google plus
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Podnikové portály

Portály patří k oblíbeným technologiím, na kterých staví společnosti svá řešení. Ta jsou vstupní branou...

1. až 5. díl >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 12/2014 , HRM - Řízení lidských zdrojů , IT Security

Realita a budoucnost docházkových a přístupových systémů



Identifikační systémy se celkem v tichosti staly standardní součástí života každého z nás. Už od školy (někde i školky) používáme karty, čipy nebo otisky prstů v jídelnách, u vstupů do budov a areálů, i k platbám u obchodníků. V průměru má dospělý člověk u sebe přes 15 identifikačních karet.


Co nás identifikuje

Identifikační systémy se opírají klasicky o tři atributy, které lze stručně popsat jako „mám, vím a jsem“.

Nejběžnější je využití atributu „mám“. Identifikátor, který mne k něčemu opravňuje. Stačí jej prostě vlastnit. Každý má klíče, ty umožní odemknout jenom tomu, kdo má ten správný. Na druhé straně klíčů může být mnoho stejných a navíc – nikdy nepoznáte, kdo jej použil a kdy, kolik kopií máte v systému atp. Pro atribut mám je proto vhodné použít jedinečný identifikátor – například čip, magnetický nebo čárový kód atp. S různou mírou zabezpečení tyto identifikátory nesou unikátní číslo, kód, u těch bezpečnějších navíc zašifrované.

Atribut „vím“ je nejčastěji heslo, PIN, kód a jeho postup zadávání, prostě něco, co vím jen já nebo omezená skupina osob. V tom je zpravidla i kámen úrazu – jak dlouho zůstane tajemství tajemstvím, kolika lidem jste svoje heslo v naléhavém případě prozradili? V případě prozrazení kódu ke dveřím se jeho znalost může šířit geometrickou řadou.

Atribut „jsem“ je nejčastěji chápán jako biometrie. Je jím ale i fakt, že vám pošťák předá doporučený dopis, protože vás osobně zná, nebo že vás ostraha vpustí bez kontroly dokladů, protože patříte mezi vyvolené. Biometrie jako technické vyhodnocení biometrických znaků dnes pro běžné systémy nejčastěji využívá otisků prstů. S různou úrovní bezpečnosti a cenou. Používá se rovněž biometrie obličeje, očního pozadí, krevního řečiště prstu či dlaně, hlasu, ale například i způsob chůze nebo řeči.

Vícefaktorová identifikace

Výše popsané tři atributy jsou použitelné samostatně, ale v oblastech s vyšší úrovní zabezpečení jsou vyžadovány alespoň dva zároveň. Typický příklad je zabezpečení datových center v podniku se standardním kartovým systémem, kde jsou vstupy do zmíněných prostor osazeny standardní čtečkou karty a doplněny o klávesnici pro zadání PINu nebo o biometrickou čtečku. Vstupující osoba pak například musí přiložit kartu a prst - teprve po vyhodnocení správnosti obou atributů systém umožní vstup.

Kvalitní biometrie stále není nejlevnější metodou identifikace a využívá se v případech vyšší úrovně zabezpečení nebo tam, kde je např. použití karet nešikovné z důvodu fluktuace zaměstnanců nebo návštěvníků. Je nutné v tomto případě upozornit na fakt, že sledování biometrických znaků podléhá pravidlům podle zákona č. 101/2000 Sb., o ochraně osobních údajů. Tedy mj. takový systém registrovat na ÚOOÚ a mít jasná pravidla a argumenty pro jeho provozování. Je vhodné mít pro tyto činnosti kvalifikovaného konzultanta.

Pro účely docházkových a přístupových systémů se nejběžněji používají identifikátory v provedení karet nebo přívěšků, proto se jim budeme věnovat trochu podrobněji.

Kde se vzaly karty?

Identifikační karta vznikla původně v amerických obchodních sítích a bankách, od třicátých let minulého století pak jako plechový štítek s vyraženými identifikačními údaji pro přístup k účtu klienta. Dozvuky této technologie vidíme na platebních kartách s vystouplým písmem, která umožňuje přijmout platbu „žehličkou“ – tedy otisknutím karty přes kopírák účtenky. Teprve v roce 1969 však byla vydána první karta s magnetickým proužkem, tedy karta určená k automatickému čtení i ukládání proměnných dat. Svět to potřeboval - během čtyř let již neslo 85 procent karet magnetický proužek.

Pro nás je zajímavé, že v tu samou dobu si francouzský novinář, spisovatel, pan Roland Moreno (původně Egypťan) nechává patentovat čipovou kartu. Ta zavádí na kartu převratný prvek – čip, inteligentní a „bezpečné“ úložiště dat. Prý ho to napadlo ve spánku…

ID systém zdola
Roland Moreno


Běžné typy karet a jejich použití

Karty s čárovým nebo QR kódem potkáme běžně u parkovacích nebo věrnostních systémů, kde je nejvyšší tlak na nízkou cenu bez nároků na vysokou bezpečnost.

Magnetické karty jsou dnes používány převážně pro věrnostní systémy. Jsou levné a pro tyto účely dostatečně bezpečné, v přístupových systémech jsou ale překonány.

Kontaktní čipové karty jsou používány především pro platební a bezpečnostní aplikace (telefonní karty, přístupy k PC atp.), k přístupovým aplikacím se zpravidla nepoužívají z důvodů mechanického opotřebení.

Bezkontaktní karty, které jsou nejčastějším médiem, lze rozdělit do dvou typů podle frekvencí – 125 kHz a 13,56 MHz. První typ má výhodu zpravidla delší čtecí vzdálenosti, standardně 7-10 cm, s výkonnými čtečkami i půl metru. Druhý typ s vyšší frekvencí je modernější a umožňuje oboustrannou komunikaci s vyšší bezpečností, ovšem za cenu nižší čtecí vzdálenosti (do 3 cm, výjimečně až 10 cm).

Další kapitolu představuje UHF technologie - ta umožňuje čtecí vzdálenosti několika metrů, vyžaduje větší a dražší čtecí prvky. Hodí se i na čtení velkého množství prvků najednou – typicky koš s prádlem v nemocnici – protože se jedná o antikolizní technologii, která je schopna identifikovat mnoho prvků „najednou“.

Docházka a přístupová práva

Jsem si vědom toho, že nadpis směšuje dvě věci dohromady. Přístupový systém řídí přístupová práva do jednotlivých zón v areálu firmy, zatímco docházkový systém sleduje docházku zaměstnanců. Ve většině případů se však tyto systémy prolínají, protože průchod turniketem na vstupu do závodu často znamená také příchod do práce, zahájení pracovní doby. V inteligentním identifikačním systému lze tyto pohledy na věc snadno rozlišit a v průběhu času i měnit – v podstatě každá vstupní čtečka může i nemusí být zároveň zdrojem dat o docházce. Zároveň však docházkový terminál může být instalován kdekoliv na dílně, aby sledoval čistou dobu na pracovišti. To je časté u rozsáhlých areálů, kde mezi průchodem vrátnicí a zahájením pracovní doby leží nějaká desítka minut. V tom případě jsou data o příchodu zaměstnance do firmy – ještě před zahájením pracovní doby – užitečnou informací pro vedoucího o tom, kdo je přítomen a s kým může počítat při zahájení směny.

ID systém zdola
ID systém zdola


Přístupová práva

Ke vstupům jsou použity zpravidla jednoduché čtečky, které po přiložení karty ověří práva jejího majitele – zda sem a v tuto chvíli smí. Toto povolení může být vázáno i na další předpoklady, například zda je místnost odbezpečena, zda je v místnosti přítomna osoba, jejíž přítomnost je podmínkou pro vstup dalších (typicky pokud není přítomen vedoucí, nesmí zaměstnanci nebo dokud není učitel, nesmí žáci). Vstup může být podmíněn i dalšími pravidly, jako jsou vázané zóny (karta, která nevešla do firmy přes turniket, nesmí otevírat kanceláře uvnitř) nebo antipass (karta nesmí projít dvakrát stejným směrem, musí jednou dovnitř a jednou ven). Nastavení práv jednotlivým osobám se řeší zpravidla zařazením osoby do předdefinované skupiny osob s potřebnými právy. Organizačně provádí u jednodušších systémů personální pracovník při zařazení osoby v rámci podnikové hierarchie. U náročnějších systémů nastavuje práva pracovník odpovědný za bezpečnost.

Docházka

Pojem docházka je nutno rozdělit do dvou oblastí – sběr dat o docházce a následné zpracování těchto dat do podkladů pro mzdy. Je rozumné mít tyto dvě oblasti oddělené, z více důvodů. Jedním nich je, že SW pro zpracování dat už je mnohdy součástí velkých firemních informačních systémů a v principu požaduje „jen“ data o registrovaných příchodech/odchodech a jejich typech. Druhým důvodem je fakt, že sběr dat, vlastnosti HW atp. podléhají specifickým nárokům z hlediska technických norem, certifikace bezpečnosti fyzické i morální aj. Mají jinou periodu upgrade než nadstavbové SW, které zase podléhají daleko častěji legislativním změnám v oblasti pracovního práva a mezd. Zde popisované systémy se týkají především sběru dat.

Docházkový terminál má zpravidla klávesnici i displej, případně jenom dotykový displej. Umožňuje tak zadávat při příchodu/odchodu i důvody typu Služební cesta, Dovolená a další. U firem, kde je potřeba pokrýt průchody větším počtem turniketů, je zpravidla většina turniketů osazena jednoduchými čtečkami a pouze jeden nebo dva koridory osazeny terminály s klávesnicí. Protože většina průchodů zpravidla stejně znamená standardní příchod/odchod bez nutnosti zadávat volbu klávesnicí.

Jídelny

jsou druhým nejčastějším užitím identifikačních systémů. Základním problémem, jednoduše řešitelným, je požadavek jednotné karty. Zpravidla je to stravovací firma, kdo si přináší vlastní výdejový, objednávkový či pokladní systém a je logickým požadavkem, aby se přizpůsobila již existující identifikační kartě firmy. Není ale výjimkou, když si firma pořídí vlastní výdejový systém a požaduje po stravovací firmě jeho použití.

Vjezdy vozidel

lze provázat s identifikačním systémem pro vlastní i cizí vozidla. Vozidla lze identifikovat buď vlastními identifikátory vozidel (se čtečkami na delší vzdálenosti), čtením SPZ nebo kartami vozidla, které přikládá řidič ke čtečce zároveň s kartou svojí, případně ostatních osob ve vozidle. Systém lze nastavit tak, aby hlídal oprávnění nejen řidiče a vozidla, ale také použití vozidla tímto řidičem (zpravidla jsou definovány skupiny vozidel a skupiny osob, které je smějí používat).

Spárování s procesy

Tam, kde je rozumné sledovat zaměstnance a jeho přítomnost/výkon na konkrétním pracovišti či operaci, lze instalovat identifikační systém. Ten pak zaznamenává kdo, jak dlouho, kde a na čem pracoval. Tato data lze i párovat s konkrétním výrobkem a vytvářet tak jednoznačný rodný list výrobku i s osobami a stroji, které se na jeho vzniku podílely.

Přístupy k tiskárnám, PC aj.

Identifikační karty lze použít pro řízení přístupu k tiskárnám, kopírkám i PC a dalším zařízením. Na trhu jsou k dispozici různě sofistikovaná řešení, od komplexního řízení tiskových serverů až po proprietární zařízení pro ovládání jedné kopírky. Základní identifikační systém zpravidla dovoluje ověřovat práva i pro cizí prvky – tedy i pro výše uvedené.

Přístupy k PC a sítím vyžadují dnes zpravidla již zmiňované kontaktní čipové karty. Protože se tato práva většinou netýkají všech zaměstnanců firmy, je vhodné doplnit pouze jejich identifikační karty kontaktním čipem. U některých karet lze toto provést i dodatečně.

Výdejové automaty na potraviny

jsou zajímavým doplňkem stravovacích systémů. Umožňují distribuci potravin, ale i hygienických potřeb bezobslužně, celodenně a mnohdy i přímo na pracovištích (samozřejmě tam, kde je to žádoucí). Kupříkladu nápojové automaty mohou řešit i pitný režim, kdy určité množství tekutin na směně je zaměstnanci poskytováno bezplatně. Některé podniky řeší automaty výdej stravy na pracovišti, které neumožňuje odchod během pracovní doby.

Automaty na ochranné a pracovní pomůcky

Zvláštní kapitolu představuje automatizovaný výdej pracovních a ochranných pomůcek. Automaty umístěné na výrobních halách fungují 24 hodin denně a tedy bez nutnosti otevřeného skladu. Přitom každý vedoucí má možnost nastavení a sledování výběrů, dodavatel má pak přehled o stavu zásob a může pružně reagovat. Ekonomická stránka věci také není nezajímavá, protože se sníží spotřeba o cca 20 % a systém poskytuje výkazy o výdeji OPP.

Automaty na ochranné pomůcky a na výdej klíčů oprávněné osobě
Automaty na ochranné pomůcky a na výdej klíčů oprávněné osobě


A co dál? Mobil jako prostředek identifikace

RFID technologie se nastěhovala do mobilních zařízení, typicky do mobilních telefonů, pod názvem NFC (Near Field Communication). Tím vznikla nová vlastnost, která z mobilního telefonu zjednodušeně řečeno umožňuje udělat kartu nebo terminál. Někteří z nás již používají NFC mobilní telefon k bezkontaktním platbám místo platební karty. Čtečky typu NFC Porter pak umožňují používat vedle karet i mobilní telefony pro identifikaci.

Zároveň se vedle NFC probudilo Bluetooth v nové generaci pod názvem BLE (Bluetooth low energy), které přináší do komunikace zařízení nové vlastnosti, které umožňují i zajímavé aplikace v oblasti identifikací…

NFC docházka - klient a server
NFC docházka - klient a server

Mobilní aplikace

V ČR jsou již několik let nasazeny aplikace Imacheck s mobilními telefony v oblasti docházek a kontroly zaměstnanců v poli. Typicky jako obchůzkové systémy s využitím mobilního telefonu, který umožňuje on-line kontrolu a zároveň záznamy výjimečných událostí.

Farmy používají mobilní zařízení pro evidenci výkonů na poli, kdy „parťák“ telefonem snímá čipy brigádníků při každé provedené akci (koš třešní), s možností volby a on-line přehledu o dění na polích v centrále.

Stejně tak školy a sportovní a zájmové kluby začínají využívat mobilní technologie NFC pro evidenci dětí, členů na akcích nebo vyučování, kdekoliv po světě.

IMA, mobilní aplikace

Docházka a NFC

Zvláštní kapitolu z našeho pohledu představuje sledování docházky mobilními terminály. Se zajištěným datovým připojením funguje mobilní telefon jako docházkový terminál prakticky kdekoliv na světě a umožňuje tak nezávislou evidenci a přehled o pohybu a přítomnosti zaměstnanců aktuálně, třeba z jiného kontinentu.

Typicky lze mobilní telefon použít jako terminál, ke kterému např. studenti přikládají své karty. Druhý model využívá mobilní telefon zaměstnance, který jej přikládá k čipům, nalepeným v místech, kde se má identifikovat – tedy budovy (obchůzka), nebo stroje (servis, přítomnost na vzdáleném pracovišti). Vzhledem k principu mobility telefonů je využití prakticky neomezené. Systém pak umožňuje vyslat zaměstnance na kterékoliv místo na světě. Například servisní technik vyráží ke stroji do Jižní Ameriky. Přikládá telefon k čipu uvnitř stroje a zaměstnavatel je informován jednoznačně, kde se jeho technik nachází, na kterém stroji pracuje a případně, jaké operace na něm provádí. To vše v cenách jednotek Eur…

Shrnutí

Toto byl ryze subjektivní výběr těch nejzajímavějších, resp. nejdůležitějších firemních aplikací v oblasti identifikace osob. Pro výběr správného systému lze jen doporučit, aby vybraný systém měl stabilní a spolehlivé zázemí jak servisní, tak rozvojové - např. reference starších verzí a vize do nejbližších pěti let. Budovat obdobné systémy není jen technickou záležitostí, ale do značné míry i organizační, protože se na ně váže mnoho dalších procesů v oblasti bezpečnosti, personalistiky a řízení výroby.

Jiří Bárta

Autor článku je obchodním ředitelem společnosti IMA s.r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Banner



Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 4/
IT Systems 3/
IT Systems 1-2/
IT Systems 12/
Oborové a tematické přílohy
příloha #1 4/
příloha #1 3/
příloha #1 1-2/
příloha #1 11/
Kalendář akcí