Současné a budoucí trendy systémů kontroly vstupu (ACS)
V současné době naprostá většina instalací systému kontroly vstupu využívá pro identifikaci osob bezkontaktní RFID karty různých technologií a nosných frekvencí. Jako doplněk u prostorů s vyšším zabezpečením se uplatňují biometrické čtečky, především otisku prstu. Dříve používané kontaktní technologie kontroly vstupu jako např. magnetický proužek dožívají pouze ve starších instalacích. Většina výrobců používá tradiční koncepci plně nebo částečně autonomních řídicích jednotek, ke kterým jsou připojena čtecí místa buď přímo nebo prostřednictvím interface zařízení. Starší koncepce propojování řídicích jednotek pomocí sběrnice RS485 se opouští a stále častěji se uplatňují IP řídicí jednotky pro několik dveří, případně koncept „ip-at-the-door“, kde jsou používány řídicí jednotky pro každé dveře. Využívání ethernetu jako přenosové sítě posouvá obor ještě dále do IT oblasti a klade vyšší nároky na znalosti instalačních firem při uvádění do provozu, ale hlavně při zabezpečení sítí a komunikace.
Jako doplnění on-line systémů se prosazují bezdrátové čtečky (převážně na kmitočtu 2,4GHz) zabudované do štítu dveřního zámku, nebo ve formě zámkové vložky. Výhodou je jednoduchá instalace a absence kabelových spojů. Nevýhodou může být možnost zarušení, případně interference s jinými Wi-Fi zdroji. Používají se proto v instalacích s menšími bezpečnostními požadavky.
Kromě tradiční koncepce, kdy identifikační karta nese informace pouze o svém vlastníkovi a nic dalšího, se dále na trhu prosazuje koncepce „data-on-card“ v kombinaci s off-line zámky, které obsahují čtečku karet. Identifikační médium v tomto případě obsahuje navíc informace o průchodu karty off-line zámkem, stav baterie zámku, získává/předává informace o zakázaných nebo nově přidělených kartách a další. Systém se navrhuje tak, aby držitel karty musel pravidelně použít čtečku, která je připojena on-line do řídicí jednotky a vyčte data přenášená na kartě do řídicího systému. Karta tak částečně nahrazuje přenosovou síť pro data, kterou není nutné instalovat. Dále odpadá nákladná instalace kabelových tras, napájecích zdrojů a elektro zámků. Je zjevné, že off-line systémy mají i své nevýhody, např. data se dostávají do systému se zpožděním a problémy může v určitých případech působit zakázání ztracených nebo odcizených karet. Proto se off-line systémy používají hlavně uvnitř objektů, kde se dají nevýhody eliminovat a perimetr je zajištěn on-line zařízením.
Off-line systémy vyžadují použití karet s možností ukládání dat ve vlastním paměťovém prostoru karty. Struktura dat a způsob vyžití paměťového prostoru jsou závislé na výrobci systému. Volbou výrobce je pak koncový uživatel vázán k jeho výrobkům a využití jiných off-line zámků je prakticky nemožné. Někteří výrobci off-line systémů se proto sdružují v organizaci OSS Association (Open Security Standards Association), která se snaží standardizovat protokoly, šifrování, komponenty a vývoj v oblasti off-line systémů.
Bezpečnost: nový standard OSDP
Bezpečnost obecně všech systémů, které mají cokoliv společného s IT, je zásadní téma posledních let, elektronické systémy kontroly vstupu nevyjímaje. Stokrát použitá věta, že systém je tak bezpečný, jak bezpečná je jeho nejzranitelnější část platí i zde. Celá cesta dat z identifikační karty do řídicího systému musí být šifrována bezpečnými protokoly, které odpovídají současným standardům. Totéž platí pro zpracování a ukládání dat na úrovni serverů a klientských stanic. Téma můžeme rozdělit do dvou částí: tok dat z karty do řídicí jednotky a z řídicí jednotky do serveru a klientských stanic.
Prvním slabým článkem systému může být již na začátku řetězce přenosu dat identifikační karta. Na trhu existuje řada výrobců RFID čipů různých technologií, které se používají v kartách klíčenkách, nálepkách apod. Ne všechny z nich jsou podle současných standardů bezpečné. Už řádově za stovky korun lze zakoupit zařízení kopírující karty s frekvencí 125 kHz a tím získat přístup k objektům používajícím takto slabé zabezpečení. Službu kopírování karet nabízejí i některá zámečnictví, kde lze podobně jako standardní klíč zkopírovat i RFID kartu. Přesto řada systémů stále využívá, z ekonomických nebo organizačních důvodů, tyto staří typy karet, přestože jejich bezpečnost je prakticky nulová.
Ani použití novějších karet s vyšší frekvencí 13,65 MHz neznamená automaticky bezpečnou komunikaci. Některé protokoly byly i na tomto kmitočtu prolomeny a karty lze s menším nebo větším úsilím kopírovat. V případě aktuálně bezpečných protokolů a technologií je také významný způsob implementace a využití všech možností, které technologie nabízí. V praxi se to často neděje. Jako příklad uveďme velmi rozšířenou technologii Mifare Desfire EV1/EV2, která se velmi často aplikuje pouze se čtením sériového čísla karty, bez použití šifrovacích klíčů, což celý systém po bezpečnostní stránce degraduje.
Dalším slabým článkem přenosu bývá často interface mezi čtečkou a řídící jednotkou (případně mezi čtečkou a interface řídící jednotky). V minulých 30 letech získal u výrobců velkou oblibu protokol wiegand, pro svou spolehlivost a univerzálnost. Wiegand se v průběhu let stal prakticky neoficiálním industriálním standardem. V současnosti se však stává slabým článkem přenosu dat, kdy opět za malé finanční prostředky lze zakoupit zařízení pro odposlech komunikace, její reprodukování a tím neoprávněný přístup do objektu. Výrobci hledající bezpečnou náhradu se shodli na stanovení nového standardu OSDP (Open Supervised Device Protocol), který ve verzi 2 obsahuje šifrování a je podle současných měřítek bezpečný. Pomalu se prosazuje u mezinárodních výrobků systémů kontroly vstupu, nicméně v ČR je od letošního roku vydaná norma ČSN EN IEC 60839-11-5, která ukotvuje OSDP jako platný standard, jemuž by se měli výrobci přizpůsobit.
Problematika bezpečnosti IT v úrovni řídicích jednotek, severů a klientů je samostatný obor zdaleka přesahující rámec tohoto textu. Komunikační protokoly, řídicí software a jeho komponenty jsou podrobovány penetračním testům různých institucí, které zveřejňují nalezené zranitelnosti (vulnerability) systémů. Je v zájmu výrobců tyto zranitelnosti v co nejkratším čase odstranit a v zájmů provozovatelů systémů vydané záplaty aplikovat. Praxe se však často liší podle zájmu provozovatelů a schopnosti výrobců na zranitelnosti reagovat. Udržovat systém kontroly vstupu v dobré kondici z hlediska IT bezpečnosti stojí nemalé finanční prostředky.
Určitým vodítkem pro zhodnocení kvality a bezpečnosti systému je jistě certifikace NBÚ posuzující shodu s normou ČSN EN 60839-11, která se v aktuálně vydaných částech však zabývá převážně otázkami fyzické bezpečnosti a jen okrajově IT bezpečností. Nedá se ani čekat, že by norma mohla pružně reagovat na dynamicky se vyvíjející IT prostředí.
Současné a budoucí trendy
Nejvýraznějším trendem poslední doby je jistě příklon k Mobile Access, virtuálním kartám v mobilním telefonu. Světové studie ukazují, že více než polovina systémů, které v posledních 3 letech procházely upgradem, volí možnost používat virtuální karty v telefonu. Lze očekávat, že v kancelářském prostředí bude tento způsob identifikace časem převládat. Zde platí opět známe klišé, že člověk se při cestě do zaměstnání častěji vrátí domů pro zapomenutý mobilní telefon než pro zapomenutou přístupovou kartu. Další motivací pro zavádění mobilního přístupu je bezpečnost karty, diskutovaná v předchozí kapitole, která u virtuální odpovídá současným požadavkům a v případě potřeby lze záplaty provést snadněji než u standardních RFID karet.
V blízké budoucnosti nás určitě čeká větší rozvoj biometrických systémů. Biometrické systémy se uplatňují řadu v přístupových aplikacích let, jsou však limitovány vyšší cenou, spolehlivostí a otázkou uložení osobních dat. S rozvojem technologií a snížením cen se předpokládá, že i díky současné pandemické situaci dojde k rozšíření hlavně bezdotykových biometrických systémů. Předpokládá se rozšíření rozpoznání obličeje v aplikacích kontroly vstupu, ale i identifikace osob pro jiné účely, společně s dalším bezkontaktními technologiemi, jako rozpoznání duhovky, krevního řečiště a bezkontaktním skenováním otisku prstu. Problémy, kterými trpěly systémy rozpoznání obličeje na počátku rozvoje (malá přesnost, podvržení obličeje a další) se zdají být překonány a technologie raketově získává na oblibě.
Nástup cloudových řešení
Dalším trendem, který se zatím prosazuje spíše v zemích s rozvinutější IT infrastrukturou je přenesení řídicích funkcí do cloudu, tzv. Cloud-based Access Control. Budoucnost ukáže, zda se tato koncepce výrazněji prosadí. Vývoj nových zámků s Wi-Fi přístupem k tomuto trendu jednoznačně směřuje, výhody přináší i zákazníkům. Vyjmenujme jen několik:
snadné rozšíření výpočetních kapacit,
garantovaná dostupnost,
pravidelné bezpečnostní záplaty a zálohování dat,
integrace mobilního přístupu.
S rozvojem umělé inteligence a strojového učení jsou v cloudovém řešení dostupné různé pokročilé analýzy přístupových dat a automatické detekce anomálií. Například pokud z předchozí analýzy vyplývá, že zaměstnanec pravidelně dochází do objektu pouze v pracovní době, může použití jeho karty v nočních hodinách vyvolat automatické upozornění. Ostraha transakci prověří, aniž by musela systém trvale sledovat.
Služby trvalého sledování přítomnosti osob (Real-Time Location Service) jsou dalším benefitem cloudového řešení. Ve spolupráci s ostatními systémy budovy (Wi-Fi AP, Bluetooth beacon, PIR) mohou přesně určovat polohu zaměstnance, obsazenost budovy a mohou přispívat k efektivnějšímu využití osvětlení, větrání, topení a dalších zdrojů budovy.
V souvislosti se zavedením cloudových řešení se nabízí změna i ekonomického chování investorů přechodem na placení ročních poplatků za používání systému. Předpokládá se, že investoři budou opouštět tradiční schéma nákupu zařízení a jeho následné udržování a budou se přiklánět k pronájmu cloudových služeb a s tím spojených systémů z jichž jedním je kontrola vstupu. Výše popsaná bezpečnostní témata budou stále nabývat na významu. Pořízení systému již dnes znamená nekončící proces jeho udržování v provozuschopném bezpečném stavu, což cloudové služby velmi usnadní. Cloudové řešení bude nadále posilovat konvergence a integrace jednotlivých systémů objektu, bezpečnostních, technologických a jiných, ke společnému sdílení dat, použití umělé inteligence, flexibilitě ve využití objektu a dalším aplikacím a funkcím, které si dnes možná ještě neumíme představit.