СКУД с биометрией: старые риски и новые возможности

Биометрия как один из факторов аутентификации широко используется в российских организациях. Чаще всего его используют компании банковского сектора, промпредприятия и госорганы. Биометрию применяют для учета рабочего времени, предупреждения мошенничества, а также в системах контроля и управления доступом (СКУД). В последнем случае востребованы такие сильные стороны биометрии, как сложность подделки, невозможность утери и практическое удобство. Исторически основным способом биометрической идентификации и аутентификации был отпечаток пальца, но в последние годы растет доля решений, основанных на распознавании лиц. Так, по данным аналитиков, по итогам 2023 года объем рынка СКУД в РФ составил 15 млрд руб., 6% в нем занимают именно такие системы (БиоСКУД). Но ужесточение регулирования оборота биометрических данных требует от участников рынка пересмотра методов работы со своими системами.

С прошлого года правила оборота биометрии были ужесточены. Если раньше он регулировался только 152-ФЗ «О персональных данных», то с 1 июня 2023 года автоматизированные системы обработки биометрии стали попадать под действие 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Наиболее значимые изменения предполагают, что биометрические данные (слепки лица и голоса) должны храниться в Единой биометрической системе (ГИС ЕБС, ее оператором является АО «Центр биометрических технологий»). Компании, ранее собиравшие и обрабатывавшие биометрические данные в своих системах, теперь обязаны передать их в ЕБС, уведомить об этом субъекта персональных данных и получить его согласие на обработку и передачу информации. Затем компании могут работать по двум сценариям: трансакционному и векторному. Первый предполагает, что компания обращается за векторами напрямую в ЕБС, второй – работает с биометрическими слепками через посредников – коммерческие биометрические системы (КБС).

На режимных объектах идентификация и аутентификация обязательно должны проводиться через ГИС ЕБС, другие организации могут получать аутентификацию как услугу со стороны КБС – коммерческих организаций, получивших аккредитацию для работы с ЕБС. При этом КБС хранят только векторы биометрических данных, то есть уже преобразованную биометрию из ЕБС. Актуальный список КБС опубликован на сайте Минцифры, сейчас в нем 11 поставщиков, в основном это банки. За нарушения порядка сбора и обработки биометрических данных введена ответственность вплоть до уголовной.

Новые жесткие требования в первую очередь затрагивают компании, внедрившие современные и технологичные сценарии использования биометрии. Там, где используют «смешанный» СКУД, то есть решение о допуске на территорию принимает сотрудник охраны на основе результатов проверки компьютером, требования 572-ФЗ не применяются. Если внедрена более старая система с использованием отпечатков пальцев, переходить на работу с ЕБС тоже пока не нужно (хотя список биометрических модальностей может быть расширен в будущем). А вот компаниям, которые внедрили полностью автоматизированный СКУД с распознаванием лиц, и, возможно, интегрировали его с видеоаналитикой для решения таких дополнительных задач, как контроль посторонних в режимных зонах, контроль скопления и перемещения людей, точный учет рабочего времени, новое законодательство предписывает радикально переработать систему либо перестать ей пользоваться.

Сценарии переработки, позволяющие продолжать применять биометрию в автоматическом режиме по требованиям 572-ФЗ, на сегодняшний день достаточно дорогостоящие. У многих поставщиков СКУД еще нет готовых решений, но некоторые уже предлагают решение по оперативной передаче данных в КБС и организации локальной обработки информации за 50 млн. руб.

Пропуски и карты доступа по-прежнему широко применяются в СКУД. Но недостатков у них много, это и постоянные расходы на оборот пропусков, и невозможность решать такие задачи, как автоматический контроль перемещения по объекту. К тому же, только значительным увеличением числа пунктов контроля и штата СБ можно снизить риски обмена пропусками или перемещения по объекту без пропуска.

Чтобы не только решать задачи СКУД, но лучше отслеживать местонахождение сотрудников и гостей, применяются решения на базе RFID-меток или активных передатчиков, которые могут быть встроены в браслеты или защитные каски. Это более функциональное решение, чем обычные карточки доступа, но оно более дорогое, при этом слабо защищенное от сценариев с забытым браслетом или случайным обменом касками.

Экономически эффективной альтернативой каскам и браслетам являются решения, использующие основной смартфон сотрудника. Он уже снабжен необходимыми передатчиками, его реже забывают и вряд ли отдадут постороннему, поэтому в качестве фактора постоянной идентификации и инструмента отслеживания в периметре организации он подходит очень хорошо.

Доработать имеющуюся систему СКУД, законно применять биометрические методы в качестве дополнительного средства аутентификации и получать продвинутые возможности аналитики позволяет система Urbanpredator от Future Crew. Она встраивается в имеющуюся инфраструктуру компании и делает основным инструментом аутентификации смартфон сотрудника. В приложение при помощи HR или СБ записывается идентификатор — это цифровой аналог личного пропуска. Разблокировав смартфон и приложение Urbanpredator штатной системой безопасности смартфона (часто основанной на дактилоскопическом сканере или технологии FaceID), сотрудник видит на экране одноразовый QR-код, по которому проходит через турникет.

При перемещении по охраняемому объекту приложение Urbanpredator на смартфоне регулярно сообщает о точном местоположении устройства. Оно определяется при помощи расставленных по территории Bluetooth-маячков. Сочетание биометрического контроля на входе в приложение и регулярного контроля местоположения позволяет удостовериться, что смартфоном пользуется владелец, и он находится в разрешенной зоне. Кроме усиленного контроля зон предприятия со строгим режимом посещения, такое решение будет очень эффективно при учениях или во время реальной эвакуации при ЧС. Оно позволяет ответственным сотрудникам убедиться, что никто не остался в помещении и целевым образом выручать тех, кто не может или не хочет эвакуироваться сам.

Аналитика местоположения помогает организации оптимизировать рабочую среду и даже экономить на офисных площадях. Ведь долговременные наблюдения позволяют точно установить места скопления сотрудников, реальную нагрузку на рабочие места и общую заполняемость офиса, популярность мест отдыха и время их активного использования.

Если организация использует для контроля всей территории видеонаблюдение, возможности Urbanpredator значительно увеличиваются благодаря функциям видеоаналитики. Urbanpredator позволит сопоставлять изображение с камеры с данными о местоположении сотрудников и автоматически обнаруживать аномалии. Компьютерное зрение идентифицирует ситуации, когда, например, в помещении видны два человека, но только один из них идентифицирован по своему смартфону. Возможно, второй просто забыл смартфон на рабочем месте – и тогда в соседнем помещении будет обратная ситуация, смартфонов больше, чем людей. Но если такого простого объяснения в системе не нашлось, служба безопасности сможет точечно отработать эту ситуацию, отправив своего сотрудника на проверку. Для того, чтобы охранники работали эффективней, система сразу подсвечивает на экранах мониторинга «подозрительных» лиц.

Таким образом, переход на смартфоны для идентификации и аутентификации сотрудников помогает сочетать надежность биометрических проверок и эффективность охраны предприятия с удобством сотрудников и соблюдением нового законодательства.