Autor fotografie: Pexels|Popisek: Ilustrační obrázek
Kritické infrastruktury jsou zranitelné jak vůči člověkem způsobeným, tak vůči přírodním katastrofám. Vzhledem k možným katastrofickým důsledkům těchto narušení je mimořádně důležité plánovat jejich ochranu.
Abstrakt
Článek je věnován plánování a organizaci ochrany kritické infrastruktury. Pojem kritická infrastruktura je poměrně mladý, protože byl rozšířen v 90. letech 20. století. V té době došlo v USA k mnoha vážným případům výpadku proudu, a proto způsobily milionům obyvatel mnoho potíží. Tyto akce jsou typické pro vyspělé vyspělé země s hustou energetickou sítí a nejsou zaměřeny pouze na USA, ale jsou zaměřeny i na další země.
Úvod
Kritická infrastruktura, jako jsou ropné rafinérie, jaderné elektrárny a přehrady, by se mohly stát cílem nepřátelských států, teroristů nebo zločinců za účelem narušení, špionáže a/nebo finančního zisku.
V červnu 2004 Evropská rada vyhodnotila nebezpečí pro hlavní systémy a instalace evropské bezpečnosti a nařídila přípravu obecné strategie pro bezpečnost evropské kritické infrastruktury. Výsledkem takových akcí byla vydaná oznámení, která se týkala návrhů zaměřených na zefektivnění systémů zabezpečení kritické infrastruktury při předcházení teroristickým útokům. V roce 2005 byla přijata takzvaná „zelená kniha“, která zahrnovala politické možnosti týkající se přípravy bezpečnostního programu a systém varující před nebezpečím pro systém kritické infrastruktury (dále jen KI).
Dalším krokem na cestě k minimalizaci nebezpečí pro kritickou infrastrukturu byl návrh Rady pro spravedlnost a vnitřní věci na vytvoření evropského programu ochrany kritické infrastruktury (ECRPP). Tento program měl pokrýt všechny druhy nebezpečí, tj. umělých, přírodních (způsobených přírodními silami) a technologických zaměřených hlavně na terorismus. V roce 2007 Evropská rada po konzultaci se současnými opatřeními uvedla, že hlavní odpovědnost za ochranu kritické infrastruktury nesou členské státy, vlastníci, provozovatelé a uživatelé. Důsledkem dalších akcí byla směrnice Evropské rady, která specifikuje pravidla pro uznávání a určování evropské kritické infrastruktury. Kvůli opatřením v roce 2007 zahájily členské státy akce, které souvisely se stanovením národních plánů ochrany kritické infrastruktury, který by měl vytvořit obecné rámce pro určování a ochranu vybraných systémů a objektů kritické infrastruktury.
Zásadním dokumentem, který byl již dříve připomenut, je směrnice Rady 2008/114/WE o identifikaci a označování evropských kritických infrastruktur a hodnocení potřeby zlepšit její ochranu. Rovněž uvádí, že na území Společenství existuje řada kritických infrastruktur, jejichž narušení nebo zničení by způsobilo přeshraniční škody. Týká se meziodvětví vyplývajících ze vzájemné závislosti propojených infrastruktur.
Co je to vlastně kritická infrastruktura?
Ministerstvo vnitra na svých webových stránkách (2021) uvádí, že Kritickou infrastrukturou (KI) se dle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon) rozumí prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, jehož narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Provozovatelem prvků KI jsou státní instituce nebo soukromé subjekty.
Do dnešního dne neexistuje jednotná mezinárodní koncepce kritické infrastruktury. Různé státy definují, co je kritická infrastruktura. Je třeba poznamenat, že i přes blízkost definic tohoto pojmu v právních předpisech různých zemí a mezinárodních organizací existují určité rozdíly, které zjevně odrážejí národní nebo organizační specifika použití tohoto pojmu.
Kritické infrastruktury jsou zranitelné jak vůči člověkem způsobeným, tak vůči přírodním katastrofám. Vzhledem k možným katastrofickým důsledkům těchto narušení je mimořádně důležité plánovat jejich ochranu. Zejména vzhledem k tomu, že většina takových systémů má geograficky rozptýlenou, ale úzce propojenou strukturu, je poměrně výhodné uvažovat o infrastrukturách z hlediska sítí, kde jsou subsystémy reprezentovány uzly, propojenými hranami, které modelují jejich vztah (např. připojení, tok nebo výměna zboží, kybernetická prostupnost atd.).
Podle čl. 2 Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování kritických evropských infrastruktur a o posouzení potřeby zvýšit jejich ochranu „kritickou infrastrukturou“ se rozumí aktivum, systém nebo jeho část, které se nachází v členských státech a které je zásadní pro zachování životně důležitých společenských funkcí, zdraví, bezpečnosti, ochrany, hospodářského nebo sociálního blahobytu lidí a jehož narušení nebo zničení by mělo v členském státě významný dopad na ty, které jsou v důsledku selhání funkcí zachovány. Tato směrnice rovněž obsahuje čtyřstupňové pokyny pro určení toho, co představuje kritickou infrastrukturu, jimiž by se měly členské státy řídit.
Ustanovení evropské směrnice způsobilo skutečnost, že v zákoně o řešení krizí byla přijata řada řešení soudržných s Radou. Byla v něm uvedena definice evropské kritické infrastruktury (dále jen ECI), pravidla pro vytváření jednotného seznamu objektů, instalací, zařízení a služeb, které jsou součástí kritické infrastruktury, které jsou dislokovány na území členských států a mají vliv na evropskou kritickou infrastrukturu, která se nachází na území členských států EU a také definuje požadavky na klasifikaci této infrastruktury podle sektorových a horizontálních kritérií.
Vládní centrum EU pro bezpečnost bylo vybráno pro příslušnou instituci. Vedoucím tohoto centra byla osoba odpovědná za přípravu návrhu pro evropskou občanskou iniciativu a také za informování Evropské komise o včasných způsobech (každoročně) o řadě kritických infrastruktur, které byly projednány jako kvalifikované objekty ECI. Tento zákon ukládá povinnost přijmout národní program pro ochranu kritické infrastruktury Radou ministrů, jehož cílem je vytvořit podmínky pro zlepšení bezpečnosti kritické infrastruktury a to zejména:
1) předcházení funkčním poruchám kritické infrastruktury;
2) příprava na krizové situace, které mohou mít závažný dopad na kritickou infrastrukturu;
3) reakce na zničení nebo narušení kritické infrastruktury;
4) přestavba kritické infrastruktury.
Existující hrozby pro kritickou infrastrukturu a způsob její ochrany
Kritická selhání infrastruktury mohou nastat z různých důvodů a mohou být způsobena mnoha faktory. Ve většině případů jsou výsledkem záměru (vandalové, zločinci, teroristé, útoky hackerů a další), náhody (přírodní katastrofy, lidské faktory, vyšší moc) nebo nesprávných rozhodnutí (ať už v oblasti návrhu, řízení či regulace). Je rovněž důležité poznamenat, že k selhání kritické infrastruktury může dojít bez ohledu na to, zda je zařízení připojeno ke globální síti, nebo pracuje v uzavřeném režimu. Fungující kritické procesy ve většině kritické infrastruktury stále více závisí na informačních a komunikačních technologiích. Nerušené fungování kritické infrastruktury proto závisí na zabezpečení informačních prostředků, hardwaru, softwaru, procesů založených na informacích a interních externích komunikačních sítí a propojení. Tato aktiva zahrnují systémy řízení procesů a sítě, které monitorují a řídí fyzické procesy kritické infrastruktury.
Úkoly ochrany kritické infrastruktury jsou četné a složité problémy, protože se mohou skládat nejen ze systémových systémů, ale také z propojených a mezinárodních systémů správy softwaru, kde může být jednotlivé porušování spojováno s neočekávanými důsledky a může mít dominový efekt. V tomto případě je nezbytné mít spolehlivou a spolehlivou infrastrukturu, která může být klíčová z hlediska hospodářského, hospodářského nebo sociálního a pomůže urychlit odstranění následků zásahů do kritické infrastruktury.
Dnes existují dvě hlavní oblasti ohrožení kritické infrastruktury. Je to technické a lidské. Technická úroveň. Jelikož, jak již bylo zmíněno, zařízení kritické infrastruktury přímo souvisí s životem státu a občanů. Již dříve autor popsal, jak hluboce integrovaná je technologie do našich životů. Se závislostí přichází zranitelnost. Na první úrovni je tato zranitelnost spojena s nebezpečím selhání systému, což může mít kaskádovité účinky, které postihují nejen jednotlivce, ale také narušují pravidelný provoz celých odvětví sociální činnosti a bezpečnosti.
Moderní technologie jako nástroj kyberzločinu
Rychlý rozvoj moderního světa s sebou na jedné straně nese mnoho výhod, ale také skrývá mnoho hrozeb. Dnes je obtížné představit si typický den bez použití moderních technologií. Provádíme mnoho každodenních operací pomocí kyberprostoru: pracovní procesy, platby za služby, přenos informací a mnoho dalších věcí. Pokročilé technologie pronikají hlouběji do našich životů. Jako potvrzení toho můžeme uvést příklad internetu věcí, který je postupně stále více zaváděn do našich domovů. Běžné každodenní věci života jsou schopny shromažďovat a posílat informace. Jsme však dostatečně připraveni na hrozby, které s sebou taková integrace kyberprostoru do fyzického světa nese? Odborníci předpovídají, že zařízení internetu věcí jsou vystavena riziku, že se stanou hlavním cílem hackerů, protože všechny tyto přístroje byly vytvořeny bez ohledu na potřebu ochrany proti kybernetickým hrozbám. Pokud se ty nejobyčejnější věci mohou stát nástroji kyberzločinců, pak co můžeme říci o zařízení, které má pro státy strategickou hodnotu a je součástí kritické infrastruktury. Světové zkušenosti jsou bohužel takové, že je téměř nemožné předpovědět povahu útoku a odkud přijde. Státům zbývá odrazit útoky a přizpůsobit obranné systémy, posílit ochranu založenou na předchozích hrozbách a jejich analýze. Různé technické poruchy, poruchy softwaru, hardwaru, zahraniční zásahy, útoky, poruchy způsobené lidským faktorem jsou jednou z částí možného zdroje poruch v provozu kritických infrastruktur. Druhým jsou různé katalýzy, přirozené zásahy a přirozené opotřebení vybavení. Všechny tyto faktory je třeba vzít v úvahu při tvorbě instrukcí a programů na ochranu kritických infrastruktur.
Příprava a ochrana kritických infrastrukturních objektů
Ochrana kritické infrastruktury je strategicky důležitá. Zároveň je decentralizovaná, propojená, vzájemně závislá a kontrolovaná mnoha aktéry (včetně těch dílčích) a zahrnuje různé typy technologií. Následky mohou být vážné, i když přerušení netrvají dlouho. Normy upravující ochranu kritických infrastruktur jsou uvedeny v různých regulačních dokumentech na různých úrovních. Lze je rozdělit na národní obranné strategie, dokumenty upravující ochranu specificky kritických infrastruktur a dokumenty upravující konkrétní zabranou oblast. O něco konkrétnější cíle ochrany lze nalézt na druhé úrovni strategií ochrany kritické infrastruktury. Jsou přesnější a specifičtější než zásady ochrany, ale stále se řídí systémově abstraktní logikou, neboť odkazují na souhrn všech kritických infrastruktur spíše než na jedno odvětví nebo jednu infrastrukturu. Normy upravující ochranu kritických infrastruktur jsou uvedeny v různých regulačních dokumentech na různých úrovních. Lze je rozdělit na národní obranné strategie, dokumenty upravující ochranu specificky kritických infrastruktur a dokumenty upravující konkrétní zabranou oblast.
O něco konkrétnější cíle ochrany lze nalézt na druhé úrovni strategií ochrany kritické infrastruktury. Jsou přesnější a specifičtější než zásady ochrany, ale stále se řídí systémově abstraktní logikou, neboť odkazují na souhrn všech kritických infrastruktur spíše než na jedno odvětví nebo jednu infrastrukturu. Příklady „ochranných cílů“ na této agregované úrovni jsou cíle „identifikace kritických infrastruktur a klíčových zdrojů,” „posílení odolnosti,” nebo „analyzování vzájemných závislostí a zranitelných míst.”
Tyto cíle, formulované pro všechny kritické infrastruktury, lze popsat jako „politiky ochrany,” jak obecně definují, co musí být chráněno před jakými hrozbami jakým způsobem. Třetí úrovní je odvětvový rozměr. Na této úrovni jsou „cíle ochrany“ konkrétnější. Příkladem jsou cíle zajistit „dostupnost, integritu a důvěrnost informačních a informačních technologií“ nebo „udržet ochranu veřejného zdraví a životního prostředí.” Mohou být označovány jako (odvětvově specifické), cíle ochrany”.
Pojem „objekt“ označuje budovu nebo soubor budov a zařízení umístěných v určité oblasti, které je potřeba zabezpečit. Potřeba zabezpečit takto definované objekty, může vyplývat z mnoha normativních dokumentů a vede od fyzické bezpečnosti až k technické ochraně. Nemůžeme hovořit o vyčerpání podmínek pro komplexní ochranu kritické infrastruktury, které z nich lze vyjmenovat:
- fyzická ochrana (omezený přístup třetí strany);
- technická ochrana (dodržování stavebních předpisů, protipožárních předpisů atd.);
- osobní bezpečnost (omezený přístup k osobám s bezpečnostní prověrkou);
-ochrana ICT (chránící kontrolní systém a přenos dat před kybernetickým terorismem);
- právní ochrana (zabránění nepřátelskému jednání předmětu KI - při podnikání);
- podpora fáze obnovy (vládní záruky, opatření přijatá ke zkrácení času nezbytného k obnovení funkcí kritických infrastruktur)
Ochrana objektu je soubor administrativních, taktických, technických a fyzických úkolů předcházení zločinům a přestupkům proti nim a v důsledku toho brání dalším škodám tyto akce zabraňující vzniku škod, vyplývajících z těchto akcí a zamezení vstupu nepovolaných zaměstnanců do chráněného objektu.
Fyzická ochrana zabraňující přístupu neoprávněných pracovníků je obvykle rozdělena do 3 sekcí: externí; vnitřní; obvodová.
Vnitřní ochrana pokrývá chráněný objekt. Počet zón závisí na počtu chráněných objektů (budov) v systému. Zóna zahrnuje vnitřek objektu a vnější stěny s otvory, tedy dveře, okna). Vnější ochrana je oblast mimo budovu (k plotu nebo hranici pozemku). Periferní ochrana pokrývá oblast buď mimo plot nebo hraniční místo. Tato zóna se usadí, když je chráněný objekt umístěn dále od kompaktního městského prostředí a přítomnost neoprávněných osob zde není zakázána.
Myšlenka ochrany objektů je výsledkem procesu plánování a rozhoduje o kvalitě a správné funkci bezpečnostního systému. Vlastník objektu připravuje koncepci ochrany (plán objektu kritické infrastruktury). Nejdůležitější je chránit důležité součásti infrastruktury, které občané denně používají. Jde o systém zásobování energií, energetické zdroje a paliva, systému zásobování potravinami, vodou a především o finanční systémy, zdravotnictví a ICT.
Národní infrastruktury
Národní infrastruktury se stále více spoléhají na technologie pro sledování, měření a řízení činností, což přirozeně činí tyto sítě zranitelnými vůči kybernetickým útokům. Evropská unie nedávno označila toto riziko za natolik závažné, že vydala směrnici o bezpečnosti sítí a informací (NIS) – pokus o vytvoření celoevropské kultury bezpečnosti napříč odvětvími, která poskytují kritické služby ekonomice a společnosti. Patří mezi ně poskytování služeb v oblasti energetiky, dopravy, vodního hospodářství, bankovnictví, zdravotní péče a digitální infrastruktury, jako jsou vyhledávače a konektivita.
Provozovatelé těchto základních služeb jsou nyní ze zákona povinni přijmout vhodná bezpečnostní opatření a informovat vlády členských států o všech závažných incidentech, k nimž dojde.
Při posuzování hrozby nebo rizika fyzických útoků na vnitrostátní infrastrukturu je důležité vzít v úvahu všechny dostupné nástroje a prostředky, fyzické i digitální. Miniaturizace technologií v kombinaci s komoditizací výpočetních nástrojů, umožnila těm, kdo jsou odpovědní za bezpečnost kritické infrastruktury, uvažovat o nasazení nástrojů, které by byly ještě před deseti lety považovány za nemožné.
Sítě mobilních komunikací se staly páteří obchodních a spotřebitelských komunikací. Každá nová generace technologie (další je tolik ohlašované 5G) přidává kapacitu a efektivitu, které umožní miliardám zařízení – jak tradičních chytrých telefonů, tak monitorovacích zařízení v rámci strojů, internetu věcí – zůstat neustále připojeny. V důsledku růstu mobilních komunikací došlo k posunu od tradiční infrastruktury k modernějším a flexibilnějším sítím. Historicky byly stožáry mobilních telefonů velké a rozmístěné ve značné vzdálenosti od sebe. Mobilní telefony připojené vždy alespoň ke třem stožárům, aby se zajistilo řádné předání komunikace při pohybu a uživatel tak získal kontinuitu připojení.
Vedlejším produktem této technologie byla schopnost triangulovat lidi a přibližně zjistit, kde byli, když volali. S tím, jak se mobilní komunikace stávala daleko běžnější, a zejména s rostoucí poptávkou po spolehlivých datových službách se zvyšovala potřeba stále většího počtu síťové infrastruktury. Namísto obrovských, široce rozptýlených buněčných lokalit se technologie vyvinula tak, aby poskytovala miliony menších buněčných lokalit, které poskytovaly kapacitu pro doplnění, zejména v lidnatých nebo městských oblastech. Zatímco síť fungovala podobně jako dříve, průměrný člověk na moderní mobilní síti by byl připojen k buňkám mnohem blíže k sobě než před 20 lety. Proto se triangulace polohy přes tato místa stala přesnější. Mobilní sítě tyto informace o poloze nikdy nezneužívaly a jejich použití bylo do značné míry omezeno na vzácné právní případy, kdy umístění určitých osob bylo rozhodující pro jejich nevinu nebo vinu.
Řešení problémů v bezpečnosti infrastruktur
Řešení problému spočívá v několika rovinách. Kromě zlepšení technické základny je nezbytné přijmout řadu běžných aktů na různých úrovních, které by regulovaly vesmírnou sféru a označily ji za kritickou vesmírnou infrastrukturu spolu s dalšími kritickými infrastrukturami. Nezbytná je rovněž spolupráce se soukromým sektorem založená na zásadách transparentnosti, bezpečnosti, důvěrnosti a vzájemné výměny informací. To by umožnilo využít zásady součinnosti při práci mezi stranami, a v důsledku toho získat systém odolnější vůči hrozbám. Dnes, když již lidstvo dávno vstoupilo do éry technologií a změny, které tato éra přinesla do obvyklého životního řádu, jsou již nezvratné. V budoucnu nás čeká hlubší integrace kyberprostoru do fyzického světa. Je pošetilé odpírat všechna privilegia, která dává, jak zjednodušuje život. A nepodceňujte hrozby, které tyto změny přinášejí. Nejistota dat a zločiny s tím spojené, kybernetické útoky, hackerské útoky a další, už nejsou překvapivé.
V tomto novém obrazu světa se zdá, že kritické infrastruktury nejsou chráněny, a zejména infrastruktura kritická pro vesmír. Neschopnost předvídat zdroj a povahu útoků snižuje účinnost jejich obrany. Hrozby se dnes přizpůsobují ochranným systémům, aby je obešly, mnohem rychleji, než je systém schopen zlepšit svou ochranu. Preventivní opatření jsou neúčinná. Samostatné prvky, které jsou samy o sobě chráněny, shromažďují se v jediném systému, nemohou odolat hrozbám a mohou způsobit dominový efekt.
Závěr
Místa kritické infrastruktury jsou nezbytná pro blaho národa a poskytují základní služby, na něž se obyvatelstvo spoléhá. Jsou proto stále větším cílem nepřátelské hrozby. Boj o zabezpečení kritických infrastrukturních míst před fyzickým či kybernetickým útokem je každým rokem náročnější, stejně jako roste počet potenciálních pachatelů zločinů a terorismu – od nepoctivých skupin po organizované gangy a nyní dokonce nepřátelské zahraniční vlády. Bezpečnostní profesionálové čelí náročným novým prostředím, kde je stále těžší předvídat, jak zmařit další útok. S dalším vývojem a miniaturizací technologií se však nové možnosti monitorování a správy aktiv stávají skutečností. Je nezbytné pochopit, že ochrana kritických infrastruktur není jednorázovou událostí. Jedná se o oblast, která musí být neustále dynamická, vyvíjet, používat nová technická řešení, zlepšovat a aktualizovat zařízení a zároveň zůstat flexibilní a rychle reagovat na jakékoli změny a rychle se vypořádat s jakýmikoli vnějšími faktory, které ohrožují jakýkoli prvek infrastruktury.
Použitá literatura
Biryukov, Dmytro (2012) Strategy of protection of critical infrastructure in the national security of the state. Strategic priorities, Vol. 3 (24).
Byrnea, DJ, David Morganb, Kymie Tana, Bryan Johnsona, and Chris Dorrosa (2014) Cyber Defense of Space-Based Assets: Verifying and Validating Defensive Designs and Implementations. Procedia Computer Science 28 pp. 522 — 530. //doi. org/10.1016/j.procs.2014.03.064
Cavelty, Myriam Dunn and Manuel Suter (2012) The Art of CIIP Strategy: Tacking Stock of Content and Processes. Springer-Verlag, Berlin, Heidelberg, pp.15-39. //doi. org/10.1007/978-3-642-28920-0_2
Palmer Ch, Shenoi S. (red). (2009).Critical Infrastructure Protection III, New York
PyznorM. National Programme for Critical Infrastructure Protection – conference materials. Critical Infrastructure Protection – the assessement of the need and abilities, Szczytno, 2010.
Strategy for the Development of the National Security System of the Republic of Poland 2022 adopted by the resolution of the Council of Ministers of April 9, 2013.
The Commission of The European Communities, Brussels 17th November 2005, Com. (2005) final.
The Council Decision on 2nd February 2007 establishing for 2007-2013 as a part of a general programme – detailed programme dealing with security a protecting people. Preventing, readiness and managing results of terrorism and other kinds of risk for security. (Official Journal UET) dated on 2007, No 58, position 1.
The Council Directive 2008/114 WE dated on 8 th December 2008 (Official Journal EU) dated on 2008, No 345, position 75.
The Act for crisis management dated 26th April (Official Journal 2007 No 89 position 590.
The Act on Universal Duty to Defend the Republic of Poland dated on 21st November 1967 (Official Journal 1967 No 44 position 220).
The Act on protection of person and property, (Official Journal 1997, No114 position 740).
The Directive on security of net¬work and information systems (NIS Directive)’. European Commission. Accessed Dec 2020. //ec.europa.eu/digital-single-market/en/directive-security-network-and-information-systems-nis-directive.
The NIS Regulations 2018’. Department for Digital, Culture, Media & Sport, 20 Apr 2018. Accessed Dec 2020. www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018.
www. MVČR (2021)
Kontakt na autora článku
PhDr. Mgr. Marek Merhaut, Ph.D., MBA
Email: m.merhaut@seznam.cz