1. AZ INFRASTRUKTÚRA VESZÉLYEZTETETTSÉGE
1.1. K RITIKUS INFRASTRUKTÚRA
1.1.3. Biztonsági intézkedések
A biztonság olyan terület, ahol kevésbé érzékelhető a befektetett pénz és energia. Csak a ka-tasztrófák, vészhelyzetek során derül ki igazán, hogy egy ország mennyit költ a biztonságára.
Egészen addig, amíg rendkívüli helyzetek nem lépnek fel, a befektetések nem szembetűnőek.
Ugyanezen okból kifolyólag spórolni is ezen a területen lehet a legkönnyebben, hiszen – egé-szen a baj bekövetkeztéig – a kormánynak megbízást adó lakosság nem érzékel semmit a meg-szorításokból.
10 Halász Péter: A védelmi infrastruktúra főbb alkotó elemeinek kölcsönhatása (Phd értekezés). p. 22 [7]
Az Európai Bizottság 2005-ben adta ki a Kritikus Infrastruktúrák védelméről szóló „Zöld
„könyv”-et [8]. Ez előirányozta az EPCIP11 irányelvet, amely a tagállamok részére előírja:
EPCIP kapcsolati pont kijelölése
ECI12 azonosítása és kijelölése
Szektoronkénti sebezhetőség, veszély, kockázatelemzés
SLO/OSP (ld. alább) megfelelőségének ellenőrzése
Jelentés az Európai Bizottságnak
Az EPCIP szerint az üzemeltető kötelezettségei:
Biztonsági Összekötő Tisztviselő (SLO) kijelölése
Üzemeltetői Biztonsági Terv (OSP) készítése
A KIF veszélyeztetettségének kezelésében három fő irányvonal létezik:
Minden veszélyre kiterjedő felfogás
Minden veszélyre kiterjedő felfogás, középpontban a terrorizmussal (EU által adoptált stratégia)
A terrorizmus veszélyére összpontosító felfogás
Az EU KI kezelésének a célja: (aláhúzással jelölve azok a pontok, amelyek teljesítéséhez hoz-zájárulhat a KI elemek passzív, épületszerkezeti megerősítéssel történő védelme)
A KI működési zavarai:
o rövidek és ritkán előfordulók legyenek, o kezelhető legyen a probléma,
o földrajzilag lokalizálható legyen,
o a lakosságot minél kisebb mértékben érintse,
csökkenteni kell a meghibásodások lehetőségét,
gyors és ellenőrzött helyreállítási eljárások legyenek kidolgozva,
megnövekedett biztonsági beruházási igény visszahat a piacképességre: gazdasági ne-gatív hatások csökkentése.
Magyarországon jelenleg hatályos a létfontosságú rendszerek és létesítmények azonosításá-ról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény [124], illetve ennek a végre-hajtásáról szóló 65/2013. (III. 8.) Korm. rendelet [130]. Az ezekben foglalt intézkedéseket ha-zánk az EU jogharmonizáció keretében hajtotta végre. Általánosságban elmondható, hogy – politikai oldaltól függetlenül – hazánkra igaz a már említett viselkedésmód, miszerint a bizton-ságon spórolunk. A törvény bevezetése, és a benne foglalt kötelezettségeink teljesítése során világossá vált, hogy a magyar fél a KI kijelölését és védelmét nem veszi kellően komolyan13. Ezt alátámasztja a civil szférában való személyes tapasztalatom is. Egy KI területen dolgozó multinacionális cégnél tett látogatásom során érdeklődtem a vállalat azonosítási eljárásának le-folytatásáról. A magas beosztású munkatárs a kérdésben járatlan volt, majd közölte, hogy a
11 EPCIP – European Programme for Critical Infrastructure Protection – Európai Létfontosságú Infrastruktúra Védelmi Program
12 ECI – European Critical Infrastructure – Európai Létfontosságú Infrastruktúra
13 A kijelölt ECI elemek listáját határidőre kellett benyújtani az EU számára. A határidő közelsége miatt a magyar fél úgy oldotta meg a problémát, hogy azt jelentette, vizsgálatai során nem talált ECI elemet Magyarországon.
vállalat ügyvédje a felelős. Ez az eset rávilágít arra a sajnálatos jelenségre, hogy a KI témája jogi kérdésként van kezelve, és a döntéshozóktól a végrehajtókig jogászok kapnak olyan hatás-köröket, amelyek szakértelmet és specifikus felkészülést kívánnak.
Bár a kormányrendelet jól összegzi azokat a tennivalókat, amelyek szükségesek az ország inf-rastruktúrájának integrált védelméhez, meg kell jegyezni, hogy a kockázatelemzéstől az azono-sítási jelentésig mindent az üzemeltető hatáskörébe helyez. Jelenleg tisztázatlan, hogy az üze-meltetőknek honnan lesz kapacitása és megfelelő szaktudása a felmerülő műszaki problémák megoldására.
A vállalati szektor megjelenő igényeire már több hazai cég is kínál megoldásokat. Azonosítási jelentés és ÜBT készítését vállalja pl. a Profes Kft., az Imsys Kft., és a Generisk Kft. A felsorolt cégek egyikét megkerestem azzal a kérdéssel, hogy felmerült-e már valamelyik munkájukban robbantásos cselekmény, mint veszélyforrás, és ha igen, hogyan kezelték. A válasz szerint nem fordult még elő, hogy ilyen veszélyforrással dolgozzanak.
A vonatkozó KI irányelvek meghatározzák a KI-vá nyilvánítás kritériumait (mekkora területet érintsen, mekkora anyagi kárt okozzon), de nem ad tájékoztatást arról, hogy a kijelölt objektu-mok számára mi az elérendő biztonság (mi a cél kockázat), és milyen műszaki megoldásokkal javasolt azt elérni. Előre láthatóan ezen a téren a szakhatóságok fognak előírást készíteni, de jelenleg az itthoni KI védelem bevezetése még nem tart ebben a szakaszban.
Az alkalmazásra kerülő rendszerrel szemben az itthoni szakmai életben már meg is fogalma-zódtak az aggodalmak [39]:
félő, hogy az üzemeltető nem fogja teljes körűen elvégezni saját maga felmérését, és az alkalmazott javító intézkedések is csekély anyagi ráfordításúak lesznek,
a jogszabály szerint az azonosításkor figyelembe vett kritériumot a vizsgált rendszer-elem biztos tönkremenetelére kell megnézni (következmény-alapú vizsgálat). Ez egy általánosított vizsgálat, ami növeli a vizsgálandó elemek számát, ez pedig érzékeny a meghúzott kritériumokra. Ha a veszélyeztetettség is figyelembe van véve a vizsgálatkor, akkor reálisabb kép kapható a valódi kritikus infrastruktúra elemekről (ilyen azonosítási rendszert használnak az USA-ban), ehhez azonban több és bonyolultabb számítást kel-lene végezni.
Az USA-ban alkalmazott azonosítási folyamat tulajdonképpen nem más, mint a már korábban említett szubjektív kockázatelemzés. Véleményem szerint ennek a módszernek bár vannak hát-rányai, de eredményesen lehetne használni az azonosítási folyamatban. Ezekkel éppen a kiválasztást segítő, egymáshoz képest való pontozás lenne megoldható a KI elemek között.
Az objektív biztonság kimutatására csak később, a védelem kialakításakor van szükség.
Magyarországon az alábbi területek lettek a KI tárgykörébe sorolva (az ezeken a területeken lévő elemeket, szereplőket kell megvizsgálni, és dönteni, hogy KI elemmé jelöljük-e):
Informatikai és kommunikációs rendszerek,
Távközlés,
Energiatermelés és elosztás,
Vízellátás-közművek,
Szállítás és közlekedés,
Közegészségügy,
Élelmiszer-ellátás,
Bank- és pénzintézeti szektor,
Katasztrófavédelem,
Honvédelem-védelmi ipar,
Rendészeti szektor.
Az EU mellett a NATO is aktív a KI védelme területén. A NATO a KI kérdését polgári ve-szélyhelyzeti tervezés keretében kezeli (CEP), a tervezésben és a felkészítésben segíti a nem-zeteket. A NATO a tevékenységében:
kiemelten foglalkozik a KI kutatásával és a védelmi tevékenységgel,
felmérést, feltérképezést sürget,
katonai követelményeket érvényesít,
nemzetközi együttműködést ösztönöz.
A NATO eredményei a KI védelme terén14:
figyelemfelhívás 2001-től,
kutatás és fogalom meghatározás,
civil és katonai együttműködés fejlesztése,
KI védelmével kapcsolatos információ gyűjtés és áramlás segítése,
eltérő felkészültség kiegyensúlyozása,
alapvető közösségi szolgáltatások meghatározása (még csak cél),
kutatás fejlesztés, KI kockázatkezelés elméleti megalapozása (kutatásom ehhez a területhez kapcsolódik),
közös szakértői háttér megteremtése.
A NATO 2007-es jelentése [10] alapján a kockázatkezelés elméletén a NATO is a disszertá-cióm elején a tudományos probléma felvetésében vázolt eljárást követi, ami szubjektív, össze-hasonlító jellegű kockázatelemzést tesz lehetővé.
A NATO jelentés szerint az alkalmazott biztonsági intézkedések lehetnek:
fizikai intézkedések,
elektronikus (kiber) intézkedések,
emberi (személyi) intézkedések,
szervezeti intézkedések,
a felsoroltakon belül pedig rövid-, vagy hosszú távú intézkedések.
A kutatásom során bemutatásra kerülő módszerrel a fizikai intézkedéseket lehet számítani és optimalizálni. Az alkalmazási időtartam bemeneti paraméter a számítási eljárásban, tehát sza-badon változtatható.
A kockázatelemzés egyik nemzetközileg elismert szaktekintélye David Lacey, aki bár elsősor-ban az információ biztonság területén aktív, a kockázatkezeléssel kapcsolatos meglátásai álta-lános érvényűek [11]. Felhívja a figyelmet arra az egyébként a mérnöktársadalomban is
14 Dr. Kovács Ferenc: A kritikus infrastruktúra védelme I. [9]
lévő veszélyre, hogy a számítást végző ember túlságosan hisz a számoknak, és a bonyolult el-járásoknak. Hangsúlyozza, hogy a „kockázatelemzés egy mérőszalag, nem pedig óvintézke-dés”15, az emberi tényező jelentősége nagyobb, mint azt hinnénk. Nem a kifinomult modelle-zések ellen szól, de hangsúlyozza, hogy a bemenő paraméterek megbízhatóságára hangsúlyt kell fektetni, és a tervezőnek a veszélyeztetettséget mindig szubjektív módon is mérlegelnie kell.
A biztonsági beruházások rendkívül költségesek, a biztonsági szint emelése visszahat a gazda-ság teljesítményére. Ezt nevezhetjük globálisan értelmezett visszahatásnak. Ugyanakkor mikro szinten is érzékelhető a biztonsági szint növelésének hatása: az aktív biztonsági intézkedések lassítják a folyamatokat (átvilágító kapuk, vírusirtók), a munkavégzők pedig pszichés nyomás alá kerülnek az állandó akadályok, és veszélyre emlékeztető elemek miatt. Ezen hatások miatt a lassulás mellett az elvégzett munka minősége is csökkenhet, ami szintén hozzájárul közve-tetten a gazdaságra gyakorolt visszahúzó hatáshoz16. A döntéshozóknak tehát mindig mérlegel-niük kell a foganatosítandó biztonsági intézkedés által hozott biztonsági szint növekedést, és annak hátrányos következményeit. Vannak ugyanakkor – bizonyos veszélytípusok esetén – olyan passzív védelmi megoldások, amelyek nem jelentenek semmilyen hátrányt a védett ele-mek működésére vonatkozóan. Ide sorolhatók a robbantások elleni szerkezeti megerősítések, statikai kialakítások.
A robbantások elleni építményvédelem területén rengeteg új fejlesztésű, védelmi képességeket fokozó termék található. Ezek többnyire anyagtechnológiai K+F eredményekre épülnek, az épületvédelemben a nagy szilárdságú, nagy duktilitású anyagok használhatók fel. Ezeknek is-mertetésére egyrészt helyhiány miatt nem térek ki, másrészt a magyar viszonyokat tekintve nem tartom reális megoldásnak az alkalmazásukat a nagyon magas áruk miatt. Egy brit cég termék-bemutatóján jutottam hozzá egyik termékük árához: objektumok határainak kültéri védelmére járműveket megállító, ülőfelülettel szerelt betontömböket gyártanak [12], melyeknek ára 3000 font/db (1.200.000 Ft). Összehasonlításképpen megjegyzendő, hogy egy m3 beton ára kb.
15.000 Ft. Ha a védelmi ipar egy ilyen egyszerű terméknél is ekkora árréssel dolgozik, akkor a hazai objektumvédelem reális eszköztára a klasszikus építőanyagokkal kialakított, de dinamikai hatásra megerősített szerkezetekben kell, hogy kimerüljön. Tekintve a hazai katonai költségve-tés szűkösségét, nem valószínű, hogy hazánk megengedheti magának a modern, K+F tevékeny-séggel fejlesztett védelmi eszközöket.