Журнал "Системы Безопасности" № 2‘2026

О Т Р А С Л Е В О Й Ф О К У С 22 апрель – май 2026 www.secuteck.ru СПЕЦПРОЕКТ АНТИТЕРРОР. БЕЗОПАСНОСТЬ МЕСТ С МАССОВЫМ ПРЕБЫВАНИЕМ ЛЮДЕЙ Модели оценки риска и скоринг угроз Поведенческий скоринг – это непрерывная оценка уровня риска в режиме реального вре- мени, которая присваивается каждому объекту в кадре. Все выявленные аномальные сигналы агрегирует скоринговая модель. Затем эта модель вычисляет показатель риска, который обновляется по мере поступления новых дан- ных. Каждый отдельный маркер (задержка в зоне, нетипичная траектория, характерный жест) вно- сит относительно небольшой вклад в итоговую оценку ("скор"). Система реагирует не на еди- ничные отклонения, а на их совокупное превы- шение порогового значения. Это позволяет сни- зить число ложных тревог, неизбежных при использовании конкретных правил ("если поку- патель простоял у полки более трех минут – тревожный признак"). Градация уровней риска может включать четыре ступени: 1. При низком уровне поведение объекта нахо- дится в пределах статистической нормы, соот- ветственно никаких действий не требуется. 2. При среднем уровне зафиксированы 1–2 ано- мальных маркера – система может, например, подключать дополнительные камеры. 3. При высоком уровне накоплена совокупность аномалий, превышающая первый порог; опера- тору направляется уведомление с визуализаци- ей поведения объекта. 4. При критическом уровне интегральный скор превышает второй порог, что соответствует высокой вероятности инцидента. Сотрудник или оператор получает приоритетный сигнал тревоги с рекомендацией немедленного реаги- рования. Адаптивное обучение и снижение ложных срабатываний Ложные тревоги – главный операционный риск любой системы поведенческого анализа. Высо- кий показатель False Positive Rate (FPR, показа- тель частоты ложных срабатываний) может привести к игнорированию сигналов, в том числе обоснованных. Поэтому управление лож- ными срабатываниями является одним из ключевых направлений разработки. Основной механизм снижения FPR – дообуче- ние модели на размеченных инцидентах кон- кретного объекта (site-specific fine-tuning – дообучение под конкретный объект). После развертывания системы каждый обработан- ный оператором сигнал становится обучаю- щим примером. Подтвержденный инцидент усиливает веса соответствующих признаков, ложное срабатывание – снижает. Благодаря этому модель постепенно адаптируется к спе- цифике именно этого магазина, склада или предприятия: планировке, характерным сце- нариям поведения, особенностям освещения и т.д. Принцип обратной связи реализуется по циклу, изображенному на рис. 2. Интерфейс оператора предоставляет инстру- менты для разметки: подтвердить тревогу, отме- тить как ложное срабатывание, уточнить кате- горию инцидента. Накопленная разметка используется для переобучений модели, кото- рые проводятся с регулярной периодичностью. Для оценки качества модели применяется опре- деленный набор метрик: 1. Precision (точность) показывает, какая доля тревог оказалась обоснованной: высокая точ- ность означает мало ложных срабатываний. 2. Recall (полнота) показывает, какую долю реальных инцидентов система обнаружила: высокая полнота означает мало пропущенных краж. Между этими показателями существует обратная зависимость: снижение порога сраба- тывания повышает полноту, но ухудшает точ- ность, и наоборот. 3. F1-мера представляет собой среднее и используется как интегральный показатель. 4. AUC – ROC (Area Under the Receiver Operating Characteristic Curve – метрика качества бинар- ной классификации, показывающая способ- ность модели различать классы) отражает спо- собность модели различать инциденты и норму при пороговом значении. Окончательное решение о реагировании при- нимает человек. Такая схема является оптималь- ной с точки зрения баланса скорости реакции и качества решений: ИИ в постоянном режиме обрабатывает данные, сотрудник – принимает итоговое решение. Сценарии применения Системы поведенческого анализа могут приме- няться в разных отраслях. Ритейл Помимо выявления краж, совершаемых покупателями, система решает задачи, свя- занные с действиями персонала: выявление частичного пробития чека (кассир пробивает не все товары), распознавание схем сговора кассира и покупателя (товар намеренно не проносится через сканер), контроль зон самообслуживания и касс самосканирова- ния, где уровень потерь обычно выше. Источниками данных служат видеокамеры и POS-системы. Склад и логистика На складских объектах система отслеживает несанкционированный доступ к зонам хране- ния, аномальное поведение при приемке и отгрузке товара, нецелевые манипуляции с грузом. Интеграция с WMS (системой управ- ления складом) позволяет сопоставлять дей- ствия сотрудника с ожидаемыми операциями по его текущему заданию и в режиме реального времени выявлять отклонения. Промышленные предприятия Здесь задача смещается в сторону контроля выноса комплектующих, инструмента и мате- риалов. Система анализирует поведение сотрудников в зонах выдачи инструмента, на выходах из производственных помещений, в зонах хранения расходных материалов. Муль- тимодальная интеграция с данными СКУД поз- воляет автоматически сопоставлять факт нахож- дения сотрудника в зоне с его профилем досту- па и расписанием. Банки Поведенческий анализ применяется в кассовых узлах, депозитных зонах и зонах хранения цен- ностей. Система отслеживает аномалии в про- цедурах пересчета и передачи наличных, нети- пичные паттерны доступа к сейфовым ячейкам, поведенческие признаки внешнего наблюдения за объектом. Требования к внедрению Техническая инфраструктура Качество видеопотока является критическим усло- вием работоспособности системы. Минимальные требования к камерам: разрешение не менее 2 Мпк (Full HD), частота кадров не менее 15 кадр/с (оптимально – 25 кадр/с), угол обзо- ра, обеспечивающий покрытие зоны без значи- тельных слепых участков. Для корректной работы модели анализа поз необходима высота располо- жения камер не менее 2,5–3 м с обеспечением вида сверху под углом 30–60 град. Вычислительная инфраструктура может быть организована по модели edge (обработка непо- средственно на объекте) либо cloud/hybrid (передача потоков в облако или в корпоратив- ный ЦОД). Edge-модель обеспечивает мини- мальную задержку и снижает требования к про- пускной способности канала, но требует капи- тальных вложений в оборудование. Гибридная модель позволяет оптимизировать затраты: первичный анализ на объекте, глубокий анализ и дообучение – в облаке. Организационные аспекты Внедрение системы требует разработки четкого регламента реагирования на тревожные сигна- лы: кто получает уведомление, в течение какого времени обязан отреагировать, какие действия предусмотрены для каждого уровня риска. Без формализованного регламента даже высоко- точная система не обеспечивает нужного результата. Рис. 2. Схема обратной связи С огласно действующему законодательству коммерческие компании могут использовать системы, с помощью которых осуществляется ана- лиз поведения клиентов (покупателей, сотрудников и т.д.) без иденти- фикации их личности.