Placówki bankowe to obiekty wymagające szczególnej ochrony. Sprawny system zabezpieczeń dla obiektów bankowych zawiera wiele elementów integrowanych w całość na podstawie tworzonego przez specjalistów w tej dziedzinie planu ochrony danego obiektu. Taki plan dotyczy zarówno ochrony fizycznej, jak i technicznych oraz mechanicznych systemów zabezpieczeń. Zawsze musi uwzględniać regulacje prawne odnoszące się do zabezpieczeń placówek bankowych, a także wewnętrzne przepisy obowiązujące w danym banku
Jeszcze kilkadziesiąt lat temu ochrona banków była utożsamiana z uzbrojonymi w broń palną strażnikami, którzy byli jedynymi gwarantami bezpieczeństwa dóbr materialnych oraz zdrowia i życia klientów i pracowników banków. Obecnie banki zdecydowanie częściej stawiają na zabezpieczenia techniczne, a liczba ochroniarzy w placówkach bankowych systematycznie się zmniejsza. Głównym powodem ograniczania ochrony fizycznej są koszty. Zabezpieczenia techniczne są dużo tańsze i pewniejsze. Wymagają one wprawdzie poniesienia niemałego kosztu jednorazowego, ale ich dalsza eksploatacja jest zdecydowanie bardziej ekonomiczna. Polscy bankowcy powołują się także na badania przeprowadzone w europejskich instytucjach finansowych, z których wynika, że w trakcie napadu zabezpieczenia elektroniczne nie powodują takiego zagrożenia, jak obecność i możliwe działania pracowników ochrony. Wynika to m.in. z faktu, że obecność ochroniarzy może wywołać wyjątkowo agresywne zachowania napastników, co może obrócić się przeciwko pracownikom i klientom banku.
Stosowane w placówkach bankowych zabezpieczenia techniczne składają się zawsze z urządzeń najwyższej klasy, o najlepszej niezawodności. Dla najbardziej wymagających obiektów konstruktorzy EBS stworzyli dwa nadajniki specjalne, będące jednymi z istotniejszych elementów systemów zabezpieczeń bankowych.
Urządzenie LX20-1EV
Urządzenie LX20-1EV składa się z dwóch niezależnych nadajników umieszczonych w jednej obudowie. Jeden z nadajników transmituje dane z systemu alarmowego za pomocą sieci Ethernet, drugi wykorzystuje technologie stosowane w sieciach GSM – pakietowy przesył danych (GPRS) lub krótkie wiadomości tekstowe (SMS). Oba nadajniki zostały skonfigurowane w taki sposób, aby połączenie z centralą alarmową wymagało tylko jednego kabla. Urządzenie oferuje jednocześnie dwa niezależne tory transmisji. Podstawowym kanałem transmisji jest Ethernet, natomiast kanały GPRS i SMS stanowią zapasowe kanały łączności. Niezależnie od tego, którym torem przebiega transmisja, jest ona zawsze szyfrowana symetrycznym szyfrem blokowym AES (ang. Advanced Encryption Standard). Oba nadajniki wyposażono w wejście DTMF umożliwiające transmisję sygnałów z systemu alarmowego z wykorzystaniem formatów ContactID lub Ademco Express.
Dodatkową zaletą jest możliwość podłączania zewnętrznych urządzeń do nadajników poprzez port szeregowy RS232 lub RS485. Oba nadajniki mają funkcję rejestracji historii zdarzeń systemowych, dzięki której w urządzeniach zapisywane są wszystkie zarejestrowane zdarzenia (do 5000 zdarzeń), stanowiąc swego rodzaju „czarną skrzynkę”.
Urządzenia LX20-1EV należą do trzeciej klasy bezpieczeństwa zgodnie z klasyfikacją wprowadzoną przez normę PN-EN 50131-1. Norma ta klasyfikuje urządzenia i systemy alarmowe pod kątem stopnia zabezpieczenia przed przestępcą (który ma określoną, zakładaną wiedzę o zabezpieczeniach).
Systemy alarmowe klasy trzeciej mają chronić obiekty przed przestępcami posiadającymi gruntowną wiedzę o zabezpieczeniach oraz wyposażonymi w zaawansowane narzędzia i sprzęt elektroniczny. Można je zatem stosować w obiektach o średnim i wysokim ryzyku występowania zagrożeń, takich jak banki, sklepy jubilerskie, zakłady przetwórstwa metali lub kamieni szlachetnych itp. Zgodnie z wymaganiami normy sprawność urządzeń jest stale monitorowana. Okresowe testy urządzenia przesyłane są do centrum monitorującego co 10 sekund, a wykryte uszkodzenia są sygnalizowane w czasie nie przekraczającym 20 sekund.
Urządzenia mogą być również modyfikowane i dostosowywane do innych potrzeb. Zostały na przykład wykorzystane w Republice Południowej Afryki do monitorowania i ochrony sal informatycznych we wszystkich państwowych szkołach. W przypadku tego zastosowania wprowadzono zmiany w oprogramowaniu, dzięki którym moduł GSM jest stale w stanie uśpienia (nie generuje żadnych kosztów) i uruchamiany jest dopiero w momencie otrzymania od nadajnika ethernetowego informacji o jego awarii. Powoduje to drobne opóźnienia w transmisji w przypadku przełączania torów (jest to całkowicie akceptowalne przy tego rodzaju zastosowaniach), ale pozwala znacznie ograniczyć koszty funkcjonowania systemu.
Urządzenie EX20-1PV
EX20-1PV to podstawowy element systemu kontroli dostępu stworzonego specjalnie na potrzeby najbardziej wymagających odbiorców, jakimi są banki. Urządzenie to także wykorzystuje transmisję poprzez kanały GPRS/SMS i Ethernet. EX20-1PV powstało we współpracy i na bazie koncepcji jednego z partnerów EBS – Centrum Monitorowania Alarmów, które oferuje bankom kompleksową usługę kontroli dostępu z wykorzystaniem tego urządzenia.
Monitorowanie dostępu do placówek bankowych jest dla instytucji finansowych kwestią priorytetową. Oczekuje się, że dostęp będzie w najwyższym stopniu bezpieczny, a jednocześnie sprawny i niezawodny. Obecnie większość banków stosuje system polegający na przekazywaniu kluczy do placówek zewnętrznym agencjom świadczącym usługi ochrony. W momencie, w którym należy otworzyć placówkę, pracownicy agencji ochrony przywożą odpowiednie klucze i komisyjnie, wspólnie z pracownikami danego banku, otwierają drzwi. Ta sama skomplikowana procedura ma miejsce podczas zamykania placówek na koniec dnia.
Tego rodzaju system jest nie tylko bardzo kosztowny, ale często również zawodny. Najczęściej zawodzi z powodu ludzkich pomyłek, których nie sposób uniknąć. Zdarza się, że pracownicy wynajętej agencji omyłkowo przybywają do niewłaściwego oddziału lub przywożą niewłaściwy komplet kluczy. Problemy mogą być powodowane również przez czynniki zupełnie niezależne, np. utrudnienia na drodze powodujące opóźnienia w dostarczeniu kluczy.
Zaprojektowane przez konstruktorów EBS urządzenie EX20-1PV umożliwia zdalne, bezpieczne i sprawne zarządzanie systemem kontroli dostępu. Transmisja wszystkich danych dotyczących systemu dostępu jest redundantna ze względu na użycie dwóch oddzielnych nadajników wykorzystujących różne tory transmisji – nadajnika ethernetowego, będącego podstawowym nadajnikiem, i nadajnika transmitującego sygnały poprzez kanały GPRS lub SMS, będącego nadajnikiem zapasowym na wypadek awarii łącza Ethernet. Równolegle nadajnik GSM pełni funkcję standardowego modułu transmisji z systemu alarmowego, przekazując informację o wszelkich zdarzeniach alarmowych.
Standardowe otwarcie drzwi z użyciem tego systemu polega na wpisaniu, jeden po drugim, dwóch różnych kodów przez dwóch różnych użytkowników systemu (pracowników banku). Kody te są przypisywane do konkretnych użytkowników i przechowywane wyłącznie w pamięci nadajnika (w bezpieczny sposób uniemożliwiający komukolwiek odczyt kodów). Po wpisaniu przez pierwszego z pracowników jego indywidualnego kodu urządzenie weryfikuje, czy dany kod znajduje się na liście kodów zapisanej w nadajniku. Jeśli zidentyfikuje wpisany kod, wysyła do oprogramowania centrum monitorowania identyfikator użytkownika przypisanego do danego kodu (wysyłany jest wyłącznie identyfikator użytkownika, sam kod jest zapisany jedynie w pamięci danego nadajnika). Po otrzymaniu identyfikatora użytkownika centrum monitorowania sprawdza po pierwsze, czy dany użytkownik widnieje na aktualnej liście uprawnionych osób, a ponadto – czy jest upoważniony do otwarcia drzwi w danej chwili, co jest stwierdzane na podstawie wcześniej tworzonych harmonogramów. Jeśli wszystko się zgadza, centrum monitorowania dokonuje akceptacji wpisanego kodu i zezwala na wprowadzenie kodu przez drugiego z pracowników, sprawdzając go według tej samej procedury.
Upoważnieni pracownicy banku mogą dopisywać kolejne pozycje do listy osób uprawnionych za pomocą terminala znajdującego się w centrali lub placówce banku. W momencie wprowadzenia nowej osoby do systemu oprogramowanie centrum monitorowania generuje unikatowy identyfikator osoby wraz z kodem startowym. Kod startowy nie służy do otwierania drzwi, a jedynie do tego, by użytkownik zmienił kod na własny, zapisany wyłącznie w pamięci danego nadajnika. Kody poszczególnych pracowników są znane tylko im i żaden z pracowników stacji monitorowania nie ma do nich wglądu.
System umożliwia także awaryjne otwieranie drzwi, np. w sytuacji, gdy pracownik banku, upoważniony do otwarcia zgodnie z zaplanowanym harmonogramem, nie pojawi się w pracy. W takim przypadku drzwi są otwierane po wprowadzeniu kodu jednorazowego, dłuższego niż standardowy. Kod jednorazowy jest wysyłany przez centrum monitorujące jako wiadomość SMS do zaufanej osoby. Jednocześnie do nadajnika wysyłana jest komenda umożliwiająca dopisanie przesłanego kodu do listy kodów zapisanej w nadajniku. Kod ten ma określony czas ważności. Może być wykorzystany tylko w zaprogramowanym czasie – później jest nieaktywny.
Aby zapewnić bezpieczne i bezawaryjne funkcjonowanie systemu, wprowadzono m.in. następujące rozwiązania:
- redundancja transmisji danych (z wykorzystaniem dwóch nadajników obsługujących różne kanały transmisji);
- szyfrowanie wszystkich danych w standardzie AES;
- uniemożliwienie odczytania kodów przez instalatorów lub któregokolwiek z pracowników stacji monitorującej;
- uniemożliwienie zmiany kodów standardowych, służących do otwierania drzwi z poziomu centrum monitorowania bądź przez użytkowników;
- wydawanie komend dotyczących kontroli dostępu (tzw. komend wrażliwych – usuwanie/dodawanie użytkowników, akceptacja/odrzucenie kodów, otwarcie/zamknięcie zamka) jest realizowane wyłącznie za pomocą specjalnego oprogramowania – połączenie specjalnego oprogramowania z serwerem stacji monitorowania jest szyfrowane, a klucz szyfrujący stanowi autoryzację tego połączenia;
- raportowanie do stacji monitorowania każdorazowo w przypadku wprowadzenia błędnego kodu;
- raportowanie do stacji monitorowania każdorazowo w przypadku próby otwarcia bez użycia kodu.
Dzięki zastosowaniu tych wszystkich rozwiązań system bazujący na urządzeniach EX20-1PV jest w najwyższym stopniu bezpieczny i niezawodny, a zarazem daje użytkownikom szereg korzyści. Przede wszystkim pozwala znacznie ograniczyć koszty dzięki wyeliminowaniu konieczności codziennych dojazdów pracowników agencji ochrony, a także dzięki oparciu transmisji danych na już istniejącej infrastrukturze (łączu Ethernet). Zdecydowanie ogranicza problemy z otwarciem placówek spowodowane ludzkimi pomyłkami i czynnikami niezależnymi. Gwarantuje także stały i ciągły nadzór nad systemem kontroli dostępu umożliwiający zbieranie i analizowanie informacji o wszelkich nieprawidłowościach.
EBS
Manuela Małek
Zabezpieczenia 5/2010