🔴 Введение: цифровые следы в системах контроля доступа как ключ к расследованию
🚪 Системы контроля и управления доступом (СКУД) являются критически важным звеном в обеспечении безопасности объектов — от офисов и складов до банковских хранилищ и режимных предприятий. Они фиксируют каждое событие: проход сотрудника, открытие двери, попытку несанкционированного доступа, смену временных зон и прав доступа. Однако именно эти данные становятся целью для злоумышленников — инсайдеров, которые стремятся скрыть следы хищения материальных ценностей или несанкционированного доступа к информации. Удаление или модификация логов СКУД — распространенный метод сокрытия правонарушений. Независимая экспертиза СКУД способна не только выявить факты манипуляции с данными, но и в ряде случаев восстановить удаленные записи журналов событий, установить точное время вмешательства и идентифицировать лиц, причастных к инциденту.
Раздел 1. Архитектура СКУД как источник цифровых следов
1.1. Компоненты СКУД и локализация данных
Современные СКУД представляют собой распределенные информационные системы. Понимание их архитектуры критически важно для экспертного исследования.
| Компонент СКУД | Где хранятся данные | Какие данные хранятся |
| Сервер СКУД (ПО). | База данных (SQL Server, PostgreSQL, MySQL, Oracle, Firebird, Microsoft Access). | Журнал событий (Event Log), база пользователей (карт доступа, биометрия), расписания (временные зоны), уровни доступа. |
| Контроллер (сетевой, RS-485). | Энергонезависимая память (Flash, EEPROM, SRAM) контроллера. | Буфер событий (последние 10 000 – 100 000 событий), список карт доступа, временные метки. |
| Рабочая станция администратора. | Локальные файлы, резервные копии (Backups), конфигурационные файлы, реестр Windows (Registry). | Настройки (конфигурация) соединения, учетные записи администраторов, архивы логов. |
| Считыватель (биометрический, карточный, RFID, смарт-карты, EM-Marine, HID, MIFARE). | Не хранит историю, только локальную базу карт (у некоторых моделей). | Не является источником для восстановления истории. |
Раздел 2. Типовые способы манипуляции с данными СКУД
2.1. Прямое удаление записей о событии
Злоумышленник (администратор СКУД или лицо, получившее его права) удаляет записи о своем проходе (или проходе соучастника) из базы данных.
Признаки манипуляции:
| Признак | Как выявляет эксперт |
| Разрыв в нумерации ID событий (Event ID). | Если в базе данных ID событий идут 99, 100, 101, 102, 105 — отсутствуют 103 и 104. |
| Несоответствие контрольной суммы (hash). | Вычисление хеша таблицы до и после предполагаемого периода удаления. |
| Несоответствие временных меток (timestamps). | Временная метка создания записи (created_at) и дата события (event_time) не совпадают. |
2.2. Редактирование (изменение) событий
Примеры: Изменение времени прохода («переброс» на несколько минут или часов), замена идентификатора карты, изменение точки доступа.
Выявляется: Сравнением данных первичного буфера контроллера (если сохранился) с базой данных сервера.
2.3. Удаление и перезапись логов контроллера
Контроллер имеет ограниченный буфер событий.
Схема: Злоумышленник подключается к контроллеру, стирает память, совершает действие, затем восстанавливает настройки.
Выявляется: Считыванием дампа памяти контроллера (Chip-Off, JTAG).
Раздел 3. Методология восстановления удаленных данных
3.1. Восстановление из резервных копий (Backups)
| Тип бэкапа | Источник | Возможность восстановления |
| Автоматический бэкап СУБД (SQL Backup). | Сервер СКУД. | Высокая (если бэкап был создан до удаления). |
| Ручной бэкап администратора. | Рабочая станция администратора. | Высокая (если администратор сохранил копию). |
| Системное восстановление (Volume Shadow Copy). | Сервер под управлением Windows. | Средняя (если теневая копия не удалена). |
3.2. Восстановление из неразмеченного пространства (Carving)
Даже после удаления данных из базы и очистки корзины физические следы могут сохраняться на диске.
Процесс: Сканирование образа диска (HDD, SSD) на наличие фрагментов удаленных записей (баз данных SQLite, SQL Server).
Инструменты: Autopsy, FTK, EnCase, Belkasoft, Oxygen Forensic Detective, X-Ways Forensics.
3.3. Анализ буфера контроллера
Контроллер, даже если события удалены с сервера, мог сохранить их в своей энергонезависимой памяти.
| Метод | Описание | Инструменты |
| Прямое подключение к контроллеру (Serial, Ethernet). | Использование проприетарного ПО. | SDK производителя. |
| Чтение дампа памяти контроллера (JTAG, Chip-Off). | Метод используется, если контроллер не отвечает на команды или был сброшен. | JTAG программатор (Segger J-Link), паяльная станция. |
Раздел 4. Выявление манипуляций с данными СКУД
4.1. Анализ метаданных базы данных
| Параметр | Что ищет эксперт |
| Дата и время создания записи (created_at). | Если created_at значительно позже event_time (например, создана через неделю). |
| Имя пользователя, который создал/изменил запись (триггеры, audit trail). | Если запись создана не штатным ПО, а через SQL-запрос. |
4.2. Сравнение с другими источниками
| Источник | Данные для сравнения | Признак несоответствия |
| Видеонаблюдение (CCTV). | Запись с камеры у точки доступа (контрольная панель). | В логах СКУД нет события, а на видео видно, что человек прошел. |
| Журнал посещений сотрудников (табель). | Время входа/выхода. | В СКУД нет отметки, а в табеле она есть. |
Раздел 5. Примеры из практики (кейсы)
📁 Кейс №1 (Хищение со склада)
Фабула: Со склада пропали дорогостоящие материалы (комплектующие, электроника) на сумму 2 млн руб. Администратор СКУД утверждал, что в день хищения система не фиксировала проходов посторонних.
Экспертиза:
- Восстановлена удаленная запись из бэкапа СУБД.
- Обнаружено, что сотрудник охраны удалил 3 записи о своем проходе в ночное время (совпадает со временем хищения).
- Сопоставлено с видеонаблюдением — на записи видно, как этот же сотрудник выносит коробки с товаром.
Итог: Экспертиза помогла доказать вину сотрудника.
📁 Кейс №2 (Несанкционированный доступ в серверную)
Фабула: В серверную комнату (в банке) был несанкционированный доступ, но логи СКУД были стерты.
Экспертиза:
- Удалось восстановить фрагменты логов из неразмеченного пространства жесткого диска (Carving).
- Выявлен ID карты доступа, которой не было в списке выданных.
- Установлено, что доступ был совершен по поддельной карте (клонирование, эмуляция карты).
Раздел 6. Стоимость и сроки экспертизы СКУД
| Тип экспертизы | Стоимость (руб.) | Срок (дней) |
| Анализ логов СКУД (сервер + база данных). | от 40 000 – 70 000 | 5–7 |
| Восстановление удаленных данных из бэкапов. | ||
| Восстановление удаленных данных из бэкапов. | от 60 000 – 100 000 | 7–10 |
| Carving (восстановление из образа диска). | от 80 000 – 150 000 | 7–10 |
| Полная экспертиза (Carving + анализ контроллера). |
| Полная экспертиза (Carving + анализ контроллера). | от 100 000 – 200 000+ | 10–14 |
Раздел 7. Часто задаваемые вопросы
❓ Вопрос 1. Что делать, если администратор СКУД «затер» логи, сделал это профессионально?
🛡️ Эксперт все равно может найти следы в неразмеченном пространстве (unallocated space), теневых копиях (Volume Shadow Copy), бэкапах (Backups), буфере контроллера.
❓ Вопрос 2. Как долго нужно хранить логи СКУД для возможности расследования инцидента?
⏰ Рекомендуемый срок хранения — не менее 1 года (согласно требованиям к обработке персональных данных (ПДн) для банков и операторов персональных данных — 3 года).
❓ Вопрос 3. Влияет ли на стоимость необходимость выезда эксперта на объект?
🚗 Да. Выезд (работа с контроллерами, снятие дампов памяти) оплачивается дополнительно (от 10 000 – 30 000 руб.).
Заключение и итоговые рекомендации
🎯 Независимая экспертиза СКУД — это не просто чтение логов, а глубокое криминалистическое исследование, позволяющее восстановить удаленные данные, выявить следы манипуляции (несанкционированного изменения) и предоставить неопровержимые доказательства в суд.
Памятка для заказчика (собственника объекта, службы безопасности).
✅ Настройте автоматическое резервное копирование (бэкап) базы данных СКУД на внешний носитель, недоступный для администратора СКУД (например, в отдел безопасности).
✅ Включите аудит (audit trail) в СУБД (SQL Server Audit, PostgreSQL Audit) для фиксации всех изменений данных (кто, когда, что изменил).
✅ Сохраняйте видеозаписи (CCTV) с камер, направленных на точки доступа, синхронизированными с временем СКУД (NTP сервер).
✅ При подозрении на инцидент — немедленно изолируйте сервер СКУД (отключите от сети, заблокируйте доступ) и обратитесь к эксперту.
📞 Для заказа экспертизы СКУД (систем контроля доступа), для консультации по вашему конкретному случаю (хищение, несанкционированный доступ, восстановление удаленных логов) и предварительного расчета стоимости, пожалуйста, заполните форму на нашем официальном сайте или свяжитесь с нашими специалистами. Приглашаем вас в офис Союза «Федерация судебных экспертов».
🌐 Все необходимые ресурсы: образцы ходатайств о назначении судебной экспертизы, перечни вопросов для эксперта, инструкции по изъятию сервера СКУД — доступны по адресу: https://ekoex.ru/.
Задавайте любые вопросы