📌 Введение: СКУД как объект комплексного экспертного исследования
- Системы контроля и управления доступом (СКУД) являются критическим элементом безопасности любого объекта — от малого офиса до крупного промышленного предприятия. Они призваны защищать материальные ценности, конфиденциальную информацию и, что самое важное, безопасность персонала. Однако, как показывает практика, даже дорогие и современные СКУД имеют уязвимости: ошибки монтажа, программные «дыры», небрежность в настройке прав доступа, скрытые дефекты оборудования. Злоумышленники (внешние или внутренние — инсайдеры) могут использовать эти слабости для кражи, шпионажа или саботажа.
- Независимая экспертиза СКУД — это комплексное исследование, проводимое внешними специалистами, не аффилированными с поставщиком или интегратором. В отличие от штатных служб безопасности, независимый эксперт не ограничен внутренними обязательствами и действует исключительно в интересах заказчика, применяя научно обоснованные методы диагностики. Цель экспертизы — не только зафиксировать уже произошедший инцидент, но и проактивно выявить уязвимости до того, как ими воспользуются злоумышленники.
⚙️ Глава 1. Технические сбои в работе СКУД: классификация и методы выявления
1.1. Сбои оборудования (считыватели, замки, контроллеры, блоки питания)
Технические сбои могут иметь как аппаратную (дефект компонентов, ошибки монтажа), так и программную природу (ошибки прошивки).
| Тип сбоя | Проявление | Возможные причины | Метод выявления экспертом |
| Отказ считывателя карт/биометрии | Карта не читается, дальность считывания упала с 5 см до 1 см; биометрический сканер не распознаёт отпечаток | Износ катушки антенны, загрязнение оптики (для биометрии), дефект пайки на плате, ослабление контакта в разъёме (Wiegand, OSDP) | Сравнение с эталонным считывателем; измерение напряжений на выходе (DATA0, DATA1) осциллографом; проверка целостности кабеля в линии (Wiegand) |
| «Дребезг» контактов кнопки выхода (REX — Request to Exit) | Дверь открывается самопроизвольно от вибрации; ложные срабатывания в журнале | Окисление контактов, неправильный таймер задержки (настроен на 0 сек), некачественная кнопка | Осциллограф (фиксация нескольких фронтов вместо одного); анализ журнала на предмет частых событий «Кнопка выхода нажата» без физического воздействия |
| Залипание электромагнитного замка | Дверь не открывается при отключении питания (аварийная ситуация, блокировка эвакуации) | Остаточная намагниченность якоря (если замок был под напряжением годы), неправильный зазор (более 0,5 мм), дефект блока питания (напряжение не снимается до 0) | Измерение остаточного напряжения на замке (должно быть < 0,5 В); проверка зазора щупом; анализ схемы управления (реле должно разрывать цепь) |
| Задержка срабатывания замка на несколько секунд | Дверь открывается через 3-5 секунд после прикладывания карты (норма — 0,5 с) | Перегруженная шина RS-485 (много контроллеров); нехватка памяти контроллера; задержка в канале связи (Ethernet) | Осциллограф (замер времени от фронта сигнала до срабатывания); анализ загрузки контроллера через ПО; проверка сетевой задержки (ping) |
| Полная потеря связи с контроллером (контроллер не отвечает) | Невозможно управление дверью, система не фиксирует события | Обрыв линии RS-485 (перебит кабель); выход блока питания из строя; зависание программы контроллера | Прожарка линий мегаомметром (измерение сопротивления изоляции, целостности); перезагрузка контроллера; проверка питания |
| Некачественное питание (блок питания не тянет нагрузку) | Контроллер периодически «виснет», замки открываются с задержкой | Заниженное сечение кабеля от БП; неисправность БП (высохшие конденсаторы — ESR) | Измерение напряжения под нагрузкой; проверка мощности блока питания |
1.2. Сбои кабельных линий и сетевой инфраструктуры
Кабельные линии — наиболее уязвимая часть любой СКУД с физической точки зрения.
| Тип сбоя | Причина | Метод выявления |
| Обрыв или короткое замыкание в линии RS‑485 | Механическое повреждение, ошибка монтажа (неправильная распиновка), использование неэкранированной витой пары в электромагнитно-шумной среде | Прожарка мегаомметром; измерение сопротивления петли |
| Отсутствие терминального резистора (120 Ом) на шине RS‑485 | Монтажник не установил резистор на последнем контроллере | Осциллограф (наличие отражённого сигнала, искажение фронтов); проверка наличия резистора мультиметром |
| Наводки (помехи) от силовых кабелей | Параллельная прокладка кабелей СКУД и кабелей 220 В/380 В (ближе 50 см) без экранирования | Осциллограф (наложение сигнала 50 Гц); проверка экранирования |
| Несанкционированное подключение к линии (простой подслушивающий девайс) | Физический доступ к кабелю в подвесном потолке или фальшполу | Периодический мониторинг контрольных сумм; визуальный осмотр; установка датчиков вскрытия кабельных каналов |
1.3. Сбои при интеграции с другими системами безопасности
Нарушение логики взаимодействия с АПС, видеонаблюдением или учётом рабочего времени.
| Вид сбоя | Проявление | Выявление экспертом |
| Двери не разблокируются при пожаре | Эвакуационные выходы заблокированы, когда система АПС активирована | Имитация сигнала тревоги на входном порту контроллера, проверка реакции замка |
| Отсутствие привязки события к видеокадру | Журнал СКУД показывает проход, но видеоархив не позволяет идентифицировать лицо | Сравнение временных меток СКУД и видеорегистратора; рассинхронизация NTP (разница > 1 секунды) |
| Ошибка интеграции с 1С:ЗУП | Уволенный сотрудник не блокируется в системе (проходит неделю) | Тест: увольнение тестового сотрудника, проверка блокировки карты в СКУД |
🔓 Глава 2. Уязвимости СКУД: что может быть взломано
2.1. Программные и сетевые уязвимости
| Уязвимость | Риск | Метод выявления экспертом |
| Стандартные пароли (admin/123456, заводские пароли) | Злоумышленник подключается к web-интерфейсу контроллера (или сервера управления) и открывает любую дверь | Проверка паролей через web-морду, попытка подключения по telnet/ssh, SNMP (community public/private) |
| Отсутствие шифрования трафика (Telnet, HTTP, нешифрованный RS‑485) | Перехват паролей и команд открытия дверей (сниффинг) | Анализ трафика Wireshark; попытка подменить команду (ARP-spoofing) |
| Уязвимости в прошивке (Firmware), известные CVE | Удалённое выполнение кода (RCE), DoS-атака, отключение контроллера | Сравнение версии прошивки с базой CVE; сканирование уязвимостей (Nessus, nmap скрипты) |
| Неограниченное количество попыток подбора PIN (брутфорс по клавиатурному считывателю) | Злоумышленник может перебрать все 10 000 комбинаций PIN-кода (если нет задержки после 3 неудачных попыток) | Тестирование: ввод неверного PIN многократно, фиксация блокировки или её отсутствия |
| Логи передаются в открытом виде (не используются сертификаты) | Перехват логов — раскрытие расписаний доступа, имён сотрудников, паттернов | Сниффинг порта, куда отправляются логи (например, 514 UDP — syslog) |
2.2. Физические уязвимости
| Уязвимость | Риск | Метод выявления |
| Незащищённый кабель от считывателя до контроллера | Злоумышленник подключается к линии Wiegand (Data0, Data1, GND), перехватывает код карты (подносит свой считыватель к линии) или эмулирует открытие | Визуальный осмотр: заведён ли кабель в стальной рукав, доступен ли в подвесном потолке |
| Отсутствие антипассбэк (Anti-Passback) или некорректная настройка | Одна карта может провести двух человек («хвост»). Нарушение пропускного режима | Тестирование: приложить карту на вход, выйти (по другой карте), попытаться войти снова — доступ должен быть запрещён |
| Мастер-карта (Master) не защищена, нет ограничения по времени действия | При утере мастер-карты злоумышленник получает доступ ко всем зонам (хоть в 3 часа ночи) | Проверка настроек: мастер-карта не должна иметь доступ ко всем зонам (лучше вообще отключить) |
| Незащищённый сервер (компьютер) с ПО управления СКУД | Злоумышленник может украсть базу данных (логины, хеши, права, карты) | Проверка физической блокировки серверной комнаты (дверь на ключ); наличие UEFI-пароля; шифрование диска |
🕵️ Глава 3. Выявление фактов несанкционированного доступа (форензика)
3.1. Анализ журналов событий (Event Logs)
Эксперт восстанавливает хронологию проходов, анализируя лог-файлы (CSV, SQLite, MS SQL, MySQL). Ключевые признаки:
| Признак аномалии | Что означает | SQL-запрос / анализ |
| Проход по неактивной карте (сотрудник уволен, но карта не заблокирована) | Карта не была деактивирована в системе; возможно, используется посторонним лицом | SELECT * FROM AccessLog WHERE CardStatus = ‘Disabled’ AND AccessGranted = 1 AND EventTime > TerminationDate |
| Доступ в зону, не соответствующую должностным обязанностям | Сотрудник зашёл в серверную, хотя по должности ему туда нельзя (шпионаж, хищение) | SELECT * FROM AccessLog WHERE UserRole NOT ALLOWED Zone |
| Доступ в нерабочее время (ночью, в выходные) | Сотрудник физически находился на объекте вне графика (вынос имущества, скрытая работа) | SELECT * FROM AccessLog WHERE (DATEPART(hh, EventTime) < 7 OR DATEPART(hh, EventTime) > 20) AND User = @User |
| Вход без выхода (или выход без входа) | Карта передана другому лицу (нарушение антипассбэк). Потеря карты, злоумышленник проводит «хвост» | SELECT * FROM AccessLog WHERE PreviousEventType!= ‘Out’ AND CurrentEventType = ‘In’ |
| Авторизация по неактивному пользователю (учётная запись удалена, но есть попытки подключения по API) | Администратор не отозвал API-ключ | Анализ логов интеграции (REST API) |
3.2. Сравнение с данными видеонаблюдения (CCTV)
Эксперт сопоставляет событие в журнале СКУД (время, дверь, идентификатор карты) с записью камеры видеонаблюдения:
| Несоответствие | Доказательство |
| Доступ предоставлен, но на видео — пустой проход (никто не прошёл, дверь не открывалась) | Возможно, дверь была не закрыта (отсутствовало поджатие), магнитный контакт не фиксировал закрытие (взлом датчика) |
| По карте Петрова прошёл Иванов | Передача карты, фиксация лица нарушителя (идентификация по видео) |
| Событие в журнале есть, но время события не совпадает с видео (разница > 2 секунд) | Несинхронизированное время на контроллере и видеорегистраторе (NTP не настроен) |
3.3. Анализ действий администратора (логирование администрирования)
Эксперт проверяет, не злоупотреблял ли администратор своими правами:
| Действие | Признак злоупотребления |
| Создание/удаление карт | Карта создана в 2 часа ночи (в нерабочее время) без заявки |
| Изменение прав доступа | Изменены права группы доступа (например, добавлена серверная комната) без заявки и изменения должностных инструкций |
| Отключение логирования | Логирование отключалось на определённый промежуток, затем включалось (чтобы скрыть следы незаконного прохода) |
🔐 Глава 4. Скрытые дефекты, которые выявляет только экспертиза
| Дефект | Описание | Метод выявления |
| Использование несертифицированных блоков питания | Вместо заявленного БП Mean Well установлен дешёвый noname с высоким уровнем пульсаций (ripple) | Осциллограф: уровень пульсаций должен быть < 50 мВ для импульсных БП. Превышение ведёт к сбоям контроллеров |
| Неверный подбор сечения кабеля (занижение) | Вместо 0,5 мм² — 0,2 мм². Провод греется, падение напряжения при открытии замка | Штангенциркуль, измерение падения напряжения при нагрузке (0,5 А на замок) |
| Отсутствие преобразователя интерфейсов (RS‑485 / Ethernet) при несовместимой топологии | Контроллеры соединены «звездой», а не шиной, отражаются сигналы | Осциллограф, рефлектометр |
| Нарушение при монтаже экрана кабеля (заземление в двух точках) | Возникает потенциал и гальваническая связь между контроллерами («земляная петля») | Проверка соединения экрана: должен быть заземлён только с одной стороны |
🧪 Глава 5. Примеры из практики (кейсы)
Кейс № 1. Воровство через служебный вход (офисно-складской комплекс)
Ситуация: С периодичностью раз в месяц пропадали дорогостоящие комплектующие. Склад оборудован СКУД, карты доступа были только у кладовщиков. Подозрение пало на сторожа (физически он находился в будке охраны), но прямых доказательств не было, потому что он не проходил через КПП.
Действия эксперта: Эксперт проанализировал журнал событий СКУД за 3 месяца. Нашёл запись: в 2 часа ночи сторож открывает служебный вход (для выноса мусора) своей картой. Через минуту на том же считывателе зафиксирован проход грузчика (его карта — по графикам доступа должна быть заблокирована после 20:00). Эксперт проанализировал журнал администратора и обнаружил, что начальник склада (он же администратор СКУД) изменил права грузчику на «круглосуточно» за день до кражи.
Результат: Раскрыта схема хищения (начальник склада + сторож + грузчик). Виновные уволены и привлечены к уголовной ответственности (ст. 158 УК РФ). 💪
Кейс № 2. Администратор-инсайдер в технопарке
Ситуация: В компании произошла кража ноутбуков из переговорной. СКУД показала, что в день кражи в переговорную никто не заходил. Однако записи видеонаблюдения зафиксировали, как неизвестный выходит с ноутбуком.
Действия эксперта: Эксперт проанализировал журнал событий и обнаружил, что логирование было отключено на 20 минут в день кражи. Логирование может отключить только администратор. Эксперт запросил логи доступа администратора (Windows Event Logs, Sysmon) и выявил, что админ заходил на сервер СКУД под своей учётной записью в 3 часа ночи (статический анализ показал, что он отключил аудит). Эксперт также проверил целостность логов (хеш-суммы) и подтвердил факт манипуляции.
Результат: Администратор уличён во взломе, уголовное дело по ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». Компания усилила мониторинг действий привилегированных пользователей. 💪
Кейс № 3. Клонирование карт доступа с помощью проксимити-считывателя
Ситуация: В научно-исследовательском институте из лаборатории пропадали образцы. Система контроля доступа фиксировала проходы только по картам (без биометрии). Все карты были на месте, подозреваемых не было.
Действия эксперта: Эксперт купил дешёвый копировщик карт (1000 руб.) и скопировал карту одного из сотрудников. СКУД не имела защиты от клонирования (Mifare Classic с взломанным шифрованием — существующий бэкдор). Эксперт попытался пройти по копии — успешно! 😡
Результат: Институт заменил все карты на Mifare DESFire с аппаратным шифрованием, недоступным для копирования дешёвыми устройствами. Ущерб от краж прекратился. 💪
📂 Глава 6. Необходимые материалы для экспертизы
| Категория | Конкретные материалы | Цель |
| Журналы событий (самое важное) | Логи СКУД (выгрузка в CSV, SQLite, MS SQL, MySQL), логи ОС сервера (Windows Event Logs, Syslog), логи приложений | Поиск аномалий (несанкционированный доступ, ошибки) |
| Документация по СКУД | Проектные и исполнительные схемы подключения, спецификации оборудования, однолинейные схемы | Понимание архитектуры системы |
| Матрица доступа (роли -> зоны, списки пользователей) | Таблицы с указанием, какие сотрудники в какие зоны имеют право прохода | Сравнение фактических проходов с разрешёнными |
| Сведения об администраторах | Учётные записи администраторов, регламенты их действий, журнал их активностей (Windows Event Logs, Sysmon) | Выявление инсайдера |
| Данные видеонаблюдения (при их наличии) | Видеофайлы (MP4, AVI) с датами и временем, синхронизированные со временем СКУД (NTP) | Сопоставление записей с журналом |
| Акты проверок и инцидентов (если были) | Заявления в полицию, акты осмотра, переписка с подрядчиком, претензии | Установление обстоятельств (для суда) |
🎯 Заключение
Независимая экспертиза СКУД — это единственный способ объективно выявить:
- Сбои — технические проблемы оборудования, кабельных линий и интеграций (включая скрытые дефекты монтажа);
- Уязвимости — программные (слабые пароли, отсутствие шифрования) и физические (незащищённые кабели, возможность клонирования карт);
- Факты несанкционированного доступа — включая инсайдеров (администраторов), передачу карт, клонирование и обход правил антипассбэк.
В отличие от штатных служб безопасности, независимый эксперт не связан корпоративной лояльностью и использует современное криминалистическое оборудование (осциллографы, мегаомметры, снифферы). Экспертное заключение является письменным доказательством в суде (ст. 71 ГПК РФ, ст. 64 АПК РФ) и служит основой для исков к подрядчикам или виновным сотрудникам.
Для заказа экспертизы СКУД обращайтесь в Союз «Федерация судебных экспертов» (сайт: https://medeksp.ru/).
Задавайте любые вопросы