověřování, například PIN a karta.
Stejná technologie může vypadat velmi odlišně podle prostředí. V kanceláři může jednoduše řídit hlavní vchod a zasedací místnosti. V datovém centru nebo farmaceutickém provozu může být nutné každý pohyb ve dveřích zaznamenávat a uchovávat pro účely auditu.
Většinou celý proces proběhne tak rychle, že si toho nikdo nevšimne. Předloží se přihlašovací údaj, systém zkontroluje příslušná oprávnění a učiní rozhodnutí. Jsou-li požadavky splněny, dveře se odemknou. Pokud ne, zůstanou zavřené.
Jak je toto rozhodnutí učiněno, závisí na prostředí. Obytná budova může upřednostnit pohodlí a využít mobilní přihlašovací údaj nebo interkom. Výrobní areál může vyžadovat přísnější kontrolu v nebezpečných prostorech. Ve zdravotnictví mohou být některé místnosti přístupné pouze personálu v určitých hodinách.
Mnoho organizací také uplatňuje různé úrovně ochrany v rámci jednoho objektu. Přístup do hlavní kanceláře může vyžadovat pouze kartu. Serverovna nebo skladovací prostor lékárny je jiná záležitost a může vyžadovat více faktorů. PACS dokáže oprávnění vynucovat, je však pouze jednou součástí širší bezpečnostní strategie. Organizace se stále spoléhají na vhodné dveře, bariéry, zásady a postupy reakce, aby byly tyto kontroly účinné.
Výzvou málokdy bývá dostat lidi prvního dne správnými dveřmi. Výzvou je udržet oprávnění přesná i o šest měsíců později. Organizace zřídkakdy zůstávají dlouho beze změn. Oprávnění, která dávala smysl v době svého vytvoření, je často třeba po měsících revidovat, jak se vyvíjejí odpovědnosti, projekty a bezpečnostní požadavky. PACS tuto průběžnou práci usnadňuje tím, že umožňuje oprávnění revidovat a upravovat podle měnících se potřeb.
Proč je fyzická kontrola přístupu pro moderní zabezpečení důležitá?
Každá organizace má prostory, které vyžadují vyšší úroveň ochrany než jiné. Může jít o serverovnu, farmaceutický sklad, laboratoř nebo prostě o hlavní vchod mimo pracovní dobu.
Tato rovnováha je obzvláště důležitá ve velkých nebo přísně regulovaných prostředích. Když společnost iXAfrica postavila své vlajkové datové centrum v Nairobi, byla kontrola přístupu klíčovou součástí celkové bezpečnostní strategie. Každou událost ve dveřích bylo třeba zaznamenat, sledovat činnost dodavatelů a splnit požadavky na soulad s předpisy. V takových prostředích nejde u kontroly přístupu pouze o otevírání a zavírání dveří. Pomáhá organizacím prokázat kontrolu nad tím, kdo vstoupil, kam se pohyboval a kdy.
Dobře navržený systém kontroly přístupu podporuje jak zabezpečení, tak každodenní provoz tím, že organizacím pomáhá:
- předcházet neoprávněnému přístupu do vyhrazených prostor,
- vést záznamy o vstupních událostech pro audity a vyšetřování,
- spravovat oprávnění centrálně napříč lokalitami, budovami a odděleními,
- zvyšovat bezpečnost, plynulost pohybu osob a soulad s předpisy v regulovaných prostředích.
Provozní přínosy bývají často větší, než organizace očekávají. Udržovat oprávnění aktuální je obvykle těžší než je na začátku nastavit. Organizace musí neustále zohledňovat změny rolí, dočasné projekty a krátkodobé návštěvy.
Řídit tyto změny prostřednictvím softwaru je mnohem snazší než měnit zámky, vyměňovat klíče nebo udržovat samostatné seznamy přístupů. Když lze oprávnění aktualizovat rychle a konzistentně, organizace tráví méně času administrativou a získávají větší jistotu, že přístupová práva zůstávají v souladu s aktuálními potřebami.
Klíčové komponenty systému fyzické kontroly přístupu
Z pohledu uživatele se kontrola přístupu může zdát jednoduchá. Dveře se odemknou, brána zůstane zavřená nebo je návštěvě umožněn vstup. Za těmito každodenními interakcemi se skrývá soubor technologií, které společně vyhodnocují oprávnění, řídí vstupní body a pomáhají organizacím spravovat přístup v čase.
Přihlašovací údaje
Přihlašovací údaj spojuje osobu se souborem oprávnění v rámci systému. Pro některé organizace to stále znamená přístupovou kartu nebo klíčenku. Jiné zavedly mobilní přihlašovací údaje, které lze vydávat na dálku a spravovat prostřednictvím chytrého telefonu.
Volba často závisí stejnou měrou na pohodlí jako na zabezpečení. Obytná budova může upřednostnit snadné použití pro obyvatele, zatímco výrobní areál může před vstupem do vyhrazeného prostoru vyžadovat další ověření.
Přihlašovací údaje vyžadují průběžnou správu. Karty se ztrácejí, telefony se vyměňují a požadavky na přístup se v čase mění. Dobře navržený systém tyto změny usnadňuje, aniž by vytvářel zbytečnou administrativní zátěž.
Čtečky karet
Každý požadavek na přístup někde začíná a ve většině případů to znamená čtečku nainstalovanou u dveří, brány, turniketu nebo interkomu.
Různé čtečky podporují různé technologie přihlašovacích údajů a jsou určeny pro různá prostředí. Některé jsou určeny pro venkovní použití, zatímco jiné jsou optimalizovány pro vstupy s vysokou frekvencí, kde na plynulém uživatelském zážitku záleží stejně jako na zabezpečení.
Čtečky se nacházejí v bodě, kde lidé se systémem interagují. Jejich úkolem je zachytit informace o přihlašovacím údaji a předat je k vyhodnocení.
Síťové dveřní kontroléry
Jakmile jsou informace o přihlašovacím údaji shromážděny, kontrolér určí, jak má systém reagovat. V závislosti na architektuře může kontrolér obsluhovat jedny dveře nebo spravovat více dveří v celém objektu.
Moderní kontroléry stále častěji rozhodují lokálně, místo aby se spoléhaly na neustálou komunikaci s centrálním serverem. Tento přístup pomáhá udržet běžný provoz, pokud je síťová komunikace dočasně narušena, a umožňuje nadále vynucovat zásady přímo u dveří.
Protože se kontroléry nacházejí na průsečíku fyzického zabezpečení a síťové infrastruktury, jsou také klíčovou součástí širší strategie kybernetické bezpečnosti organizace.
Zamykací hardware
Rozhodnutí o přístupu se činí elektronicky, fyzické zabezpečení však stále závisí na hardwaru ve vstupním bodě.
Elektronické zámky, elektrické protiplechy, magnetické zámky, brány a turnikety – ty všechny slouží témuž účelu: řízení fyzického přístupu. Vhodná varianta závisí na budově, bezpečnostních požadavcích a bezpečnostních aspektech dané lokality.
V mnoha prostředích tato rozhodnutí zahrnují vyvážení zabezpečení s požadavky na ochranu života a zdraví, aby dveře správně fungovaly jak za běžného provozu, tak v nouzových situacích.
Systém správy kontroly přístupu
Systém správy umožňuje kontrolu přístupu udržovat, nikoli pouze nainstalovat. Bezpečnostní a správcovské týmy software používají k prohlížení událostí, aktualizaci oprávnění a vyšetřování incidentů. Změnu provedenou v systému správy lze uplatnit napříč více budovami, aniž by kdokoli musel k dveřím fyzicky přijít.
Tento přehled získává na hodnotě ještě více, když je kontrola přístupu integrována s kamerovým dohledem. Když školní obvod Mulvane Unified School District v Kansasu zmodernizoval své prostředí kontroly přístupu, mohli správci propojit události ve dveřích s videem v reálném čase. Namísto přepínání mezi samostatnými systémy mohli sledovat incident v okamžiku, kdy se odehrával, a vytvořit si jasnější představu o tom, co se stalo.
Jaké jsou hlavní typy systémů fyzické kontroly přístupu?
Rozhodnout, kdo by měl mít přístup, je jen částí výzvy. Organizace také potřebují konzistentní způsob, jak spravovat oprávnění napříč budovami, odděleními a bezpečnostními požadavky.
Zde přicházejí na řadu modely kontroly přístupu. Definují, jak se oprávnění přidělují, revidují a vynucují. Většina moderních systémů fyzické kontroly přístupu podporuje více modelů současně, což organizacím umožňuje uplatňovat na různé situace různé přístupy.
- Volitelné řízení přístupu (DAC): Vlastník zdroje rozhoduje, kdo k němu má přístup. Tento přístup dobře funguje v menších prostředích, kde lze rozhodovat lokálně. Jak za udělování přístupu začne odpovídat více lidí, může být udržení jasného přehledu o tom, kdo má k čemu přístup, obtížnější.
- Povinné řízení přístupu (MAC): Pravidla přístupu jsou definována centrálně a uplatňována konzistentně v celé organizaci. Nedostatek flexibility je záměrný. Organizace používají MAC tehdy, když se rozhodnutí o přístupu musí řídit přísnými pravidly bez ohledu na to, kdo o přístup žádá.
- Řízení přístupu na základě rolí (RBAC): Přístup je určen rolí uživatele v rámci organizace. Zaměstnanci financí dostávají jiná oprávnění než zaměstnanci správy budov, bez ohledu na konkrétní osobu. Většina komerčních budov se na RBAC výrazně spoléhá, protože odráží, jak se přístup v praxi obvykle spravuje. Oprávnění se přidělují rolím nebo oddělením, nikoli jednotlivým uživatelům, což usnadňuje údržbu systému s růstem organizace.
- Řízení přístupu na základě pravidel (RuBAC): Přístup je určen předem definovanými podmínkami, nikoli pouze rolí uživatele. Zaměstnanec může mít povolen vstup do budovy jen během pracovní doby, zatímco oprávnění dodavatele mohou automaticky vypršet po skončení projektu. Organizace často vrství RuBAC na RBAC, aby přidaly omezení podle času nebo místa.
- Řízení přístupu na základě atributů (ABAC): Rozhodnutí o přístupu vycházejí z kombinace atributů, nikoli z jediného pravidla. Servisní technik může mít správnou roli, a přesto mu může být přístup odepřen, pokud vypršela platnost požadovaného bezpečnostního školení nebo je žádost mimo schválenou pracovní dobu.
V praxi si organizace zřídkakdy volí jen jeden model. Komerční kancelář může jako základ používat RBAC, uplatňovat RuBAC pro omezení přístupu mimo pracovní dobu a spoléhat se na ABAC u prostor, které vyžadují podrobnější kontrolu. Nejúčinnější přístup závisí na prostředí a na úrovni kontroly požadované v různých částech organizace.
Závěr
Fyzická kontrola přístupu už dávno není jen o zabezpečení dveří. Moderní systémy pomáhají organizacím vyvážit zabezpečení, pohodlí a provozní požadavky napříč širokou škálou prostředí.