A KRITIKUS INFRASTRUKTÚRÁK MEGHATÁROZÁSI MÓDSZEREI

A kritikus infrastruktúrák meghatározásához három tényező alkalmazását javasolja számos ezzel a kérdéssel foglalkozó irodalom [23], [32], [100]:

– Hatókör: földrajzi kiterjedésben mutatja a kritikus infrastruktúra (vagy részének) megsemmisülése, működésképtelenné válásának hatását. Ez lehet nemzetközi, nemzeti, regionális, territoriális vagy helyi.

– Nagyságrend: a veszteség vagy a hatás nagyságrendje (például: nincs hatás, minimális, mérsékelt vagy jelentős a hatás). A nagyságrend megállapításához a következő szempontokat is érdemes figyelembe venni:

• népességre gyakorolt hatás (az érintett lakosság száma, áldozatok, betegségek, súlyos sérülések, kitelepítések);

• gazdasági hatás (GDP-re gyakorolt hatása, jelentős gazdasági veszteség és/vagy termelés, szolgáltatás fokozatos romlása);

• környezetvédelmi (a lakosságra és lakókörnyezetére gyakorolt hatás);

• interdependencia (a kritikus infrastruktúrák elemei közötti függőség);

• politikai (az államba vetett bizalom).

– Időbeli hatás: mely megmutatja, hogy az adott infrastruktúra vagy elemének vesztesége mennyi idővel később fejti ki komoly hatását (pl.: azonnali, 24-48 óra, egy hét, egyéb).

A kritikus infrastruktúrák meghatározása után be kell azonosítani az infrastruktúrák azon elemeit, amelyek létfontosságúak az adott infrastruktúra működéséhez, illetve amelyek a

legjelentősebb életveszélyt vagy gazdasági veszélyt okozhatják. A kritikus infrastruktúráknak ugyanis nem minden eleme tekinthető kritikusnak. Az infrastruktúrák mérete és összetettsége segíthet beazonosítani a kritikus elemeket.

Természetesen egyfajta priorálást is végre kell hajtani az infrastruktúrák között. A priorálás alábbi módozatainak a következőket választottam:

1. A ténylegesen kritikus létesítmények és eszközök beazonosítása, és

• felkészíteni a támadás lehetőségére, vagy megnehezíteni a hozzáférést;

• veszteség hatását csökkenteni további elemek beépítésével vagy újratervezéssel, vagy áthelyezéssel.

2. Beazonosítani olyan sérülékenységeket és/vagy megoldásokat melyek több mint egy infrastruktúrát érintenek. (ilyenek például az infokommunikációs rendszerek).

Az infokommunikációs rendszerek sérülékenységeinek megoldásai általánosságban alkalmazhatók:

• a legjobb gyakorlat (best practice) alkalmazásával;

• biztonságosabb szoftverek kifejlesztésével.

Ugyanígy több infrastruktúrát érintő technológia az irányítási kontroll rendszerek (pl.

SCADA).

3. Infrastruktúrák közötti interdependenciák beazonosítása. Az eddig említett infrastruktúrák egyike sem teljesen izolált más rendszerektől. Emiatt az infrastruktúra egy elemének támadása esetén veszélyes hatás alakulhat ki más infrastruktúrában.

4. Földrajzi elhelyezkedés szerint, azok a területek, ahol egynél több infrastruktúra helyezkedik el, elsőséget igényelhet.

5. Tulajdonviszonyok alapján: az állam által tulajdonolt és működtetett infrastruktúrák, vagy magánkézben lévő infrastruktúrák, melyek az állami szolgáltatások nyújtásához szükségesek, vagy amellyel az államnak tradicionális együttműködése van, elsőbbségeket élvezhetnek.

Véleményem szerint, amikor a későbbiekben meg kívánom határozni hazánk kritikus információs infrastruktúráit, akkor a fenti besorolási tényezőket kell figyelembe venni.

Ennek során a hatókör szempontjából a Magyar Köztársaság kritikus információs infrastruktúráit az országra gyakorolt hatásuk alapján kell kijelölni.

A nagyságrend figyelembe vétele során a jelentős hatású veszteségék a mérvadóak, de a közepes vagy mérsékelt hatás esetén vizsgálni kell annak időbeli hatását is. Amennyiben a hatás hosszabb távon fennmarad, például maradandó környezetkárosodás, a hatásában alacsonyabb nagyságrendű infrastruktúrák is a közepesek közé sorolandók.

1.2.1. A KRITIKUS INFRASTRUKTÚRÁK INTER- ÉS INTRADEPENDENCIÁJA Mint a fentiekben már említésre került, az infrastruktúrák nem elszigetelten működnek, hanem egymással – gyakran nagyon szoros – kölcsönhatásban állnak (2. ábra). Ezt a jelenséget nevezi a szakirodalom interdependenciának.

2. ábra – A kritikus infrastruktúra elemeinek interdependenciája [23]

Az összekapcsolódó infrastruktúrákon keresztül a problémák felhalmozódhatnak, váratlanabb és lényegesen súlyosabb működésbeli zavart okozhatnak az adott állam létfontosságú szolgáltatásaiban. Az infrastruktúrák összekapcsolódásai, és egymástól való függőségei sérülékenyebbé teszi őket támadások, zavarok, megsemmisítésre irányuló tevékenységekkel szemben. Például az energiatermelés függ a szállítástól. A szállítás függ az energiától. Mindkettő függ az infokommunikációs rendszerektől, míg az infokommunikációs rendszerek energiafüggők (2. ábra). A rendszerben az energia- és áramszolgáltatást, valamint az infokommunikációs infrastruktúrát kritikus infrastruktúrának tekintjük. A létfontosságú szolgáltatások infrastruktúráktól függnek, illetve némely infrastruktúra függhet más szolgáltatásoktól is.[56]

Az infrastruktúra elemei, melyet eszközökként jelenítettünk meg, sérülékenyek. Az infrastruktúra fenyegetettségei a sérülékenységeket használják ki. A sérülékenységek mentén jelentkező fenyegetettség elhárítása vagy csökkentése meghatározott stratégiákkal valósítható meg.

3. ábra – Az inter- és az intradependencia összefüggése [22]

A kritikus infrastruktúrák információs rendszerei esetében az intradependencia hatása is rendkívül jelentős. Egy-egy adott infrastruktúra stabilitása jelentős mértékben függ az információs rendszerének biztonságától, amit a hagyományos infokommunikációs biztonsági eszközökkel, különösen az informatikai biztonsági irányítási rendszer²² bevezetésével és működtetésével tudunk befolyásolni. [22]

Megítélésem szerint az infrastruktúrák belső és külső függőségeinek vizsgálata mind az infrastruktúrák besorolása, mind a védelmi intézkedések kialakítása során nagy jelentőséget kell, hogy kapjon. Az előzőekben leírtak következtében egy adott ország – így Magyarország esetében is – kritikus infrastruktúrájának meghatározásakor a vizsgálatnak ki kell terjednie az infrastruktúrák interdependenciájára és intradependenciájára egyaránt.

1.2.2. AZ INFRASTRUKTÚRÁK TULAJDONI VISZONYAI

A kritikus fontosságú infrastruktúrák tulajdonosi megoszlása eltérő lehet. Központi, minisztériumok vagy szervezeteik által használt rendszerek, a honvédelmi és rendvédelmi szervek tulajdonában lévő számítógépes és távközlési hálózatok, az egészségügyben adminisztrációra és elszámolásra kiépült számítógépes rendszerek, állami tulajdonú vállalatok

22 Informatikai Biztonsági Irányítási Rendszerek – Information Security Managament Systems (ISMS). [65]

(pl. repülőtérek) kritikus rendszerei általában állami, önkormányzati tulajdonban vannak.

Azonban több kritikus infrastruktúra is tartozhat a magánszektorhoz, melyek között az alapot jelentő távközlési és helyi áramszolgáltatók is megtalálhatóak.

Természetesen a helyzet ennél még összetettebb lehet. Számos lehetőség áll rendelkezésre az infrastruktúra tulajdonos szervezet részére, hogy infrastruktúráját más cég által üzemeltesse, vagy teljesen kiszervezze²³, de az is előfordulhat, hogy az infrastruktúrát szolgáltató saját infokommunikációs hálózattal rendelkezik ugyan, de az eszközök beszállítóitól nagymértékben függ.

Az infrastrukturális üzleti világ annyiban különbözik a többi üzleti világtól, hogy ez esetben a folyamatos ellátottsághoz fűződő fogyasztói érdek erősebb lehet, mint az ahhoz fűződő kereskedelmi érdek. Ez különösen problémás lehet ott, ahol az infrastruktúra szolgáltatója monopolhelyzetben van, hiszen nincs, vagy csökkent mértékű a versenyhelyzetből eredő nyomás a rendszer fenntartására. Erre jó példa lehet egy olyan áramszolgáltató társaság, amely idő és megfelelő pénzalapok nélkül inkább kockáztatja a szolgáltatásban bekövetkezhető leállásokat, és inkább olyan területeken fejleszt, mely nyereséget hozhat neki, ahelyett, hogy a folyamatos ellátás érdekében fejlesztené infrastruktúráját.

Tekintettel a magánszektor infrastruktúra biztonságával szemben fennálló, a fentebb kifejtett félelmekre, a kormányzatnak figyelembe kell vennie, hogy hogyan biztosíthatja a hatékony kockázatmenedzsmentet ilyen esetekben. Logikus megközelítése a kérdésnek a felelősségi határok megállapítása. Azaz szabályozni kell, hogy meddig kezelik a kockázatokat az infrastruktúra tulajdonosai, és mikor következik e kérdésben az állami szerepvállalás.

Véleményem szerint, a tulajdonviszonyok figyelembe vétele, úgy az egyes infrastruktúrák kijelölése során, mint azok más infrastruktúrákra gyakorolt hatásának vizsgálata szempontjából rendkívül fontos hazánkban, mert a tulajdoni viszonyokra a magántulajdon a jellemző, és ez a védelem megvalósítása során más kezelést igényel, mint az állami tulajdon. Ez a kérdéskör viszont felveti a pontos törvényi előírások szükségességét, valamint ezen túl a kölcsönös érdekek keresését, mert a magánszféra érdekeltségének megteremtésével már nem csak számon kérhetővé válnak a védelmi intézkedések, hanem valós együttműködés is kialakítható.

23 tevékenységek kiszervezése, más szóval vállalkozásba adása, ang.: outsourcing

1.3. KRITIKUS INFRASTRUKTÚRA MEGHATÁROZÁSOK KÜLÖNBÖZŐ