Kritikus infrastruktúra

A biztonságtudomány hazai meghatározása szerint a biztonságtudomány vizsgálódási területe a kritikus infrastruktúrák biztonsága. A Fejezetek a kritikus infrastruktúra védelemből című Tanulmánykötet egyes szerzői különböző szempontok, aspektusok számbavételével kísérlik meg megfogni, meghatározni a maga komplexitásában a kritikus infrastruktúra fogalmát vagy annak kritikáját . [4] A kritikus infrastruktúra, mint fogalom meghatározása korántsem egyszerű. Azt azonban megállapíthatjuk, hogy alapvetően olyan létesítményeket, szolgáltatásokat, információs rendszereket és azok részegységeit (rendszerelemeit) értjük alatta, amelyek létfontosságúak az alapvető szolgáltatások folyamatos biztosításához, a társadalmi feladatok ellátásához, és amelyek megsemmisülése vagy működésének megzavarása, korlátozása, a területi és időbeli kiterjedtség, folytán jelentős hátrányt okozna az érintett terület működésében, lakosságának ellátásában.

Látható, hogy a kritikusság, mint tényező elsősorban az infrastruktúra potenciális kiesésének hatásában jelenik meg. Nem minden esetben a rendszer maga kritikus, hanem az, ha az adott rendszer meghibásodása a kapcsolódó rendszerek működését akadályozza, vagy lehetetleníti el, és a kiesés hatásának térbeli és időbeli kiterjedése folytán a lakosság ellátásában, a gazdaság vagy a kormányzat működésében zavarok lépnek fel.

A kritikus infrastruktúrák közé az alábbi tizenegy területet sorolják:

 Energia

 Információs és kommunikációs technológiák

 Víz

 Élelmiszer

 Egészségügy

 Pénzügy

 Közbiztonság

 Polgári adminisztráció

 Szállítás

 Vegyipar és nukleáris ipar

 Űrkutatás

A vonatkozó kormányrendelet definíciója szerint a „[k]ritikus infrastruktúra: Magyarországon található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, valamint amelyek megzavarása vagy megsemmisítése, e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna.” [50]

„A fenti fogalmat az alábbi öt alapvető tulajdonság teszi teljessé:

 interdependencia – egymástól való függőség;

 informatikai biztonság – kiemelt terület, informatizált munkafolyamatok;

 üzemeltetés – sajátosságok, egyedi jelleg;

 leggyengébb láncszem és rész–egész-elv – összekapcsolódó hálózatok stabilitása a leggyengébb elem erősségétől függ.” [5]

A XXI. század új típusú kihívásainak rendszerében megjelenő fenyegetettségek és a 2001.

szeptember 11-i terrortámadások következményeképpen Európában is erőteljesebben fókuszba került a kritikus infrastruktúrák védelmének kérdésköre. A mindennapi élet zavartalanságát biztosító infrastruktúrák, vagy azok bizonyos elemei kiemelt figyelmet kívánnak meg. Védelmük – akár európai uniós, akár állami szinten – olyan feladat, ami egységes stratégiai megközelítéssel, szigorú elvárások és következetes végrehajtás útján, hosszú távú stratégiai célok meghatározásával valósítható meg.

A kritikusinfrastruktúra-védelem az Amerikai Egyesült Államokból indult, ott az 1990-es években már kutatási és tudományos szinten említik, bár ekkor még megoszlottak a vélemények az egyes területek jelentőségét illetően, és leginkább csak a téma informatikai aspektusa került előtérbe. Az európai koncepció kiindulópontját és egy átfogó program kidolgozására irányuló igényt a második évezred elején megszaporodott és súlyos következményekkel járó terrortámadások jelentették. Az Európai Bizottság 2004. október 20-án elfogadta A létfontosságú infrastruktúrák védelme a terrorizmus elleni küzdelemben című közleményt [51], amelyben javaslatokat tett arra, hogy miként lehetne az európai megelőzést, felkészültséget és reagálást javítani a létfontosságú infrastruktúrákat érintő terrortámadások esetén.

2005 novemberében a Bizottság egy úgynevezett Zöld Könyvet fogadott el a létfontosságú infrastruktúrák védelmére vonatkozó európai programról. „Az Európai Unió szintjén kiadott Zöld Könyv elsődleges célkitűzése az volt, hogy biztosítsa a nemzeti kritikus infrastruktúrák védelméről (NKIV) szóló nemzeti program megvalósítását és egy olyan jogszabály megalkotását, amely összegzi a kormányzati szereplők NKIV-vel kapcsolatos célokat, szempontokat, alapelveket, fogalmakat és a megvalósítás alapvető formáira vonatkozó álláspontját.

„A kritikus infrastruktúrák hatékony védelme tehát megköveteli valamennyi érintett fél – az infrastruktúrák tulajdonosai és üzemeltetői, a hatóságok, szakmai szervek és érdekszövetségek – közötti kommunikációt és együttműködést. Egy széles körű, érdekazonosságon alapuló összefogás nélkül a megváltozott biztonsági környezet által jelentett új típusú veszélyek (aszimmetrikus fenyegetettség, nem hagyományos kockázati tényezők megjelenése) hatékony módon nem kezelhetőek.” [6 p. 350.]

„A legfőbb cél az, hogy az érintettek között aktív kommunikáció és eredményes együttműködés alakuljon ki. Szorosan ide kapcsolódik az a kezdeti célkitűzés, hogy az érintett lakosság megfelelő képet kapjon az adott infrastruktúra működésének jelentőségéről, az alternatív lehetőségek biztosításáról, vagy a szünetelő szolgáltatás ideje alatt követendő magatartási formákról egyaránt. Az ellenálló képesség kialakításához további három összetevő szükséges. Elsődleges ezek közül az alternatívák biztosítása, a kieső szolgáltatás mielőbbi pótlásának érdekében. Ehhez kapcsolódik a bekövetkezett esemény utáni, minél rövidebb idő alatt történő visszaállítás képessége, végül pedig a sebezhető pontok számának csökkentése. Utóbbi eredményeként az infrastruktúra ellenálló képessége nő, tekintettel arra, hogy kritikusság szintjét kevesebb kockázati faktor határozza meg.” [7 p. 42.]

Az NKIV három fő célkitűzést fogalmazott meg. Az első a megelőzés és a védelem érdekében a kritikus infrastruktúrák legnagyobb kockázatot képviselő elemeinek beazonosítása, a kockázatok csökkentését célzó elemzések és a szükséges védelmi intézkedések alkalmazása. A második az érintett szereplők (tulajdonosok, üzemeltetők, állam) megfelelő felkészültésének biztosítása az esetleges meghibásodás vagy működésmegszakadás esetére. A harmadik pedig – jelentős kihatású meghibásodás, kiesés vagy teljes leállás esetén – az üzemfolytonosság és ellenállóképesség fejlesztése, intézkedések tervezése, kialakítása, végrehajtása vagy helyettesítő megoldások alkalmazása annak érdekében, hogy a működés a lehető legrövidebb időn belül visszaállítására kerüljön. [6 p. 351.]

Az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló 2008/114/EK tanácsi irányelvet (továbbiakban: irányelv) Magyarországnak tagállami kötelezettsége átültetni a hazai jogrendszerbe. Ezen jogharmonizációs kötelezettség mentén tagállami szinten kell meghozni azokat az intézkedéseket, amelyek beültetik az irányelvet a magyar jogrendszerbe.

A hazai viszonylatban fontos mérföldkő, hogy az Országgyűlés 2012. november 12-én törvényt fogadott el a nemzeti és az európai kritikus infrastruktúrák védelméről [52]. A jogszabály egyébként az idegenül hangzó kifejezés helyett a létfontosságú rendszerek és létesítmények elnevezést használja. A törvény rendelkezik az európai és magyar kritikus rendszerek kijelöléséről, a kijelölés visszavonásáról, a nyilvántartás rendjéről, az üzemeltetői biztonsági tervek bevezetésének szükségességéről, valamint az ellenőrzés rendjéről.

A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012.

évi CLXVI. számú törvény mellékleteiben ágazatba és alágazatokba sorolja a kritikus infrastruktúrákat.

A törvény 2016-os módosításának 3. mellékletében [53] az alábbiak szerint, mint kritikus infrastruktúrát nevesíti az infokommunikációs technológiát és a körébe tartozó alágazatokat:

- internet-infrastruktúra és internet hozzáférés szolgáltatás,

- vezetékes és vezeték nélküli elektronikus hírközlési szolgáltatások, vezetékes és vezeték nélküli hírközlő hálózatok,

- rádiós távközlés, - űrtávközlés, - műsorszórás, - postai szolgáltatások,

- kormányzati informatikai, elektronikus hálózatok.

Fontos kiemelni, hogy szinte minden ágazati körben működő kritikus infrastruktúra informatikai eszközök, hálózatban lévő rendszerek segítségével üzemel, így e rendszerek a kibertámadások potenciális célpontjaivá válhatnak.

A fentieket figyelembe véve, tehát a kritikus információs infrastruktúra alatt azokat az

lényegesek azok működése szempontjából (távközlés, számítógépek és szoftver, internet, műholdak stb.). A kritikus infrastruktúrákra vonatkozó öt alapvető tulajdonság szerint e rendszerekre az alábbiak jellemzőek:

- a kritikus infrastruktúrák nem elkülönült szigetekként biztosítanak hálózati és adatbázis-hozzáférési szolgáltatásokat, hanem összekapcsolva alakítanak ki globális kritikus hálózatokat;

- magukon hordozzák az egyes rendszerelemek sérülékenységének problémáját;

- a kritikus információs infrastruktúrák védelme széleskörű együttműködést igényel (szervezetek, ágazatok, kormányzatok);

- nem határolható be fizikailag elkülönült közegre, népre, országra vagy konkrét ágazatokra.

A kritikus információs infrastruktúrák és a kritikus infrastruktúrák védelme és biztonsága nem különíthető el egymástól. Az infrastruktúrák együttes és globális védelmét a rendszereket üzemeltetőknek közösen kell biztosítani, koordinálni.