A kritikus infrastruktúra


 

A kritikus infrastruktúra


A kritikus infrastruktúra fogalma az utóbbi évtizedben jelent meg a hazai szakmai életben és várhatóan teret hódít a köznyelvben is, ahogyan a lakosság számára is ismertté és tudatossá válik a kritikus infrastruktúrák védelmének fontossága.

A XXI. század új típusú kihívásainak rendszerében a 2001. szeptember 11-i támadások következményeképpen Európában is erőteljesebben megjelent a kritikus infrastruktúrák védelmének kérdésköre. Annak ellenére, hogy a világ több államában – az Amerikai Egyesült Államokban, Kanadában, az Egyesült Királyságban, vagy akár Németországban – már hosszú évek óta a védelmi felkészülés egyik alapeleme a létfontosságú infrastruktúrák megóvása, terrortámadások „sorozata” kellett ahhoz, hogy egységesen felismerjük: ma már nem feltétlenül a sok áldozatot követelő támadások végrehajtása a terrorszervezetek fő célja, hanem az, hogy minél nagyobb káoszt, általános pánikot, lehetőleg súlyos anyagi károkat okozzanak, hanem mindenek előtt a kormányokba vetett hitet akarják megrendíteni. A folyamat akár minősített helyzet kihirdetésére is okot adhat abban az esetben, ha a helyzet eszkalálódása a kormányzat működését akadályozza.

A mindennapi élet zavartalanságát biztosító infrastruktúrák, vagy azok bizonyos elemei kiválóan alkalmasak ezen célkitűzések elérésére, támadhatóságuk pedig a nyilvánosság, a közhasználat és a nehéz fizikai védhetőség miatt nem igényel különösebb szakértelmet, sem szervezést. Ebből fakadóan a védelmi szféra – akár Európai Uniós, akár állami szinten – olyan feladattal szembesült, amelyet egységes megközelítés, közös érdekképviselet, szigorú elvárások és következetes végrehajtás útján, hosszú távú stratégiai célok meghatározásával valósíthat meg.

De mi is az, hogy kritikus infrastruktúra és mitől lesz egy infrastruktúra (vagy annak eleme) kritikus?

A fogalom teljes körű értelmezéséhez szükséges annak egyes elemeit vizsgálni. Az egyik összetevő az infrastruktúra, amelynek általános fogalma viszonylag egységesen értelmezett.

A fogalom a gazdaságtudományban jelent meg, mint olyan gazdasági feltételek (úthálózat, kikötők, közművek, műtárgyak, közoktatás stb.) gyűjtőneve, amelyek nem vesznek részt közvetlenül a termelési folyamatban, de közvetve befolyásolják a termelés fejlesztésének lehetőségeit.

Ennek analógiája alapján a műszaki infrastruktúrát az alapvető létesítmények, létesítményrendszerek, hálózatok alkotják, amelyek alapjait képezik – létesítési és üzemeltetési feltételei – a konkrét cél megvalósítását szolgáló létesítményeknek. A társadalmi értelemben vett infrastruktúra ebből következtetve mindazon szervezetek, létesítmények, létesítményrendszerek, hálózatok összessége, amelyek egy országon belül a lakosság szellemi és tárgyi életfeltételeit megteremtik, a gazdaság működését elősegítik, illetve lehetővé teszik.

Az összetett fogalom értelmezéséhez szükséges a kritikus, kritikusság meghatározása is, amelynek lényege röviden úgy ragadható meg, hogy kritikus minden „dolog”, amelynek megsemmisülése, működésének vagy szolgáltatásainak csökkent szintje, elérhetetlenné válása valamilyen támogatott objektumra, folyamatra jelentős (ebben az esetben egyértelműen negatív) hatást gyakorol.

A fentiekből egyértelműen látszik, hogy a kritikus infrastruktúra fogalma nehezen definiálható, hiszen több aspektusból vizsgálható, eltérő értelmezéssel felruházható biztonsági összetevőként funkcionál az államok védelmi mechanizmusában. Általánosságban kijelenthető, hogy kritikus infrastruktúrának azokat a létesítményeket és szolgáltatásokat tekintjük, amelyek sérülése, esetleges megsemmisülése súlyos következményekkel jár mind az emberek életének zavartalansága, mind a környezet szempontjából.

A kritikus infrastruktúra egyfajta definíciója: "létfontosságú infrastruktúrákhoz azok a fizikai és információs-technológiai berendezések és -hálózatok, szolgáltatások és eszközök tartoznak, amelyek összeomlása vagy megsemmisítése súlyos következményekkel járhat a polgárok egészsége, védelme, biztonsága és gazdasági jóléte, illetve a tagállamok kormányainak hatékony működése szempontjából."

Kritikus infrastruktúra 1

A felsorolt példák alapján megfogalmazható a kritikus infrastruktúra általános fogalma, azaz egy országon belül a lakosság szellemi és tárgyi életfeltételeit megteremtő, a gazdaság működését elősegítő vagy lehetővé tévő azon szervezetek, létesítmények, létesítményrendszerek, hálózatok összessége vagy ezek részei, amelyek megsemmisülése, szolgáltatásaik vagy elérhetőségük csökkent szintje egy adott felhasználói kör létére, lét- és működési feltételeire negatívan hat.

A katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló 2011. évi CXXVIII. törvény végrehajtásáról szóló 234/2011. (XI. 10.) kormányrendelet 1. § 25. pontja a következő definíciót adja. Kritikus infrastruktúra: Magyarországon található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, valamint amelyek megzavarása vagy megsemmisítése, e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna.

A fenti fogalmat az alábbi 5 alapvető tulajdonság teszi teljessé:

  • interdependencia – egymástól való függőség;
  • informatikai biztonság – kiemelt terület, informatizált munkafolyamatok;
  • üzemeltetés – sajátosságok, egyedi jelleg;
  • dominóelv – láncreakciószerű sérülés/károsodás;
  • leggyengébb láncszem & rész-egész elv – összekapcsolódó hálózatok stabilitása a leggyengébb elem erősségétől függ.

Napjaink tudományos fejlődési trendje rávilágít arra, hogy a védelmi igazgatási feladatok meghatározása során nemcsak a szándékos, ártó jellegű tevékenységek általi veszélyeztetettségre, hanem a technológiai veszélyekből, konstrukciós hibákból, balesetekből, helytelen emberi beavatkozásból és a természeti eredetű eseményekből származó helyzetekre is fel kell készülni.

Megállapítható, hogy a létfontosságú infrastruktúrákkal kapcsolatos védelmi tevékenység eleve több elemből álló össznemzeti feladat kell, legyen. Végrehajtásához magas szinten koordinált, jó kommunikációs rendszerrel rendelkező, szakképzett struktúra kialakítása szükséges, amelynek normálidőszaki és válsághelyzetbeli működését is mindenre kiterjedő jogszabályi háttér és megfelelő eszközrendszer biztosíthat. Az eredményesség kulcsfeltétele az érintett védelmi igazgatási szervek közötti hiteles és titkos adatok szigorú keretek közötti megosztása, a hozzáférések minimalizálása, vagyis a titokvédelem és az informatikai védelem.

A kritikus infrastruktúrák védelmének kialakulása

A kritikusinfrastruktúra-védelemmel kapcsolatban hazánk több megközelítést, nemzetközi példát, tapasztalatot használhat fel saját infrastruktúravédelmi programja elkészítése során.

A kritikusinfrastruktúra-védelem az Amerikai Egyesült Államokból indult, ott az 1990-es években már kutatási és tudományos szinten említik, bár ekkor még megoszlottak a vélemények az egyes területek jelentőségét illetően és leginkább csak a téma informatikai aspektusa került előtérbe. A 2001. szeptember 11-i new yorki merénylet sokkolta az egész világot, de Európa ekkor még nem számolt azzal, hogy uniós tagállam is célponttá válhat.

Az Észak-atlanti Szerződés Szervezete (NATO) Felsőszintű Polgári Veszélyhelyzeti Tervezési Bizottság 2002 novemberében meghatározta a szövetség szempontjából meghatározó aspektusok alapján a kritikus infrastruktúra definícióját. Az SCEPC égisze alatt nyolc tervező munkacsoport és bizottság működik, amelyek feladata, hogy tanulmányozza és értelmezze az egyes szövetséges államok kritikusinfrastruktúra-védelemre irányuló intézkedéseit.

A vizsgálatokból nyilvánvalóvá vált, hogy a tagállamok felkészültsége eltérő szintű, sőt, a definíciók értelmezésében is lényeges különbségek mutatkoztak. Az egységesebb megközelítést érdekében elfogadták a Polgári Védelmi Bizottság által előterjesztett egységes koncepciót, amelyben olyan feladatokat szabtak a tervező tanácsok és bizottságok részére, mint például azoknak a kommunikációs platformoknak a működtetése, amelyeken a témakörrel kapcsolatos folyamatos tapasztalatcsere megvalósul.

Az európai koncepció kiinduló pontját és az igényt egy átfogó program kidolgozására a második évezred elején megszaporodott, súlyos következményekkel járó terrortámadások jelentették. Az első jelentős terrorcselekmény a 2004 márciusi madridi terrortámadás volt, amely egész Európát megrázta. Az esemény rávilágított a terrorhálózatokkal szembeni védtelenségre és kiszolgáltatottságra, egyben világossá vált, hogy az egyes szolgáltatások, infrastruktúrák működési zavarai a köztük fellelhető interdependenciák révén milyen hatalmas pusztítást vihetnek véghez a társadalomban mind humán, mind gazdasági tekintetben. Ezt követően a kritikus infrastruktúrák védelmével kapcsolatos egyeztetések 2004. július 17-18-án a brüsszeli Európai Tanácson kezdődtek meg. A legfontosabb feladatokat ekkor még az aktivitás erősítésében és új mechanizmusok elindításában fogalmazták meg.

A Bizottság 2004. október 20-án elfogadta „A létfontosságú infrastruktúrák védelme a terrorizmus elleni küzdelemben” című közleményt, amelyben javaslatokat tett arra, hogy miként lehetne az európai megelőzést, felkészültséget és reagálást javítani a létfontosságú infrastruktúrákat érintő terrortámadások esetén.

Egy 2004 decemberében elfogadott Tanácsi következtetés tett először javaslatot a létfontosságú infrastruktúrák védelmére vonatkozó európai programra (European Programme for Critical Infrastructure Protection – EPCIP), és jóváhagyta a létfontosságú infrastruktúrák figyelmeztető információs hálózatának (Critical Infrastructure Warning Information Network – CIWIN) Bizottság általi felállítását.

A 2005-ös londoni robbantásokat követően a Tanács ismételten megerősítette a terrorizmus ellenes harc melletti elkötelezettségét, valamint hangsúlyozta, hogy az állampolgárok és az infrastruktúrák védelmével csökkenteni kell a támadások általi fenyegetettséget és a kiszolgáltatottságot.

2005 novemberében a Bizottság Zöld Könyvet fogadott el a létfontosságú infrastruktúrák védelmére vonatkozó európai programról (EPCIP), amely választási lehetőségeket fogalmazott meg azzal kapcsolatban, hogy a Bizottság hogyan állíthatná fel az EPCIP-et és a CIWIN-t.

A Bel- és Igazságügyi (IB) Tanács a 2005 decemberében elfogadott, a létfontosságú infrastruktúrák védelméről szóló következtetéseiben felkérte a Bizottságot, hogy terjesszen elő javaslatot a létfontosságú infrastruktúrák védelmére vonatkozó európai programra.

E közlemény bemutatja az EPCIP végrehajtása érdekében javasolt elveket, eljárásokat és eszközöket. Az EPCIP végrehajtását adott esetben kiegészítik majd ágazatspecifikus közlemények, amelyek a Bizottság megközelítését az egyes létfontosságú infrastrukturális ágazatokra vonatkozóan mutatják be.

A három évvel korábban kezdődött folyamat a tervezetek elkészítését követően elérte mélypontját. A további egyeztetések, az érdekek és értékek összehangolása folyamatosan akadályokba ütközött. A tagállamok ugyan megkezdték saját nemzeti programjuk összeállítását és a sajátosságok, egyéni jellemzők felmérését, de az egységes európai kezdeményezéssel kapcsolatban nem mutattak olyan intenzív hozzáállást, mint a kezdeti lelkesedés idején. Nyilvánvalóvá vált, hogy az Európai Uniónak is szembe kell néznie azzal a ténnyel, hogy tagállamainak növekvő száma egyre komolyabb egyeztetési problémákat vet fel. A hivatalos Irányelv pontosítása során a Zöld Könyvben található, az egységes európai program véglegesítését elméletben már meghatározó, iránymutató jellegű javaslatokat sorra utasították el, vagy könnyítették a tagállamok. Az eredmény több szempontból is elkeserítő. Az államok sajátos jogalkotási rendszereire, az infrastruktúra tulajdonosainak és üzemeltetőinek széles körére, a magántulajdonban lévő rendszerek túlnyomó többségére hivatkozva az egyeztetéseken sikerült elérni, hogy a Bizottság fokozatosan engedjen az első verziókban megfogalmazott elhatározásokból, a kötelező elemek végrehajtásából. Végül a folyamat első fázisában megfogalmazott szigorú elvárások kötetlenebb, általánosan elfogadottabb, célszerűségi indokokkal alátámasztott, de nem kötelező érvényű iránymutatásokká enyhültek.

Kritikus infrastruktúra 2

Az EPCIP megvalósítására vonatkozóan végül 2008 decemberében született végleges döntés, ekkor látott napvilágot a kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint ezek védelmi fejlesztéseinek szükségességéről szóló 2008/114/EK tanácsi Irányelv (Irányelv), amelynek végrehajtására 2011. január 12-ig kaptak határidőt a tagállamok. Az Irányelv alapvetően egy eljárási rendet állapít meg, az európai kritikus infrastruktúrák (ECI) azonosítására és kijelölésére. Az Irányelv felülvizsgálata a jogharmonizációs tapasztalatok és tagállami alkalmazásokból származó visszajelzések alapján 2012 januárjában vehette kezdetét.

Az Irányelv célkitűzései három fő irányvonal szerint határozhatók meg, a megelőzés, felkészülés és az ellenálló képesség kialakításában. A tagállamok közötti konzultációs eljárás és az eközben hozzáadott érték tette lehetővé, hogy a terrorizmus elleni harctól eljussunk a mindenfajta veszéllyel szembeni védelemig, különösen a terrorizmusra összpontosító uniós programig.

Az európai törekvés lényeges pontjai:

  • Közös EPCIP keret – stratégiai irányítás módszere, tagállami kapcsolattartó pontok létesítésének formái, egységes alapelvek, fogalmak, ágazati jellemzők, feladatkörök;
  • ECI – nemzeti azonosításokat követően átfogó vizsgálatok alapján jelölik ki, közösségi elvek alapján kialakítandó védelmi intézkedések;
  • NCI – tagállami programokban kialakított azonosítási és kijelölési eljárás keretében jelölik ki;
  • Cselekvési terv – önkéntes és kötelező elemek teljesítésének metódusa, végrehajtással kapcsolatos időintervallumok meghatározása és a felülvizsgálati folyamat könnyítése szempontjából kiemelendő;
  • Résztvevők feladatai, kötelezettségei – üzemeltetők, tulajdonosok, kormányzat, állami szervek, EU szervek vonatkozásában;
  • Értesítési és riasztási rendszer – CIWIN , létrehozását és funkcióinak tisztázását későbbre halasztották;
  • Finanszírozás – elkülönített keretből zajlik a jelenlegi tevékenységek finanszírozása, a továbbiakban ez a keret kiegészül a „Biztonság és a szabadságjogok védelme” elnevezésű programon belül kialakított „Terrorizmus megelőzése, felkészültség és következménykezelés” projekt által biztosított forrásokkal.

Az Irányelvben megadott definíció szerint kritikus infrastruktúraként értékelendők a tagállamokban található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, valamint amelyek megzavarása vagy megsemmisítése e feladatok folyamatosságának hiánya miatt jelentős következményekkel járna valamely tagállamban.

Az Irányelv a fenti általános fogalomhoz képest kiemelten megjeleníti az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez való közvetlen kapcsolódást. Ennek értelmében az Irányelv szerint a kritikusság annak hatásában kell, hogy megjelenjen, azaz nem az infrastruktúrára vonatkoztatva kell nézni azt, hanem a bekövetkező hatást kell figyelembe venni. Egy példával élve: nem egy komplex elektromos ellátási rendszer a kritikus, hanem az, ha az ellátási rendszer meghibásodik és a szolgáltatását igénybe vevők helyzete negatívan változik, hiszen ez utóbbi szélsőséges esetben akár emberéletekbe kerülhet.

Az európai program főleg a nemzeti és európai kritikus infrastruktúrák megkülönböztetésére és azonosítására koncentrál, figyelembe véve a szubszidiaritás elvét, mely szerint az infrastruktúrák védelme alapvetően tagállami feladat.

A létfontosságú rendszerek és létesítmények védelemmel kapcsolatos nemzeti szabályozás bemutatása

A katasztrófavédelem megújult szervezeti felépítésben a BM OKF Országos Iparbiztonsági Főfelügyelőségen belül kiemelt területként jelentkezik a létfontosságú rendszerek és létesítmények védelmével kapcsolatos feladatok ellátása, a potenciális kritikus infrastruktúra elemek beazonosítása, valamint a kijelölt elemek hatósági felügyelet alatt tartása.

2008-ban jelent meg a kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint ezek védelmi fejlesztéseinek szükségességéről szóló 2008/114/EK tanácsi Irányelv, melyet tagállami kötelezettségünk átültetni a hazai jogrendbe. A hazai Zöld Könyv megjelenése után 2010-ben kapott új lendületet a hazai létfontosságú rendszerek és létesítmények védelmével kapcsolatos szabályozások kidolgozása. A 1049/2010-es kormányhatározat a belügyminiszter hatáskörébe utalta a nemzeti kapcsolattartó pont feladatait és az európai kritikus infrastruktúrák védelmével kapcsolatos kérdések koordinálását. 2012-ben létrejött egy tárcaközi bizottság, mely az energetikai és közlekedési szektor vonatkozásban kidolgozta az azonosítási kritériumokat és felmérte a hazánkban található európai uniós kritikus infrastruktúrákat.

A BM OKF Országos Iparbiztonsági Főfelügyelőség tevékenységi körén belül kiemelt helyet foglal el a kritikus infrastruktúra védelmi szakterület, melynek egyik fő tevékenységét a jogalkotási és szabályozási feladatok végrehajtása képezi. Ennek eredményeképpen 2013. március 1. napján hatályba lépett a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény, valamint a hozzá kapcsolódó 65/2013. (III. 8.) általános végrehajtási kormányrendelet. A jogszabály célja egyrészt a létfontosságú rendszerelemek azonosítása, másrészt a kijelölés megtörténte után a megfelelő szintű - humán, fizikai és informatikai - védelem biztosítása.

A törvény az alapvető fogalmak meghatározásán túl – többek között – rendelkezik a nemzeti és az európai létfontosságú rendszerelemek kijelöléséről, az üzemeltetői biztonsági terv-készítési kötelezettségről, a biztonsági összekötő személy kijelöléséről, a nyilvántartás és ellenőrzés szabályairól, a szankcionálásról.

A végrehajtási rendelet értelmében felhatalmazást kap a Kormány, hogy rendeletben jelölje ki a kijelölő hatóságokat, a helyszíni ellenőrzést lefolytató szervet, az ellenőrzés koordináló szervet, határozza meg az ágazati és horizontális kritériumokat. Ezen szabályzók az energia, a víz, az agrárgazdaság, a közbiztonság-védelem (rendvédelem és honvédelem), az egészségügy, pénzügy ágazatokban már hatályosak.

A létfontosságú rendszer elemek azonosítási és kijelölési szabályait tartalmazó ágazati jogszabályok hatálybalépésétől kezdve 180 nap áll rendelkezésre az üzemeltetőknek az azonosítási jelentéseik elkészítésére, melyeket az ágazati kijelölő hatóságok az ágazati kritériumok alapján, míg a katasztrófavédelem a horizontális kritériumok alapján vizsgálnak. A BM OKF kijelölő hatóságként az 512/2013. Korm. rendelet szerinti illetékességgel rendelkezik.

A létfontosságú rendszerek és létesítmények beazonosítása eredményeképpen kialakul a rendszereknek (és rendszer elemeknek) az a köre, melyek hálózatbiztonságát a katasztrófavédelem hivatott felügyelni, ugyanis a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságról értelmében a hivatásos katasztrófavédelmi szerv központi szerve feladatkörébe helyezte a létfontosságú rendszerelemek védelmével kapcsolatos hálózatbiztonsági intézkedések koordinációját, a hálózatbiztonság fenntartásának elősegítését, és a hálózatbiztonsággal kapcsolatos események elemzését, értékelését. Ezen feladatokat erősítette a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet, valamint az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII.13.) Korm. rendelet hatálybalépése is.

Fenti feladatok ellátására a BM OKF megtette az első lépéseket. 2013. március 19-én átadásra került és megkezdte működését az Országos Iparbiztonsági Főfelügyelőség keretein belül a Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja (LRLIBEK), 2015. év végéig elsősorban iparbiztonsági események kezelésével, gyakorlatok, ellenőrzési akciók koordinálásával. 2016. évtől a BM OKF látja el a nem állami és önkormányzati létfontosságú rendszerek és létesítmények hálózatbiztonsági tevékenységet. Az LRLIBEK a magyar és nemzetközi hálózatbiztonsági szervezetektől a Kormányzati Eseménykezelő Központon keresztül kapott riasztások kezelésére – a nemzeti létfontosságú rendszerek és létesítmények érintettsége esetén – számítástechnikai sürgősségi reagáló egységként működik folyamatos rendelkezésre állással.

Az elmúlt években nagy hangsúlyt fektettünk a nemzetközi szakmai tevékenység előmozdítására. Számos kritikus infrastruktúra védelmi szakmai találkozókon képviseltettük magunk, ahol lehetőség nyílt a tapasztalatok, a legjobb gyakorlatok megosztására. A társszervekkel és tudományos testületekkel kiváló az együttműködést alakítottunk ki, melynek köszönhetően hatékonyabban előmozdítható a szabályozás megvalósítása.

A katasztrófavédelem szervei az uniós és a nemzeti azonosítási, kijelölési eljárás során szakhatóságként, nyilvántartó hatóságként, javaslattevő hatóságként, meghatározott monitoring, ellenőrzési, koordinatív, nemzeti kapcsolattartó és hálózatbiztonsági elemző-értékelő feladatokat látnak el.