Помоги проекту - поделись книгой:
1.4. Практика эксплуатации интегрированных систем безопасности
Прежде чем перейти к определению проблемы, кратко остановимся на этапах создания интегрированной системы безопасности:
— разработка технического задания,
— проектирование,
— монтаж и пусконаладка,
— испытания и ввод в эксплуатацию.
Все без исключения вышеперечисленные этапы достаточно хорошо формализованы, организации, осуществляющие проектные и монтажные работы, обладают огромным опытом деятельности, квалифицированным персоналом, компетенции подтверждены лицензиями, членством в СРО и другими документами. Поэтому с «технической» стороны по сути проблем нет, кроме проблемы выбора производителя оборудования и подрядной организации.
Проблемы начинаются на этапе начала эксплуатации. Название проблемы — кто должен обучать персонал, который будет эксплуатировать систему? В лучшем случае в пунктах договора на пусконаладочные работы будут разделы, обязывающие исполнителя провести обучение. Как показывает практика, обучение проводят те же специалисты, которые проводят пусконаладку. Они очень хорошо знают предметную область в «технической» части, но плохо представляют специфику оперативного мониторинга объекта или работы ситуационного центра и тем более не обладают опытом проведения аналитических мероприятий. Второй подход — обучение проводят специалисты организаций, с которыми заключен договор на техническое обслуживание системы, полагаем, понятно, что и в этом случае ситуация не меняется в лучшую сторону.
Второй аспект — образовательный и профессиональный ценз обучаемого персонала. Не секрет, что должности оператора ПЦН (пульта централизованного наблюдения), диспетчера, сотрудника подразделений транспортной безопасности седьмой категории (работники, управляющие техническими средствами обеспечения транспортной безопасности) не являются конкурентными по уровню заработной платы, соответственно, образовательный ценз и мотивация такого персонала в ряде случаев не позволяют реализовать весь потенциал системы, заложенный на этапе проектирования.
Поэтому в ряде случаев и возникает явный разрыв между потенциальными возможностями интегрированных систем безопасности и реальным функционалом, реализованным на практике.
Уильям Эдвардс Деминг
2. Методология поиска и анализа информации
В данной главе рассмотрена практика поиска и анализа информации в интегрированных системах безопасности и информационных системах предприятия.
Поиск события в видеоархиве.
Поиск информации в целях проведения служебного расследования.
Анализ информации, выявление аномалий.
Алгоритмы поиска и анализа информации.
2.1. Черный ящик. Видеоархива всегда не хватает
Как показывает практика, большинство систем видеонаблюдения используются в режиме «черного ящика», т. е. при возникновении какого-либо инцидента оператор ищет информацию по времени (если оно известно), если нет, пытается найти искомый видеофрагмент по описанию. Основные трудности, с которыми сталкиваются операторы при таком режиме функционирования системы:
— глубина архива недостаточна, видеозапись отсутствует;
— событие произошло, например, неделю назад, точная дата неизвестна, соответственно, оператору необходимо просмотреть огромный массив видеоданных;
— оператор не нашел нужное событие.
На глубину архива оператор повлиять не может, этот параметр заложен на стадии проектирования, но у персонала, который настраивает систему видеонаблюдения, есть достаточно большой спектр возможностей по оптимизации, даже при фиксированной емкости накопителей. Тут мы опять возвращаемся к вопросу компетенций персонала.
Прежде всего остановимся на вопросе — какая глубина архива является оптимальной? Тезис «чем больше, тем лучше» не проходит, т. к. стоимость накопителей с каждым годом растет, а высокое качество видеоматериалов находится в обратной пропорции к емкости накопителей.
Опытным путем и требованиями ряда нормативных актов4 минимально достаточной определена глубина архива в 30 суток. Однако любой специалист-практик вспомнит массу случаев, когда очень важная информация, которая могла быть ключевой для раскрытия хищения или мошенничества, не была получена, потому что информация о факте стала известна, например, через два месяца. Иногда собственники объектов идут на траты и выделяют средства на увеличение емкости архива до трех и более месяцев, но практика показывает, что в ряде случаев видеозаписи нужны были и за больший период времени. Особенно часто такая информация нужна аудиторам, которые могут проявить интерес к событиям, которые произошли более года назад.
Методы решения этой проблемы способами, не связанными с увеличением емкости накопителей, мы рассмотрим позже.
Как мы уже отмечали, поиск информации при известной или приблизительно известной дате и времени не представляет труда, все без исключения интерфейсы современных видеорегистраторов и программных продуктов ПАК позволяют ввести необходимые параметры и перейти непосредственно к нужному фрагменту. Иногда у операторов возникают проблемы с копированием найденного фрагмента на внешний носитель и «вырезкой» искомого фрагмента из общего видеоряда.
Намного более сложная задача — поиск фрагмента события, временные параметры которого определены диапазоном дат, например — вывоз похищенного материала был осуществлен в течение недели, въездная группа неизвестна, номерной знак и модель транспортного средства также неизвестны. Самый примитивный сценарий — когда оператор вынужден часами сидеть и просматривать видеоматериалы в поисках искомого события, и то если присутствуют возможность визуальной идентификации указанных признаков (вывоз в открытой бортовой машине). Этот пример еще раз подтверждает тезис о том, что ценность видеоматериалов не столько в их наличии, сколько в возможности найти нужное событие в огромном информационном массиве.
В практике проверочных мероприятий в отношении действий операторов относительно часто приходится сталкиваться с «пропуском» оператором нужного фрагмента при поиске видеоданных. Чаще всего это происходит с неопытными операторами, которые при просмотре видеоархива используют повышенную скорость воспроизведения более чем в 4 раза) и просто не замечают нужное событие. Как уже отмечали, это прежде всего вопрос компетенций.
Между тем при анализе таких ошибок было выявлено, что у многих операторов была возможность значительно повысить эффективность поиска с помощью встроенных инструментов, даже без предварительной индексации видеофайлов. Речь идет прежде всего об опции с обобщенным названием Smart Search (у некоторых производителей она может называться по-другому). В отличие от аппаратных детекторов видеокамер и программных детекторов видеорегистраторов и видеосерверов, которые нужно заранее настраивать, задавая фиксированные зоны детекции, эта опция работает с архивом. При просмотре видеофрагмента вы выделяете нужную область, например, зону кадра, где должно проехать транспортное средство, после чего самим видеорегистратором осуществляется поиск фрагментов только с движением в этой области, таким образом вы получаете фиксированный набор видеофрагментов с проезжающим транспортом, при правильно настроенном фильтре остальной массив видеоданных можно не просматривать.
2.2. Служебная проверка или расследование
Организация поисковых и аналитических мероприятий при проведении служебной проверки или расследования предполагает наличие всего спектра инструментов, о которых упоминалось ранее. Прежде всего это наличие интегрированной системы безопасности, доступ к информационной системе предприятия для формирования запросов и получения отчетов, развитая система индексирования различных типов данных. В автоматическом режиме должны генерироваться следующие потоки данных:
— распознавание номеров автотранспорта на всех входных группах (в идеале зонирование предприятия и получение возможности идентификации транспортного средства по зонам),
— данные со средств весового контроля (если таковые имеются),
— данные СКУД,
— индексация видеоряда и снимков.
На последнем пункте остановимся более подробно. Мы обещали вернуться к теме увеличения архива без увеличения емкости накопителей. Естественно, в первую очередь необходимо использовать возможности, предоставляемые производителями оборудования:
— использование современных кодеков в т. ч. H.265+;
— использование записи только по детектору движения (подходит для ограниченного количества контролируемых зон, используется только в случае крайней необходимости, когда глубина архива важнее потенциальной возможности «пропустить» нужную сцену);
— возможность снижать качество видеозаписи по истечении основного срока хранения или изменять частоту кадров архива.
Более интересен подход, связанный с фиксацией события в виде индексированного снимка (фрагмента видеозаписи), который может храниться практически неограниченное количество времени. Как мы уже отмечали — система видеонаблюдения является в т. ч. средством верификации, причем как оперативной, так и для подтверждения ранее произошедших событий. Дополнение «основного» видеоархива с ограниченной глубиной архивом снимков и коротких видеофрагментов с глубиной в несколько лет как раз и является эффективным средством для расширения функционала интегрированной системы безопасности. Примерами могут являться снимки всех въезжающих транспортных средств, причем одновременно можно делать снимок фронтальный с возможностью идентификации номерного знака и обзорный с верхнего сектора. Второй пример — снимок с видеокамеры, логически связанной с системой охранной сигнализации при срабатывании периметрового извещателя.
Таким образом, используя вышеуказанную модель организации хранения данных, мы можем анализировать данные за достаточно большой период времени.
Ключевой особенностью сбора и анализа информации, осуществляемых специалистом-экспертом в рамках служебного расследования, является отсутствие конкретной информации о дате и месте наступления событий, которые могут явиться основой для верификации нарушения и формирования доказательной базы.
Некоторые авторы работ по теории корпоративного мошенничества используют термин «матрица расследования»5.
Действительно, только при анализе значительного количества на первый взгляд разрозненной информации, полученной из различных источников, возможно как установить сам факт совершения противоправных действий, так и сформировать доказательную базу.
В отношении важности компонента системы видеонаблюдения как источника информации для формирования доказательств было отмечено: «Аудио- и видеозаписи представляют собой особый источник сведений, требующий дополнительного теоретического осмысления. При этом совершенно очевидно, что технические возможности, существующие в настоящее время в распоряжении не только государства, но и частных лиц, выводят этот источник сведений на беспрецедентный по информативности и потенциалу познания уровень»6.
Возвращаясь к термину «матрица расследования» следует пояснить, что источником информации при проведении служебной проверки являются не только технические средства, входящие в состав интегрированной системы безопасности, но и информация, полученная в ходе опроса должностных лиц, материалы, полученные в ходе ревизий, инвентаризаций, выгрузки из учетных систем предприятия и т. д.
Иногда именно изучение первичных документов (материалов конкурсных отборов, проведенных тендеров, полученных коммерческих предложений) является первым этапом для получения информации о возможных нарушениях, связанных с корпоративным мошенничеством.
В сложных случаях для проведения служебного расследования целесообразно формировать экспертную группу или комиссию, в которую, кроме сотрудников подразделения безопасности, входят профильные специалисты по аудиту, технические специалисты и юристы.
В этом случае основными задачами специалиста-эксперта будут:
— верификация информации в рамках «матрицы расследования»;
— формирование доказательной базы в соответствии с критериями относимости, допустимости и достоверности;
— выявление потребности в получении дополнительных сведений, формирование запросов в информационные базы предприятия и (или) запросов должностным лицам предприятия;
— передача информации руководителю экспертной группы (комиссии) информации для формирования заключения оп результатам служебной проверки.
2.3. Анализ информации. Поиск аномалий
Кардинально отличается методология действий специалиста-эксперта при анализе информации в рамках проведения мероприятий по поиску аномалий. Главное — он проводит работу не от выявленного факта совершения противоправных действий (или выявленных случаев недостачи материальных ценностей), а самостоятельно проверяет гипотезу о наличии причин и условий, которые не были идентифицированы на этапе оценки рисков при описании основных бизнес-процессов и создании системы контроля.
Естественно, квалификация специалиста-эксперта для проведения подобных мероприятий должна включать в себя глубокие знания бизнес-процессов предприятия.
В ряде случаев «заказчиком» таких мероприятий выступает подразделение, отвечающее за внедрение системы менеджмента качества (СМК) в рамках проводимого аудита или актуализации документации, регламентирующих выполнение требований СМК. При этом максимальный эффект достигается за счет того, что, имея «инструментальные» источники информации, специалист-эксперт выявляет реальные угрозы для предприятия, которые могут быть подтверждены документально.
На этом этапе снова хотелось бы вернуться к выражению «матрица расследования», т. к. оно наиболее емко характеризует суть работы специалиста-эксперта по анализу многомерных данных и сопоставления информации, которая на первый взгляд не является значимой.
В качестве примера можно привести следующую схему анализа — от обобщенной к целевой, которая на ряде предприятий была успешно реализована и способствовала предотвращению реального ущерба в цепочке поставок материалов:
— из всего массива данных о заезжающем на предприятие транспорте (дата, время, государственной номер) выявляются аномальные (в данном случае были выявлены транспортные средства, которые заезжали на предприятие только в выходные и праздничные дни), естественно, речь идет о предприятии, которое работает в круглосуточном режиме;
— после фильтрации данных и анализа времени заезда получаем еще один демаскирующий признак — эти транспортные средства иногда заезжали и в будние дни, но только в ночное время;
— далее проводится анализ режима работы основных подразделений предприятия, связанных с осуществлением деятельности в области логистики и контроля, которое иногда называют «день / ночь 48», и сравниваем со списком ранее выявленных транспортных средств, после чего получаем информацию о том, что контролируемые транспортные средства заезжали только в период работы одной и той же смены;
— следующий этап — верификация и выявление с использованием системы видеонаблюдения аномалий на этапах весового контроля, контроля качества поставляемых материалов, разгрузки в местах хранения материалов, для выявления нарушений в части осуществления функции контроля над качеством поставляемых материалов;
— формирование доказательной базы, инициализация служебной проверки по выявленным фактам, привлечение виновных лиц к ответственности.
Из приведенного примера понятно, что речь шла о нарушениях со стороны персонала предприятия, связанного с приемом материалов ненадлежащего качества в сговоре с поставщиками.
Этот пример выбран в связи с тем, что первый, самый важный этап по выявлению аномалий был приведен обезличенно, или, используя терминологию специалистов-профайлеров, без учета «криминального знания», т. к. сам факт заезда на территорию предприятия в определенные дни не может быть идентифицирован как угроза или риск. Еще раз акцентируем внимание на этом моменте с точки зрения психологии мошенника — он тоже просчитывает риски быть разоблаченным, поэтому заведомо старается исключить все демаскирующие признаки, и в первую очередь связанные с оформлением документов.
О психологии мошенничества будет более подробно рассказано в следующих разделах, пока отметим только тот факт, что, как правило, мошеннические действия планируют квалифицированные специалисты, работающие на предприятии не один год, хорошо знающие специфику работы предприятия, осуществляемые контрольные и режимные мероприятия, места установки технических средств охраны. Именно поэтому возможность анализа данных, на которые потенциальный мошенник не обращает внимания или которые не может контролировать, не только важна, но в ряде случаев является единственно возможной для выявления аномалий.
2.4. Методики анализа видеоинформации
Ранее уже отмечалось, что индексация видеоданных является эффективным способом повышения скорости поиска видеоинформации и одним из инструментов верификации данных в процессе анализа. В свою очередь, широкое внедрение технологий машинного зрения и технологий распознавания позволяет использовать обработанные видеоданные как источник информации для учетных систем предприятия и использовать не только в целях обеспечения безопасности, но и для управления логистикой, построения отчетов для различных подразделений организации, может являться источником данных для систем поддержки принятия решений (СППР).
Если обратиться к истории вопроса, длительное время система безопасности предприятия была автономной, аналоговые методы накопления и обработки видеоданных исключали возможность их использования, кроме как в целях визуального мониторинга территории или просмотра видеозаписей. Широкий спектр возможностей для интеграции этого источника информации как в систему СОИ, так и в информационную систему предприятия в целом и СППР в частности, возник после перехода на цифровые способы формирования, передачи и хранения видеоинформации. Естественно, степень интеграции системы безопасности предприятия с иными информационными системами зависит от категории объекта и ограничений по информационной безопасности.
Соответственно, аналитические мероприятия, проводимые специалистом-экспертом, рсуществляются по схожим методикам, которые используются в СППР. Возможно, единственное отличие — это целевая группа получателей информации (как правило, аналитические отчеты в СППР предназначены для топ-менеджеров и затрагивают вопросы бизнес-аналитики и стратегического развития предприятия, отчеты для целей безопасности имеют более прикладной характер и предназначены для лиц, определяющих политику в области оценки рисков, поиска уязвимостей и оперативного управления безопасностью).
Следует отметить, что форма реализации общей информационной модели предприятия не зависит от вида реализации конкретной системы. Типовой набор модулей и иерархия системы будет одинаковой. Пример реализации СППР7 приведен ниже:
Рис. 1. Структура СППР
Основной функциональный набор методик СППР позволяет реализовать:
— формирование консолидированной отчетности,
— многомерный анализ данных (OLAP),
— выявление скрытых закономерностей (Data Mining),
— статистический анализ и прогнозирование временных рядов,
— формирование преднастроенных запросов,
— интеллектуальный поиск (по неполным данным и неформальным запросам).
Точное определение функционалу OLAP дано автором сетевого ресурса «Введение в многомерный анализ»8: «Следует отметить, что OLAP-функциональность может быть реализована различными способами, начиная с простейших средств анализа данных в офисных приложениях и заканчивая распределенными аналитическими системами, основанными на серверных продуктах. Т. е. OLAP — это не технология, а идеология».
Это определение еще раз подтверждает ранее выдвинутый тезис о возможности использования методов анализа информации для выявления аномалий, которые ранее не рассматривались в контексте прикладных задач обеспечения безопасности.
Кроме того, автором монографии9 рассматривается возможность оперативной обработки информации, полученной от извещателей (датчиков в терминологии автора) с использованием методов многомерного анализа.
Как уже отмечалось, методики СППР прежде всего предназначены для решения бизнес-задач. Для использования в прикладных целях обеспечения безопасности, естественно, используется относительно небольшой набор следующих алгоритмов10:
— авторегрессионный — модель временного ряда, в которой его текущее значение линейно зависит от предыдущих. Основное назначение — прогнозирование, выявление тенденций и других особенностей;
— алгоритм последовательного покрытия — генерирующий набор классифицирующих правил, которые последовательно разделяют обучающее множество на подмножества до тех пор, пока в каждом из них не останутся только объекты одного класса;
Поделиться книгой: