Kritikus infrastruktúra üzemeltetés a jövőben - törvénytől a megoldásig ELEMZÉS

Átírás

1 Kritikus infrastruktúra üzemeltetés a jövőben - törvénytől a megoldásig ELEMZÉS Terjedelem: 16 old. Készítette: Bocsok Viktor dr. Borbély Zsuzsa

2 Bevezetés A kritikus infrastruktúrákkal összefüggő védelmi-koncepcionális, illetve jogi gondolkodás több mint egy évtizedes múltra tekint vissza. A viszonylag hosszú idő ellenére mindezidáig alapvetően terminológiai viták folytak, kézzelfogható eredményként a közelmúltig, a kérdéskört szabályozó idő- és korszerű norma 1 megalkotásáig mindössze az egyes érintett ágazatok katalógusának kialakítása történt meg. A kritikus infrastruktúra, mint fogalom meghatározása jelenleg sem egységes, alapvetően olyan létesítményeket, szolgáltatásokat, információs rendszereket és azok részegységeit (rendszerelemeit) értjük alatta, amelyek létfontosságúak az alapvető szolgáltatások folyamatos biztosításához, a társadalmi feladatok ellátásához, és amelyek megsemmisülése vagy működésének megzavarása, korlátozása, a területi és időbeli kiterjedtség, illetve az esetleges átgyűrűző hatás ( dominó-effektus ) 2 folytán jelentős hátrányt okozna az érintett ország működésében, lakosságának ellátásában. 3 A kritikus infrastruktúrák meghatározó tulajdonsága az interdependencia, az egymástól való kölcsönös függés; az összekapcsoltságból adódó leggyengébb láncszem és a rész-egész elvek 4 érvényesülése; a dominó hatás bekövetkezésének lehetősége; az informatikai vezéreltség; valamint az egyedi jellegű üzemeltetés. A fenti jellemzők, tulajdonságok is mutatják, hogy a kritikusság, mint tényező elsősorban az infrastruktúra potenciális kiesésének hatásában jelenik meg. Nem minden esetben a rendszer maga kritikus, hanem az, ha az adott rendszer meghibásodása a kapcsolódó rendszerek működését akadályozza, vagy lehetetleníti el, és a kiesés hatásának térbeli és időbeli kiterjedése folytán a lakosság ellátásában, a gazdaság vagy a kormányzat működésében zavarok lépnek fel. 1 A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló évi CLXVI. törvény 2 A dominó, vagy átgyűrűző hatás alapján egy adott rendszerelemet érintő esemény rendszerkapcsolatokon keresztül történő potenciális átterjedése megnöveli más rendszerelemek kiesési valószínűségét, illetve kiesésének lehetőségét, illetve megsokszorozza a bekövetkező negatív hatásokat. 3 A kritikus infrastruktúrák fogalmára számos megfogalmazás lelhető fel a szakirodalomban, illetve az irányadó jogi dokumentumokban. Az új katasztrófavédelmi törvény végrehajtási rendelete (234/2011. (XI. 10.) Korm. rendelet) az értelmező rendelkezések körében az alábbi fogalmi meghatározást adja: Kritikus infrastruktúra: Magyarországon található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, valamint amelyek megzavarása vagy megsemmisítése, e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna. E helyütt az infrastruktúrák legjellemzőbb jegyeinek kiemelésével adunk egy általános jellegű meghatározást. 4 A leggyengébb láncszem terminológia kiindulási alapja, hogy egy adott rendszer biztonságának szintjét a legalacsonyabb védelmi küszöbbel rendelkező elemének biztonsága határozza meg. A rész-egész elv értelmében az adott kritikus infrastruktúra önmagában és egy rendszer részeként is értelmezett, de önmagában is megfelelő védelmi képességgel kell rendelkezzen.

3 A fentiekből is látszik, hogy a kritikus infrastruktúrák védelme a biztonság kérdésének komplex megközelítését, az érintett létesítmények, intézmények és szervezetek szoros együttműködését, illetve az infrastruktúrák védelméért felelős vezetők, munkatársak különleges felkészítését igényli. A KÜRT Zrt. fő profilja az információbiztonság, így jelen elemzésünkben az irányadó új jogszabály rendelkezéseinek áttekintése mellett elsősorban a kritikus infrastruktúrák működési hátterét biztosító kritikus információs infrastruktúrákra fókuszálunk. Ezen infrastruktúrák, infokommunikációs rendszerek önmagukban is kritikus infrastruktúra elemek, vagy alapvető fontosságúak egy adott kritikus infrastruktúra működése szempontjából. 5 A kritikus infrastruktúrák számos fenyegetésnek vannak kitéve, ezek jellemzően a: természeti csapások/civilizációs ártalmak; üzemeltetési és technológiai, tervezési-konstrukciós hibák; műszaki-technikai zavarok; emberi mulasztások; terrorizmus; ipari/gazdasági kémkedés; szabotázs. 6 A kritikus információs infrastruktúrák a fentiek mellett további sajátos, eltérő indíttatású, de hasonló károkozásra képes, jellemzően aszimmetrikus 7 fenyegetésnek vannak kitéve, ezek jellemzően a: kiberbűnözés beleértve a vírusok, malware-k terjedését is; kiberterrorizmus; hacktivista mozgalmak; programozási/paraméterezési és üzemeltetési hibák. 8 Az tényként állapítható meg, hogy a kritikus információs infrastruktúrák, illetve azok üzemeltetői legyenek akár állami, akár gazdasági szereplők nem immunisak a technológiai és üzemeltetési hibákkal, illetve a külső-, vagy belső irányból érkező támadásokkal szemben. Az IT rendszereket érő, jól pozícionált támadások, civilizációs eredetű technológiai veszélyek, 9 azaz az emberi tevékenységgel összefüggésben helytelen beavatkozás; mulasztás; figyelmetlenség; vagy technikai, konstrukciós hibák 5 Az informatikai rendszerek jelentőségét ma már nem lehet lebecsülni, szinte elképzelhetetlen olyan ellátórendszer, vagy iparág, melynek folyamatai mögött ne számítógépek, hálózatok, vagy informatikailag kezelt adattárak állnának. 6 A közelmúlt számos példával szolgál a kitettségekre, gondoljunk csak a Sandy hurrikán által végzett pusztításra, annak közlekedési, energiaellátó-infrastruktúrákra gyakorolt hatására; a veszélyes ipari üzemek és létesítmények szabályozásának Bhopal-tól Seveso-ig terjedő fejlődéstörténetére; a New Yorkot, Londont, vagy épp Madrid infrastruktúráit ért terror-támadásokra. 7 Az aszimmetria e körben az infrastruktúrák támadásához, veszélyeztetéséhez szükséges erőforrások védelmi igényekkel szembeni aránytalanságára utal. 8 Az informatikai (kiber-) fenyegetések eklatáns példája a Duqu, Stuxnet, illetve Flame malware-k megjelenése; illetve az Anonymous mozgalom működése. 9 A Kritikus Infrastruktúra Védelem Nemzeti Programjáról szóló 2080/2008. (VI. 30.) Korm. határozat 1. sz. mellékleteként kiadott Zöld könyv megfogalmazásában e körbe tartoznak pl.: a számítógépes programozási, illetve tervezési-konstrukciós hibák, az ipari létesítményekben bekövetkező balesetek, műszaki-technikai zavarok. KÜRT Zrt. 3/16

4 hatásával összefüggő fenyegetések jelentős károkat eredményezhetnek, negatívan befolyásolhatják az üzem- és termelés folytonosságot, a hatékony vállalati működést, és az infrastruktúrák összekapcsolódásából eredő átgyűrűző hatások folytán ágazati szintű kitettséget jelenthetnek. Az irányadó szabályozás fejlődésének rövid áttekintése Európai Unió október 20-án az Európai Bizottság az Európai Tanács kritikus infrastruktúrák védelmét célzó átfogó stratégia elkészítésére irányuló felhívására közleményt fogadott el A létfontosságú infrastruktúrák védelme a terrorizmus elleni küzdelemben címmel, amelyben arra tett javaslatokat, hogy hogyan lehetne a megelőzés, felkészültség és reagáló képesség európai dimenzióját javítani a kritikus infrastruktúrákat érintő terrortámadások esetén. 10 A közlemény alapján a Bizottság konzultációt kezdeményezett a tagállamokkal, érintett üzemeltetőkkel, majd felismerve annak szükségességét, hogy Európában növelni kell a kritikus infrastruktúrák védelmét szolgáló kapacitásokat, valamint segíteni kell a kritikus infrastruktúrákkal kapcsolatos sebezhetőségek csökkentését, Zöld könyvet 11 tartalmát tekintve szabályozási, eljárásrendi ajánlást adott ki a létfontosságú infrastruktúrák védelmének európai programjáról. A Zöld könyv célja az európai kritikus infrastruktúrák védelmét biztosító, lehetséges megoldások összegyűjtése volt. Újításának tekinthető a kockázati tényezők körének bővítése, a korábbi terrorizmus központú megközelítés kiterjesztése (ún. összveszély-megközelítés). A dokumentum a kormányzati beavatkozás szubszidiaritásának, arányosságának és a kiegészítő jellegének fontosságát, valamint a gazdasági szereplőkkel, kritikus infrastruktúra üzemeltetőkkel folytatott párbeszéd jelentőségét hangsúlyozta. Az EU Zöld könyve határidőt szabott a tagállamoknak a területtel kapcsolatos jogalkotási, szervezési folyamatok felgyorsítására. A Tanács 2008-ban továbblépett, irányelvben 12 határozva meg az európai kritikus infrastruktúrák azonosításának és kijelölésének követendő eljárásrendjét. Az irányelv fő célkitűzéseit a megelőzés, a felkészülés és az ellenálló képesség kialakítása képezik, fókuszában az energetikai és közlekedési szektor áll (a norma kritikus infrastruktúra ágazatokról beszél). Megállapítása szerint a védelem elsődleges és végső felelőssége az érintett tagállamokat és az infrastruktúrák tulajdonosait/üzemeltetőit terheli. Tekintettel arra, hogy a magánszektor igen jelentős mértékben vesz részt a kockázatok figyelemmel kísérésében és kezelésében, a működés-folytonosság tervezésében és a katasztrófa utáni helyreállításban, a dokumentum a magánszektor bevonásának szükségességét hangsúlyozza. Az irányelv az európai kritikus infrastruktúrák védelme érdekében üzemeltetői biztonsági terv készítését, illetve biztonsági összekötő tisztségviselő kijelölését, vagy ezekkel egyenértékű intézkedések bevezetését írja elő. 13 Rögzíti továbbá, hogy azon szereplők, akik rendelkeznek már hasonló funkcionalitással, illetve tartalommal bíró biztonsági tervvel, ennek kiegészítésével is eleget tehessenek az üzemeltetői biztonsági terv készítésére vonatkozó követelménynek. A norma aláhúzza az információbiztonság, illetve titokvédelem fontosságát, előírva, hogy az európai kritikus infrastruktúrákkal kapcsolatos információcserének a bizalmon és a biztonságon kell alapulnia. Megállapítása szerint az információcsere olyan bizalmi viszonyt követel, 10 Ld.: 2008/114/EK tanácsi irányelv preambuluma 11 Az Európai Bizottság által kiadott Zöld Könyv a Kritikus Infrastruktúra Védelmére Irányuló Európai Programról (COM(2005) 576 final) /114/EK tanácsi irányelv az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről 13 A norma szerint a biztonsági terv magában kell foglalja a jelentős eszközök meghatározását, a kockázatértékelést, valamint az ellenintézkedések és eljárások meghatározását, kiválasztását és rangsorolását. KÜRT Zrt. 4/16

5 amelyben a vállalatok és szervezetek tudják, hogy érzékeny és bizalmas adataik megfelelő védelmet kapnak. Magyarország Hazánk az EU szabályozási törekvéseivel összhangban, időben kezdte meg a kritikus infrastruktúra védelem jogi kereteinek kidolgozását ben megszületett a magyar Zöld könyv, mely már érvényesítette a kritikus infrastruktúrák ágazati szintű besorolását. A Zöld könyv megállapítása szerint: az infrastruktúrák folyamatos működése, kockázati tényezőkkel szembeni ellenálló képességének növelése a lakosság, az infrastruktúra tulajdonosok, üzemeltetők, valamint a gazdaság szereplői és az állam számára egyaránt kiemelt fontossággal bír, a biztonságos működést elősegítő környezet és intézkedések ezért értéket képviselnek. 14 A fenti gondolat mutatja a Zöld könyv európai mintához igazodó alapvető megközelítését, miszerint az üzemeltetők érdekeiket és felelősségüket felismerve, önként és összefogva vezetnek be intézkedéseket a kritikus infrastruktúrák védelme érdekében, az állami szerepvállalás csak másodlagos, kiegészítő (szubszidiárius) jellegű kell legyen. A tapasztalatok azonban azt mutatták, hogy a gazdasági szereplők igénylik az állam tevékeny szerepvállalását, így a következő évben megjelent a 2008/114/EK irányelvnek való megfelelés érdekében kiadott, a Kritikus Infrastruktúra Védelem Nemzeti Programjáról szóló 2080/2008. (VI. 30.) Korm. határozat. A határozat jogszabályi formába ültette át a Zöld könyvet, így megindulhatott a párbeszéd a potenciális üzemeltetők, kritikus infrastruktúra tulajdonosok és az érintett hatóságok között, megkezdődhettek az ágazati konzultációk. A következő lépés a 1249/2010. (XI.19.) Korm. határozat 15 kiadása volt, mely az irányadó EU irányelv implementációja érdekében végrehajtandó kormányzati feladatok katalógusát adta meg, valódi előrelépést azonban az új katasztrófavédelmi norma, a katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló évi CXXVIII. törvény és végrehajtási rendelete, a 234/2011 (XI. 10.) Korm. rendelet kiadása jelentett. A jogszabály a BM Országos Katasztrófavédelmi Főigazgatóság (a továbbiakban: OKF) szervezetén belül egy integrált, a súlyos balesetek elleni védekezésért, a veszélyes-áru szállítás felügyeletéért és a kritikus infrastruktúrák védelméért egyaránt felelős szervezeti egységet, az iparbiztonsági főfelügyelőséget hozta létre. A főfelügyelőség egyik kiemelt feladata a potenciális kritikus infrastruktúrák, illetve a szakterminológiával élve a kritikus infrastruktúra elemek beazonosítása és hatósági felügyelet alatt tartása lett. Az új norma Az Országgyűlés november 12-én fogadta el a Belügyminisztérium által beterjesztett (a BM OKF által készített), a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló évi CLXVI. számú törvényt. A keretjellegű norma melyet a jelenleg még nem ismert szövegezésű végrehajtási rendeletek, ágazati szabályozók töltenek majd meg lényegi tartalommal az 2008/114/EK tanácsi irányelvvel 14 Ld.: 2080/2008. (VI. 30.) Korm. határozat 1. számú melléklet 3.1. pontja (a nemzeti kritikus infrastruktúrák védelmének célja és alkalmazási köre) /2010. (XI. 19.) Kormány határozat az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, december 8-i 2008/114/EK tanácsi irányelvnek való megfelelés érdekében végrehajtandó kormányzati feladatokról KÜRT Zrt. 5/16

6 összhangban ágazatokba sorolja a kritikus infrastruktúrákat (a törvény szóhasználatában létfontosságú rendszerelemeket). A jogszabály az alábbi tíz ágazatba és a megjelölt alágazatokba sorolja a kritikus infrastruktúrákat: 16 Ágazat Alágazat I. Energia villamosenergia-rendszer létesítményei (kivéve az atomerőmű nukleáris biztonságára és sugárvédelmére, fizikai védelmére, valamint biztosítéki felügyeletére vonatkozó szabályozás hatálya alá tartozó rendszerek és rendszerelemek) II. Közlekedés III. Agrárgazdaság IV. Egészségügy kőolaj-kitermelés, finomítás, tárolás, szállítás és elosztás földgáz-kitermelés, tárolás, szállítás és rendszerirányítás, elosztás közúti közlekedés vasúti közlekedés légi közlekedés vízi közlekedés logisztikai központok mezőgazdaság élelmiszeripar elosztó hálózatok aktív fekvőbeteg-ellátás mentésirányítás egészségügyi tartalékok és vérkészletek magas biztonsági szintű biológiai laboratóriumok egészségbiztosítás informatikai rendszere V. Pénzügy pénzügyi eszközök kereskedelmi, fizetési, valamint klíring- és elszámolási infrastruktúrái és rendszerei VI. Ipar VII. Infokommunikációs technológiák VIII. Víz IX. Jogrend Kormányzat bank- és hitelintézeti biztonság készpénzellátás veszélyes anyagok előállítása, tárolása és feldolgozása veszélyes hulladékok kezelése és tárolása (kivéve radioaktív hulladékok) hadiipari termelés oltóanyag- és gyógyszergyártás információs rendszerek és hálózatok eszköz-, automatikai és ellenőrzési rendszerek internet-infrastruktúra és hozzáférés vezetékes és mobil távközlési szolgáltatások rádiós távközlés és navigáció műholdas távközlés és navigáció műsorszórás postai szolgáltatások kormányzati informatikai, elektronikus hálózatok ivóvíz-szolgáltatás felszíni és felszín alatti vizek minőségének ellenőrzése szennyvízelvezetés és tisztítás vízbázisok védelme árvízi védművek, gátak kormányzati rendszerek, létesítmények, eszközök közigazgatási szolgáltatások igazságszolgáltatás X. Közbiztonság Védelem rendvédelmi szervek infrastruktúrái honvédelmi rendszerek és létesítmények A korábbi koncepciókkal ellentétben (az ágazati konzultációk keretében történő önkéntes infrastruktúra megjelölés), éppen azok eredménytelensége okán, a norma már azonosítási és 16 Forrás: évi CLXVI. sz. törvény mellékletei KÜRT Zrt. 6/16

7 kijelölési eljárásról beszél, melyhez rendszeres hatósági ellenőrzési feladatokat (illetve potenciális bírságolási lehetőséget) társít. Hasonló megoldást az ún. veszélyes ipari üzemek és létesítmények vonatkozásában már ismer a magyar joggyakorlat 17, e körben az érintett létesítmények vagy önmagukat sorolják be, vagy az OKF kijelölési eljárás keretében veszélyes üzemként azonosítja őket, egyben kötelező az elégséges védelmi szint 18 eléréséhez szükséges biztonsági intézkedések bevezetését írja elő. A törvény a mellékleteiben felsorolt egyes ágazatok vonatkozásában felosztja a hatásköröket az adott ágazat felügyeletét gyakorló hatságok között, általános és univerzális hatáskörrel rendelkező ellenőrző szervezetként jelöli meg ugyanakkor a lakosságvédelem központi szervét, az OKF-et. Az egyes ágazatok tekintetében eljáró kijelölő hatóságok a védelem érdekében az érintett infrastruktúrák, rendszerelemek egyedi sajátosságaihoz, környezetéhez, a rendszerelem kiesése által potenciálisan előidézhető veszély mértékéhez igazodó feltételeket írhatnak elő. Az üzemeltető a kijelölést követően, a határozatban előírt határidőben elkészítendő üzemeltetői biztonsági tervében szerepeltetni köteles a kritikus infrastruktúra elem védelmét biztosító szervezeti és eszközrendszert, a szükséges biztonsági intézkedéseket, megoldásokat. A szükséges védelmi intézkedések bevezetésének és folyamatos működtetésének költségei az üzemeltetőt terhelik. A tervezett szabályozás kiemelt eleme az információs infrastruktúrák védelme. A norma kiterjeszti az OKF jogosultságait, a szervezet ellenőrzési feladatai keretében koordinálja a kritikus infrastruktúra védelemmel kapcsolatos hálózatbiztonsági intézkedéseket, a hálózatbiztonsággal kapcsolatos események elemzését, értékelését is. A norma másik sarkalatos eleme a titokvédelem, információbiztonság. A hatósági feladatellátásban résztvevő személyi kör tekintetében alapkövetelmény a nemzetbiztonsági ellenőrzöttség, a kockázati tényezőt nem tartalmazó (kockázatmentes minősítésű) szakvélemény megléte. Ez annyiban érinti a létfontosságú rendszerelemek üzemeltetőit, hogy a hatósági elvárás-rendszernek való eredményes megfelelés bár a normaszöveg csak a büntetlen előéletet határozza meg a biztonsági összekötő személlyel szembeni követelményként célszerűvé teszi, ha a kritikus infrastruktúra védelemmel foglalkozó munkatársak is átestek nemzetbiztonsági ellenőrzésen, vagy olyan szakértő vállalkozás végzi e tevékenységet, mely szerepel az Alkotmányvédelmi Hivatal által vezetett irányadó jegyzéken, 19 és/vagy érvényes telephely biztonsági tanúsítvánnyal 20 rendelkezik egyéb tanúsításai mellett. A hatósági megfelelés mellett ez saját védelmünk érdekében is fontos, nem mindegy, hogy a gazdasági tevékenységünk szempontjából fontos, érzékeny adatainkat, naplóállományainkat kire bízzuk. Az Uniós irányelvvel összhangban az energetikai ágazat tekintetében már maga a jogszabály is megállapít részletszabályokat, ezen ágazat, illetve a közlekedési szektor vonatkozásában a szabályozás a törvény kihirdetését követő negyedik hónap első napján, március 01-én lép hatályba. Az energetikai létesítmények esetében a norma a létesítmény alkotóelemének tekinti a technológiai hírközlési és informatikai rendszereket is. A jogszabály a további ágazatok tekintetében lépcsőzetesen tervezik hatályba léptetni (a táblázatban, illetve az új törvény 2. számú mellékletében 17 Ld.: évi CXXVIII. törvény IV. fejezete 18 A már hivatkozott 234/2011. (XI. 10.) Korm. rendelet megfogalmazásában, elégséges védelmi szint: azon tervezési, szervezési, irányítási és beavatkozási tevékenység eredménye, amellyel a veszélyeztetettség mértékének függvényében az élet és a létfenntartáshoz szükséges anyagi javak védelme biztosítható. 19 A kérdéskörrel összefüggésben ld.: a minősített adatot, az ország alapvető biztonsági, nemzetbiztonsági érdekeit érintő vagy a különleges biztonsági intézkedést igénylő beszerzések sajátos szabályairól szóló 218/2011. (X. 19.) Korm. rendelet rendelkezéseit. 20 Ld.: 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól KÜRT Zrt. 7/16

8 szereplő, III VI. ágazatok tekintetében július 01-én, míg a további ágazatok tekintetében január 01-én). A jogszabály deklarált célja 21, hogy az üzemeltetők az üzemeltetői felelősség elvének megfelelően nagyobb figyelmet fordítsanak a biztonságos működésre és a külső veszélyekre a kritikus infrastruktúra védelem általános célkitűzéseinek érvényesítése érdekében. Ezek az általános célkitűzések a következők: megelőzés és védelem (a kockázatok elfogadható legkisebb mértékűre csökkentése); felkészülés és jelzés; illetve az üzemfolytonosság és az ellenálló képesség fejlesztése útján a kockázati tényezők tudatos felmérése és azonosítása, valamint a sebezhető pontok csökkentése. A szabályozás alapgondolata megfelel a hazai és uniós előzményeknek, melyeknek lényege a korábban kifejtett rész-egész elv érvényesítése, a leggyengébb láncszem-effektus, a megelőzés központúság és az üzemeltetői felelősség. Villantsunk fel néhány részletszabályt! Mi a kritikus infrastruktúra védelem? A kritikus infrastruktúrák, vagy létfontosságú rendszerelemek védelme az adott infrastruktúra, illetve rendszerelem funkciójának; folyamatos működésének; és sértetlenségének biztosítását célzó, a fenyegetettség; a kockázat; illetve a sebezhetőség enyhítésére, semlegesítésére irányuló tevékenység. Mi minősül kritikus infrastruktúrának? A norma a már említett hatás alapú megközelítést alkalmazza, hatálya a részben később kidolgozandó speciális jogszabályokban meghatározásra kerülő ágazati és horizontális kritériumoknak megfelelő rendszerekre és létesítményekre terjed ki. A kritériumok mindazon szempontok, az ezekhez tartozó küszöbértékek; műszaki vagy funkcionális tulajdonságok 21 Ld.: a T/8481. számú törvénytervezet általános indokolását KÜRT Zrt. 8/16

9 melyek a létesítmény, rendszer, vagy annak valamely eleme (akár egy eszköz) működésének megzavarása, megsemmisítése (kiesése) esetén bekövetkező hatásukat tekintve érdemben befolyásolja egy ágazat (ágazati kritérium); vagy több ágazat (horizontális kritérium) működését, ezáltal jelentős társadalmi-gazdasági, egészségügyi-természeti és civilizációs hatásokat vált ki. Tartozhat-e kritikus infrastruktúra a vállalatunk érdekkörébe? A válasz igen ha: a norma mellékletében foglalt ágazatok valamelyikébe sorolható tevékenységünk, az annak folytatásához használt valamely eszköz és az adott ágazatra irányadó rendeletben megfogalmazott kritériumok vonatkoznak ránk; működésünk, tevékenységünk elengedhetetlen, kiemelten fontos társadalmi feladatok ellátáshoz (pl. egészségügy, lakosság személy- és vagyonbiztonsága, gazdasági és szociális közszolgáltatások biztosítása) szükséges; és az érdekkörünkbe tartozó, üzemeltetésünk alatt álló (tulajdonunkba, engedélyesi körünkbe, rendelkezési jogosultságunk alá, vagy napi működése tekintetében felelősségi körünkbe tartozó) infrastruktúra, vagy rendszerelem kiesése ezen feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna, akkor is, ha a kiesés az átgyűrűző hatás miatt eredményezi ezt a következményt. További feltétel, hogy: magunkat kritikus infrastruktúraként azonosítsuk, és kijelölésünket azonosítási jelentés benyújtásával kezdeményezzük; vagy az illetékes hatóság azonosítson, azonosítási jelentés bekérésével kezdeményezze kijelölésünket; ha európai kritikus infrastruktúrák vagyunk (a birtokunkban lévő létfontosságú rendszerelem kiesése legalább két tagállamot jelentősen érintene), valamely EGT állam kezdeményezze kijelölésünket; és ennek alapján az ágazati kijelölő hatóság közigazgatási eljárás keretében, hatósági határozatban jelöljön ki minket. Mit tartalmaz a kijelölő határozat? A határozat a kijelölés tényét, az érintett rendszerelem megjelölését; az üzemeltetői biztonsági terv kidolgozására vonatkozó kötelezést, az elkészítésre nyitva álló határidőt; továbbá a rendszerelem egyedi sajátosságaihoz, környezetéhez, a rendszerelem kiesése által potenciálisan előidézhető veszély mértékéhez igazodó további feltételeket rögzíti. KÜRT Zrt. 9/16

10 Mi a feladatunk, ha létfontosságú rendszerelem birtokosai vagyunk? Először is önként, vagy a hatóság felhívására azonosítási jelentést kell benyújtanunk, melyben nyilatkozunk arról, hogy tartozik-e érdekkörünkbe kritikus infrastruktúra elem (nemleges nyilatkozatot is tehetünk, ezt azonban a kijelölő hatóság nem köteles elfogadni, ez esetben az azonosítási jelentés ismételt benyújtását kérheti); 22 ha az azonosítási jelentés alapján kijelölésre kerültünk, el kell készítsük a hatósági határozatban foglalt tartalmi és formai követelményeknek megfelelő üzemeltetői biztonsági tervünket; ha alsó- vagy felső küszöbértékű veszélyes üzem, vagy ipari létesítmény az érintett kritikus infrastruktúra elem, esetlegesen más okból kifolyólag a kijelöléskor rendelkezik olyan dokumentummal, mely az üzemeltetői biztonsági terv előírt tartalmi elemeit magában foglalja, és a kijelölő hatóság határozat formájában így rendelkezik, a fenti kötelezettségnek új terv készítése nélkül is megfelelhetünk; a biztonsági tervet meg kell küldjük a kijelölő hatóságnak és az OKF-nek; szükség szerint végre kell hajtanunk a biztonsági terv módosítását; az üzemeltetői biztonsági tervben meghatározott, bekövetkezett rendkívüli eseményekről haladéktalanul tájékoztatni kell az OKF területi szervének ügyeleti szolgálatát; a hatóságokkal való kapcsolattartás érdekében biztonsági összekötő személyt kell foglalkoztatni a norma ugyanakkor azt nem írja elő, hogy a foglalkoztatásnak munkaviszony keretében kell történnie; viselnünk kell az üzemeltetői biztonsági terv elkészítésének és módosításának, a biztonsági összekötő személy foglalkoztatásának, illetve a tervben foglalt védelmi eszközrendszernek a költségeit. Mit tartalmazzon az üzemeltetői biztonsági terv? Az üzemeltetői biztonsági tervben meg kell jelölni: a létfontosságú rendszerelemet és azt a szervezeti és eszközrendszert, amely biztosítja azok védelmét; mindazon biztonsági intézkedéseket, amelyek kialakítása és működtetése biztosítja a rendszerelem védelmét; azon ideiglenes intézkedéseket, követendő eljárásrendet, melyeket a különböző kockázati és veszélyszinteknek megfelelően foganatosítani kell; a rendszerelem védelmét szolgáló meglévő, vagy kialakítás alatt álló biztonsági megoldásokkal kapcsolatos eljárást. 22 Ha energetikai vállalat vagyunk, azonosítási jelentésünknek a jogszabály 10. és 11 aiban foglalt infrastruktúra elemeket, köztük a technológiai hírközlési és informatikai rendszert is át kell fognia. KÜRT Zrt. 10/16

11 Mit tehet a hatóság? Az új norma kerüli a finomkodást, a hatóságok lakosság- és gazdaságvédelmi feladataik teljesítése érdekében kötelezéseket írhatnak elő; felszólíthatnak a kötelezések betartására; azok teljesítését ellenőrizhetik; kikényszeríthetik, 23 és bírságokat szabhatnak ki. Az OKF az ellenőrzést koordináló, központi adatkezelő szerv. Önállóan is jogosult rendszeres ellenőrzések folytatására, továbbá más hatóságok ellenőrzését, illetve együttes ellenőrzések foganatosítását kezdeményezheti. Az OKF legalább kétévente helyszíni ellenőrzést tart. A katasztrófavédelem új elemként az informatikai, hálózatbiztonsági intézkedések megfelelőségét is vizsgálhatja, jogosult a hálózatbiztonsággal kapcsolatos események elemzésére, értékelésére! Az eljárási részletszabályokat a még nem ismert tartalmú végrehajtási rendeletek tartalmazzák. Vitatható-e a kijelölő hatóság határozata? A norma erre vonatkozó direkt rendelkezést nem tartalmaz, de az energetikai ágazatra irányadó részletszabályok körében úgy rendelkezik, hogy az azonosítási jelentésben függetlenül annak kezdeményezőjétől lehetőség van arra, hogy egyetlen infrastruktúra elemet se azonosítsunk létfontosságú rendszerelemként. Ezt a hatóság vagy elfogadja, vagy új azonosítási jelentés benyújtását írja elő. Lehetőség van továbbá a kijelölés visszavonásának kezdeményezésére. A kijelölést a hatóság saját hatáskörben is visszavonhatja. A törvény a kijelölő és ellenőrző hatóságok tevékenysége kapcsán közigazgatási hatósági eljárást említ, mely alapján a hatóság eljárásának hátterét a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló évi CXL. törvény adja meg. A hatóság eljárásával szembeni jogorvoslati lehetőségeket ideértve a közigazgatási határozatok bírósági felülvizsgálatának lehetőségét is e norma rögzíti. 24 Hogyan tekint az OKF a kritikus infrastruktúra védelemre? Az OKF megfogalmazása szerint: a létfontosságú infrastruktúrákkal kapcsolatos védelmi tevékenység eleve több elemből álló össz-nemzeti feladat kell, legyen. Végrehajtásához magas szinten koordinált, jó kommunikációs rendszerrel rendelkező, szakképzett struktúra kialakítása szükséges, amelynek normálidőszaki és válsághelyzetbeli működését is mindenre kiterjedő jogszabályi háttér és megfelelő eszközrendszer biztosíthatja. Az eredményesség kulcsfeltétele az érintett védelmi igazgatási szervek közötti hiteles és titkos adatok szigorú keretek közötti megosztása, a hozzáférések minimalizálása, vagyis a titokvédelem és az informatikai védelem A bírság mellett alkalmazható lehetséges szankciók (így pl. a tevékenység folytatásának felfüggesztése, korlátozása, megtiltása, az eszköz hatósági zár alá vétele, létesítmény, telephely hatósági lezárása) vonatkozásában a évi CXXVIII. törvény 35. -a nyújthat eligazítást. 24 A bírósági igényérvényesítés szabályait (közigazgatási perek) a polgári perrendtartásról szóló évi III. törvény XX. fejezete tartalmazza. 25 Ld.: BM Országos Katasztrófavédelmi Főigazgatóság honlapja: ( ) KÜRT Zrt. 11/16

12 Milyen intézkedéseket tegyünk kritikus információs infrastruktúráink védelme érdekében? A megelőzés, a felkészülés és a katasztrófák utáni helyreállítás fontos üzemeltetői feladat. A vállalati informatikai rendszerekre vonatkozó üzletmenet-folytonossági (BCP), illetve katasztrófahelyreállítási (DRP) tervek megfelelő alapját képezhetik az IT rendszerekre vonatkozó (hálózatbiztonság) üzemeltetői biztonsági tervnek. Ez vélhetően még akkor is igaz, ha a kritikus infrastruktúra védelemmel összefüggő hálózatbiztonsági intézkedésekkel kapcsolatos részletszabályokat a törvény egyik végrehajtási rendelete később határozza meg. A hatósági kötelezéseknek, követelményeknek, a hálózatbiztonsággal szemben támasztott, jogszabályban, illetve hatósági határozatban rögzített elvárásoknak való megfelelést jól szolgálhatja: az IT rendszerekben nagy mennyiségben keletkező naplóállományok megfelelő rögzítése és feldolgozása, a megfelelő log-elemző alkalmazás kiválasztása; a rendszerek sérülékenységének vizsgálata (legal hacking, penetrációs vizsgálatok); a rendszerek biztonsági szintjének növelését célzó, környezetfüggő konfigurációs változtatások végrehajtása (hardening); megfelelő biztonságú eszközök implementálása; végül, de nem utolsó sorban a megfelelő kockázat- és működésfolytonosság-menedzsment. Milyen előnyt szolgáltat a naplóállományok gyűjtése és elemzése? A kritikus információs infrastruktúra rendszerelemein nagy mennyiségben keletkező naplóállományok megfelelő rögzítése és feldolgozása lehetőséget biztosít az üzemeltetők számára az IT folyamatok figyelemmel kísérésére és a megfelelő helyen történő beavatkozásra, illetve visszatekintő jellegű elemzésekre ( forensic vizsgálatok vagy trend-analízis). Utólagos nyomelemzésre ( forensic logelemzés) valamilyen biztonsági esemény vagy támadás bekövetkezése esetén van szükség, annak érdekében, hogy a rendszert ért támadásokat kivizsgáljuk. Megfelelő eszköz erre a KÜRT Zrt. saját fejlesztésű szakértői logelemző szoftvere a LogDrill. A megfelelő paraméterezés mellett a LogDrill képes minden eseményt együtt elemezni. Az egyes problémakörökre riasztások állíthatók be, folyamatosan frissülő grafikonok tájékoztatják a felügyeletet ellátó szakembert a rendszer állapotáról, így azonnal felfedezhető a probléma is, sőt, a tendenciák értő szemmel való figyelésével meg is előzhetőek a meghibásodások és zavarok. Ha elegendő adat gyűlt össze, akkor az IT rendszer hosszú távú viselkedése láthatóvá válik, így felfedezhetőek a biztonsági rések, szűk keresztmetszetek, a gyakran elromló rendszerelemek, melyek ismeretében optimalizálni lehet a működést, meg lehet erősíteni a gyenge pontokat, ki lehet javítani a kedvezőtlen beállításokat (hardening). A LogDrill élenjáró technológiákat alkalmazó, kifinomult és egyszerűen kezelhető logelemző eszköz. Az adatbázis elméletek területén végzett kutatások legfrissebb eredményeit alkalmazza, így villámgyorsan és hatékonyan képes kezelni bármilyen méretű IT rendszerben keletkező nagyszámú naplóadatot. A LogDrill rendkívül gyors adatfeldolgozással, intuitív munkafolyamatokkal, sokrétű felhasználhatósággal segíti a logelemző szakértők napi munkáját. KÜRT Zrt. 12/16

13 A LogDrill jelentősen lecsökkenti az elemzendő adatok mennyiségét. Az eredeti logok közül figyelmen kívül hagyja a lényegtelen információkat, és biztosítja a naplóadatok hatékony és gyors kivonatolását. Az így létrejövő tömör adatstruktúra továbbra is tartalmazza a logelemző szakértő figyelmére érdemes összes lényeges információt. Ennek köszönhetően lehetséges a rendszerek hibáit és a biztonsági incidenseket jelző folyamatok időben történő feltárása. Mindez azt jelenti, hogy a vállalatok, szervezetek menedzsmentje azonnali válaszokat kaphat az informatikai rendszer működésével, rendelkezésre-állásával, az esetleges incidensek körülményeivel kapcsolatos kérdéseire, és a fellépő problémák előjelezhetők, illetve késedelem nélkül észlelhetők, orvosolhatók. Miért fontos a sérülékenység-vizsgálat? A sérülékenység-vizsgálat adja a kiinduló információt a kockázatok kezeléséhez, a védekezéshez. Rámutat a rendszer gyenge pontjaira, a biztonsági résekre, amelyeken keresztül rosszindulatú támadók könnyedén okozhatnak kárt a kritikus információs infrastruktúra elemein. A technológiai, szervezeti, strukturális változások, az emberi hanyagság, a szükséges rendszer frissítések bármelyikének elmaradása mind megváltoztatják a biztonság szintjét és folyamatosan új fenyegetéseket eredményeznek. A sérülékenység-vizsgálat (legal hacking) által feltárt biztonsági réseket meg kell szüntetni, végre kell hajtani a megfelelő konfigurációs változtatásokat (hardening). A sérülékenység-vizsgálat magában foglalja a külső, Internet felőli vizsgálatokat, a belső, hálózati vizsgálatokat, az on-line webes alkalmazások sérülékenységeinek vizsgálatát, az ún. social engineering -et, a felhasználók biztonságtudatosságának vizsgálatát. Mit mutat meg a kockázat- és működésfolytonosság-menedzsment? A létfontosságú rendszerelemek birtokosait a kockázatelemzés hozzásegíti annak felismeréséhez, mely tényezők veszélyeztetik az általuk üzemeltetett infrastruktúra elemeket, és ezen fenyegetések, kitettségek a kritikus információs infrastruktúra mely rendszerelemein hatnak. A kockázatelemzés láthatóvá teszi azt a hatásláncot, amely az egymáshoz kapcsolódó rendszerelemeken és az általuk támogatott üzleti folyamatokon végigfuthat egy fenyegetettség bekövetkezése estén. Felkészíti az üzemeltetőket a megfelelő megkerülő megoldások kiválasztására és alkalmazására, a fenyegetettség bekövetkezésétől a végleges helyreállításig, ezzel biztosítva a működés folytonosságát. A kockázatelemzés és működésfolytonosság tervezését és periodikus megújításának tevékenységét a SeCube információbiztonsági menedzsment rendszer foglalja keretbe. A SeCube jellemzői a következők: KÜRT Zrt. 13/16

14 magában hordozza a KÜRT több évtizedes szakmai tapasztalatán alapuló, nagyszámú projektben alkalmazott, sikeres módszertanát; tartalmazza a KÜRT projektjeiben (etikus hackelés, biztonsági átvilágítások stb.) feltárt fenyegetettség- és tapasztalati sérülékenységi mintákat; kapcsolódási pontok és szűk keresztmetszetek feltérképezését támogató automatizmusokat tartalmaz; áttekinthető struktúrába szervezi a támogató szervezeti egységek erőforrásait, szolgáltatásait és az üzleti egységek folyamatait; a kockázatok csökkentése érdekében korrektív kontrollt nyújtó intézkedési tervek készítését támogató algoritmusokat tartalmaz; nagy műveletszámot kezelő modellezési folyamatokat használ; a szervezet működési környezetébe illesztett menedzsment funkciókkal rendelkezik; egyszerű, ergonomikus feltöltési és elemzési módszert biztosít; hazai fejlesztésű termék, a legmagasabb szintű nemzetbiztonsági tanúsítással ( Szigorúan titkos! minősítésű telephely-biztonsági tanúsítvány) rendelkező KÜRT Zrt. igény szerint gyors reagálású támogatást, szoftverkövetést, karbantartást, oktatást, alkalmazás hoszting szolgáltatásokat biztosít; rugalmasan testre szabható keretrendszer, ezáltal alacsony szállítói függőség jellemzi. A SeCube áttekintő ábrája: KÜRT Zrt. 14/16

15 Milyen egyéb pozitív hozadéka van az elvégzett információbiztonsági vizsgálatoknak és tevékenységeknek? Az elemzés elején felvázolt fenyegetésekből adódó kockázatok csökkentése, illetve a jogszabályi megfelelés mellett a birtokunkban lévő létfontosságú infrastruktúrák védelme az alábbi vállalati célok elérését is elősegítheti: az állampolgárok rendelkezésére álló infrastruktúrák biztonságosabbá válnak, rendelkezésre állásuk nő, ami a szolgáltatási színvonal emelkedését is jelenti, erősíti a fogyasztói bizalmat, elégedettséget; a biztonsági költségek optimálisabb felhasználása, az informatikai és üzembiztonság egyidejű növelése, a sebezhető pontok számának csökkentése, az ellenálló képesség növelése, valóban használható megoldások implementálása; hatékony megelőzési módszerek bevezetése (a megelőzés olcsóbb, mint a kárelhárítás), esetlegesen szervezeti racionalizáció; a veszélyhelyzeti tervezők és beavatkozók, valamint a kritikus infrastruktúra tulajdonosok, üzemeltetők között hatékonyabb partneri, kölcsönös előnyökön alapuló együttműködés alakulhat ki. Felhasznált jogszabályok Az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló 2008/114/EK tanácsi irányelv Zöld Könyv a Kritikus Infrastruktúra Védelmére Irányuló Európai Programról (COM(2005) 576 final) A katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló évi CXXVIII. törvény évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 234/2011. (XI. 10.) Korm. rendelet a katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló évi CXXVIII. törvény végrehajtásáról A Kritikus Infrastruktúra Védelem Nemzeti Programjáról szóló 2080/2008. (VI. 30.) Korm. határozat 1249/2010. (XI. 19.) Korm. határozat az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, december 8-i 2008/114/EK tanácsi irányelvnek való megfelelés érdekében végrehajtandó kormányzati feladatokról KÜRT Zrt. 15/16

16 Copyright 2012 KÜRT Zrt. Minden jog fenntartva.