Analiza Infrastructurilor Critice Metodologia de Analiz a Sectoarelor
Infrastructurilor Critice Drd. Andrei Gheorghe Un prim pas n procesul de protecie a Infrastructurilor Critice l reprezint cre!terea gradului de con!tientizare a pro"ocrilor e#istente$ %nainte de a se adopta msuri eficiente de m&untire a proteciei Infrastructurilor Critice' este necesar s se neleag modul cum acestea funcioneaz !i s se identifice !i analizeze procesele critice n interiorul Infrastructurilor Critice$ Metodologia de Analiz a Sectoarelor Infrastructurilor Critice' descris n acest document' intenioneaz s u!ureze aceast sarcin$ ($ )rotecia Infrastructurilor Critice * pro"ocare Prezentul societii este strns legat de funcionarea lent a tehnologiei informaiei. Acest lucru nu este ns recunoscut de experi. Cererile privind accesul continuu la informaie, precum i preocuparea de cretere a eficienei economice sunt nc strans legate de tehnologia informaiei. ai multe naiuni au realizat studii i au iniiat programe cu scopul de a analiza aceste dependene i de a evalua posi!ilele consecine. "n parteneriat cu domeniul industriei au fost dezvoltate msuri n scopul prote#rii i refacerii rapide n urma daunelor provocate de anumite incidente.Ca parte a acestui exerciiu, au fost identificate $%nfrastructurile Critice&. Acestea sunt acele infrastructuri de care depinde funcionarea lent a societii. "n 'omnia prin cadrul normative existent au fost adoptate urmtoarele definiii( +infrastructur critic naional ) un element, un sistem sau o component a acestuia, aflat pe teritoriul naional, care este esenial pentru meninerea funciilor vitale ale societii, a sntii, siguranei, securitii, bunstrii sociale sau economice a persoanelor, i a crui perturbare sau distrugere ar avea un impact semnificativ la nivel naional ca urmare a incapacitii de a menine respectivele funcii; infrastructur critic european * o infrastructur critic naional, a crei perturbare sau distrugere ar avea un impact semnificativ asupra a cel puin dou State Membre ale Uniunii Europene, denumite n continuare State Membre. Importana impactului se evaluea din perspectiva criteriilor intersectoriale. !cesta include efectele ce reult din relaiile intersectoriale de dependen de alte tipuri de infrastructuri" Conform acestor definiii sunt considerate %nfrastructuri Critice urmtoarele sectoare( - energie+ - transporturi+ - tehnologia informaiei i comunicatii - alimentare cu ap+ - alimentaie - sntate+ - securitate naional+ - administratie - industrie chimic i nuclear - spaiu i cercetare. ,otui, aceast modalitate de a privi lucrurile, sta!ilete doar faptul c ntreruperea-pertur!area acestor infrastructuri poate avea consecine serioase asupra populaiei. .u s*a sta!ilit nc modul de producere a acestei ntreruperi-pertur!ri sau pro!a!iliatatea producerii acesteia. "n acest moment devine util Metodologia de Analiz a Sectoarelor Infrastructurilor Critice, realizat de Agenia /erman pentru 0ecuritatea %nformaiilor n anul 1221. Aceast metodologie este prezentat n cele ce urmeaz. 2$ Introducere n Metodologia de Analiz a Sectoarelor Infrastructurilor Critice 2$($ Analiza riscului "ersus e"aluarea criticitii Analizele au ca scop identificarea pro!a!ilitii de producere a unei pertur!ri, precum i posi!ilele consecine i efectele daunelor, de o!icei din domeniul de analiz a riscului i managementul riscului. 3xist numeroase metode de realizare a analizei riscului, att n domeniul %,, ct i n context de afaceri. "n mod frecvent, acestea necesit o structur similar n care o!iectele, ameninrile, vulnera!ilitile i pro!a!ilitile sunt precizate, iar legturile dintre ele sunt definite. 'ezultatele acestor metodologii se concretizeaz n cuantificarea pierderilor ateptate sau a categoriilor de risc. ,otui, aceste metode nu se dovedesc a fi foarte utile, n principal, n ceea ce privete spri#inul cu privire la realizarea analizei %nfrastructurilor critice. "n prezent, nu exist statistici utile privind posi!ilele daune i pro!a!ilitile de producere a unei pertur!ri, i se pare c nu exist o modalitate de precizare a o!iectelor, vulnera!ilitilor i ameninrilor din perspectiva afacerilor individuale. A fost adoptat o a!ordare analitic, modificat, n forma $evalurii criticitii&. Punctul de plecare l reprezint procesul de afaceri care se identific n cadrul sectoarelor infrastructurale. Acestea sunt evaluate la un nivel foarte ridicat. 3xemplele de procese de afaceri includ rezervele de !ani pentru populaie n sectorul financiar i sistemele de facturare din fiecare sector.
"n acest context nu este relevant cine sau ce amenin funcionarea acestor procese, ci numai dac este posi!il ca un proces anume s fie pertur!at sau declarat neoperativ. ,otui, de exemplu, nu suntem ngri#orai cu privire la ntre!area cum poate fi pertur!at funcionarea unui computer, ci mai degra! la impactul pe care l poate avea pertur!area acestuia asupra procesului relevant. 4tiliznd modelarea la nivel relativ nalt a proceselor de afaceri, este posi!il s se lucreze ntr*o manier independent care nu presupune altceva dect ca sistemele computerizate s fie listate sau ca registrele cu tipurile de daune s fie create. 0unt luate n considerare numai componentele principale ale proceselor. 2$2$ ,Critic- !i ,criticitate- Pentru a nelege metodologia, este necesar s se fac distincia ntre termenii 5critic& i 5criticitate&. 4n sector infrastructural 5critic& este acel sector a crui pertur!are va avea un impact serios asupra populaiei. 6ar un proces de afaceri dintr*o ntreprindere poate fi, de asemenea, 5critic& dac pertur!area lui pune n pericol !una funcionare a ntreprinderii. ,ermenul utilizat n aceast situaie este &afacere*critic&. Posi!ilitile pot fi reduse la o declaraie de tipul 56a& sau 5.u&. Pe de alt parte, 5criticitatea& poate fi reprezentat pe o scar gradat. 6e exemplu, un proces poate avea o criticitate redus sau ridicat. "n acest caz, sunt evaluate pro!a!ilitatea i consecinele produse de pertur!are. ,ermenii 5critic& i 5criticitate& pot fi aplicai n diferite planuri de referin. ,otui, o infrastructur a crei pertur!are-ntrerupere pune n pericol !una funcionare a ntreprinderii, este o 5infrastructur critic de afaceri&. 4n proces cu astfel de caracteristici este un 5proces de afaceri*critice&. 6ar cum poate afecta pertur!area unui proces de afaceri critice sectorul sau societatea la scar larg7 Pentru a rspunde la aceast ntre!are este necesar s fie luai n considerare i ali factori. Pertur!area 8serviciului9 unei singure ntreprinderi poate s nu ai! relevan pentru societate. Cu toate acestea, la acest nivel de a!stractizare, se poate a#unge la o stare de haos dac, de exemplu, ntreprinderea respectiv are o pia larg de desfacere n cadrul sectorului sau este furnizorul de !az n sectorul respectiv. ,re!uie definii termenii individuali pentru sectorul nivelelor de a!stractizare i societate. 0e poate atepta ca, dei existnd un numr mare de procese de afaceri critice, numai cteva procese sectoriale critice s existe. ,otui, n general, pertur!area unui singur sector cauzeaz mari pro!leme societii, numrul sectoarelor critice i proceselor critice ale societii fiind n mod virtual identic. Acum c a fost explicat sensul acestor termeni, ntre!area*cheie care predomin n ntreaga metodologie, tre!uie, de asemenea s fie precizat( +Care sunt procesele critice din cadrul sectoarelor infrastructurilor critice !i ce grad de criticitate au.- /$ Metodologia ASIC etodologia A0%C se refer ntotdeauna la analiza unui singur sector. :igura ; ilustreaz procesul general.
0igura (1 )rocedura ASIC "n primul rnd este necesar o privire de ansam!lu asupra sectorului i apoi intrarea n amnunte. "n aceast etap, procesul critic tre!uie identificat, iar gradul de criticitate tre!uie evaluat. Procesele al cror grad de criticitate este semnificativ sau ridicat sunt examinate din punctul de vedere al dependenei de %,. 4rmtoarea etap este aprecierea dac sectorul se confrunt de#a cu aceste procese critice, dup care se ntocmete o matrice a criticitii. Paii prezentai mai sus vor fi explicai acum mult mai detaliat. /$( Munca preliminar Primul pas presupune dou sarcini importante. "n primul rnd, este necesar s se descrie sectorul respectiv n detalii corespunztoare. Acest lucru presupune, de exemplu, cum funcioneaz sectorul, care sunt parametrii care sunt influenai n sectorul Corecturi1 sector de manipulare percepia su&iecti" Identificarea proceselor 2"aluarea gradului de criticitate 2#aminarea sectorului IT particular, ct de important este sectorul pentru economie i care sunt actorii ma#ori din acest sector. ai mult chiar, n ma#oritatea cazurilor nu este chiar uor s analizezi un sector. ,otui, de exemplu, n sectorul transporturilor tre!uie luate n considerare i traficul rutier i cel aerian+ dou industrii care au structuri i cerine diferite. 0ectorul supus examinrii tre!uie s fie mai degra! structurat. "n cele ce urmeaz sunt prezentate mai multe modele. "n orice caz, fia!ilitatea lor depinde de sectorul respectiv. 0etul de infrastructuri critice poate fi su!divizat n sectoare individuale de infrastructuri, cum ar fi telecomunicaiile sau energia. Aceste sectoare pot fi su!divizate la rndul lor n industrie 8de exemplu, n cazul transporturilor( transport aerian, pe ap, rutier i pe cale ferat9, n servicii 8 aceast mprire este indicat, printre altele, telecomunicaii, unde avem servicii de telefonie fix, servicii de telefonie mo!il, servicii de televiziune prin ca!lu9, sau n produse. Care dintre aceste posi!iliti este mai convena!il scopurilor noastre, acest lucru va depinde de sectorul respectiv. 0unt posi!ile diferite com!inri ale su!diviziunilor. /$2 Identificarea proceselor de afaceri A#ungnd la aceast structur, tre!uie s fie identificat i definit procesul de afaceri relevant pentru diferite industrii, servicii i produse. Apoi, acestea tre!uie evaluate din punct de vedere al criticitii. Acest pas este important pentru realizarea analizei generale. Procesele care nu sunt menionate aici nu sunt importante nici pentru evaluarea criticitii. 6ac, din alt punct de vedere, definirea proceselor a fost realizat la un nivel redus i cu multe detalii, rezultatul va fi identificarea unui numr mare de procese, astfel nct acest lucru prezint pericolul ca 5pdurea s se piard printre copaci. "n particular, n cadrul sectoarelor care sunt foarte importante pentru economie, au fost de#a ntocmite de ctre academicieni modele de procese. "n alte sectoare, de exemplu, n serviciile de urgen i ageniile pu!lice-sectoarele de administraie pu!lic, experii sunt singura surs disponi!il. "n acest context, un expert este un reprezentant al ntreprinderii sau al ageniei pu!lice din industria respectiv, care este implicat n mod activ n cadrul procesului i care se poate !aza pe experiena profesional personal. 6iferitele industrii cer ca experii s fie consultai su! diferite modaliti. "n anumite industrii, grupurile de lucru pot avea rezultate rapide i !enefice, n timp ce alte informaii speciale importante, cnd vine vor!a de evaluarea gradului de criticitate, pot fi o!inute numai prin interviuri personale. 3ste foarte important ca, pentru ca analiza s se !ucure de succes, contri!utorii s fie asigurai de faptul c informaiile furnizate de ei vor fi confideniale. Procesul identificat tre!uie descris la un nivel nalt. "ntruct procesele individuale sunt de o!icei implementate n mod diferit, n diverse intreprinderi, iar scopul acestei etodologii este o!inerea unei imagini asupra infrastructurilor critice care s fie vala!il n cadrul tuturor sectoarelor, definiiile tiinifice detaliate nu sunt necesare. 0 considerm ca un exemplu de proces descris mai sus, aprovizionarea cu petrol care se ncadreaz n sectorul energetic. Procesul de afaceri <aprovizionarea cu petrol< poate fi prezentat iniial, ca incluznd doar patru etape. "n cazul n care experii se ateapt la criticiti speciale pentru un pas special din proces, paii procesului individual pot fi defalcai n detalii, aa cum se precizeaz n figura =, n cazul <,ransportului< i <6istri!uiei<. /$/$ 2"aluarea gradului de criticitate Procesele de afaceri tre!uie s fie apoi evaluate din punct de vedere al criticitii lor. "ntre!area*cheie este( 3Ce se nt4mpl dac o component din proces este pertur&at !i care este pro&a&ilitatea ca acest lucru s se nt4mple.3 3ste puin pro!a!il ca rspunsul s poat fi dedus pe !aza datelor istorice sau statistice. 6in fericire, sunt prea puin datele disponi!ile din statistici sau cele istorice. Penele de curent nu se produc regulat i s sperm c nu vor exista niciodat suficiente atacuri teroriste care s permit o evaluare statistic. Prin urmare, principala surs de informaii tre!uie s fie, din nou, experii. Ceea ce este important aici este evaluarea experilor asupra faptului dac ntreruperea profund a unui proces este feza!il, care vor fi consecinele acestui lucru i ce efecte ar avea atunci ntreruperea. 6ac este posi!il, pentru fiecare proces, tre!uie consultai mai muli experi. Acest lucru permite ca evalurile su!iective s fie consolidate. Pentru a face evaluri compara!ile * i, dac este posi!il, rezultatele analizei ar tre!ui s permit realizarea de comparaii ntre sectoare individuale * tre!uie specificate scalele de rating, att pentru efectele ateptate, ct i pentru pro!a!ilitile de eec estimate. >or aprea cinci intervale care vor fi suficiente pentru acest scop, fr a fi prea aspre, de exemplu( evalurile daunelor pot varia de la <!anal< la <catastrofal< i pro!a!ilitatea eecului de la <extrem de puin pro!a!il< la <aproape sigur<. 0emnificaia i ordinul magnitudinii pentru fiecare evaluare pot fi explicate experilor -celor ntervievai folosind exemple i scenarii. 4tilizarea de valori specifice numerice ar tre!ui s fie evitat n mod special, deoarece acest demers ar implica un nivel nerealist de compara!ilitate. 6e exemplu, cerinele de performan pentru mecanismele de siguran difer considera!il ntre centralele electrice nucleare i operaiunile de manipulare a !aga#elor din aeroport . Criticitatea procesului rezult astfel din com!inarea efectelor i pro!a!ilitatea producerii ntreruperii. )ro&a&ilitate a producerii unei ntreruperi Sigurana "irtual Semnificati" Semnificati" 5idicat 5idicat %ntermediar 0emnificativ 0emnificativ 'idicat 'idicat 0czut %ntermediar 0emnificativ 'idicat 'idicat 0czut 0czut %ntermediar 0emnificativ 'idicat 0czut 0czut %ntermediar 0emnificativ 0emnificativ ,rivial 0czut oderat 3xtensiv Catastrofal 3fecte - daune Conform acestei scheme i evalurii datelor statistice, procesele individuale pot fi introduse n cadrul matricei criticalitii. "n timpul procesului de consultare cu experii tre!uie luat n considerare decizia lor cu privire la efectele ntreruperii procesului asupra sectorului. Aa cum s*a explicat mai sus, cteva dintre procesele critice de afaceri sunt, de asemenea, considerate sectoare critice. Cu toate acestea, structura industriei este un factor important aici. "n cazul n care industria supus examinrii este una care este dominant prin una sau cteva ntreprinderi, procesele critice de afaceri ale acestor ntreprinderi sunt suscepti!ile de a fi considerate sectoare critice. Procesele de afaceri critice din industriile caracterizate printr*un numr mare de concureni pe o poziie de egalitate, n general, nu sunt critice pentru acest sector. Cu toate acestea, atunci cnd nivelul de a!stractizare luat n considerare se schim! din afaceri n sector, o schim!are a criticitii n favoarea sectorului este imposi!il de gsit. 6ac se proiecteaz aceast imagine la nivel de societate, este posi!il, din nou, o schim!are, efectul nefiind ns semnificativ. "n cele din urm, definiia <infrastructurii critice< n sine, implic faptul c ntreruperea din acest sector va avea efecte pe termen lung asupra !unurilor pu!lice. Privind lucrurile astfel, toate procesele sunt evaluate din punct de vedere al criticitii nivelelor de a!stractizare <Afaceri<, <0ector< i <0ocietate<. Pe de alt parte, n cazul n care ipotezele prevzute mai sus sunt vala!ile, atunci procedura poate fi proiectat mai eficient. Procesele al cror grad de criticitate este recunoscut ca <sczut< sau <intermediar< nu pot fi clasificate ca fiind <semnificative< sau <ridicate< n nivelul de a!stractizare urmtor. Acestea pot fi ignorate n mod direct. 6oar acele procese al cror grad de criticitate este considerat a fi <semnificativ< sau <ridicat<, tre!uie luate n considerare n etapele ulterioare 8a se vedea, de asemenea, figura ?9 . 0copul principal al ASIC nu este, totui, identificarea acelor procese care au un grad ridicat de criticitate. Acesta reprezint doar lucrul preliminar necesar pentru a determina apoi natura i msura n care procesele i, prin urmare, sectoarele care fac o!iectul anchetei, sunt dependente de %,. Pentru a conine cantitatea de munc necesar la un nivel accepta!il, investigaia privind dependena de %, este limitat la aceste procese al cror grad de criticitate este semnificativ sau ridicat la nivelul societii. Prezentrile de#a existente ale procesului, pot servi ca !az, n special opiniile experilor. /radul de dependen de %, este deci, aproximativ scalat, n exemplul care folosete ratingurile <sczut<, <intermediar@< i <ridicat<. "n cadrul acestui sistem de rating, al crui proces de dependen de %, este <ridicat<, acesta nu poate funciona deloc sau doar ntr*o msur limitat, fr asisten %,. /$6$ 0actori de corecie "n descrierea metodologiei generale, tre!uie a!ordai doi factori care pot influena matricea criticitii. Primul dintre acetia l reprezint mecanismele interne de#a existente ale sectorului( sectoarele individuale au recunoscut de#a faptul c funcionarea ntregului sector depinde de anumite procese i au luat de#a msuri adecvate de protecie. Aceste msuri se refer att la domeniul prevenirii, ct i la zona reactiv. "n special, msurile care se refer la efectele pertur!rii i asigur recuperarea rapid influeneaz gradul de criticitate a proceselor individuale. "n al doilea rnd, tre!uie s se in cont de faptul c rezultatele o!inute prin aplicarea metodologiei se !azeaz pe prerile su!iective ale experilor din sectorul respectiv. Cu toate acestea, 8n opinia personal a autorilor9 este corect s spunem c, ateptrile /ermaniei n ceea ce privete capacitatea de rezisten a serviciilor de infrastructur sunt relativ mari, n aceste zile. 6e fapt, cu toate acestea, efectele asupra pu!licului, care n /ermania sunt considerate materiale sau <extinse<, n alte ri sunt privite ca fiind <!anale< i ca fcnd parte din viaa de zi cu zi. Aund n considerare cei doi factori menionai, matricea final a criticitii poate fi uor modificat, dac este cazul. 3fectul acestui lucru va fi reducerea criticitii. /$7 5ezultatele analizei Bdat ce fiecare sector de infrastructur critic a fost supus acestei analize, atunci se vor o!ine urmtoarele rezultatele( * B imagine asupra modului de funcionare a sectoarelor individuale, ct de importante sunt acestea pentru economie i modul n care acestea ar tre!ui s fie structurate, n scopul de a analiza gradul de criticitate+ * 6escrieri generice ale proceselor de afaceri importante+ * Pentru fiecare sector sunt identificate( un nivel al matricii criticalitii, procese cu un grad semnificativ i ridicat al criticitii+ * 0e va identifica gradul de dependen de %, al acestor procese * i, prin urmare al sectoarelor+ Aceast a!ordare a analizei produce, de asemenea, i alte rezultate care, chiar dac nu reprezint o!iectul central al anchetei, sunt nc foarte interesante+ * Ca i n cazul dependenei de %, i al ameninrilor, n cadrul acestei a!ordri orientat spre un proces de investigare se identific, de asemenea, i ameninri convenionale+ * >a fi identificat, n profunzime, orice cerin privind investigaiile suplimentare 8de exemplu, n cursul unor interviuri cu experii9+ * 'eprezentanii sectorului vor fi avertizai n privina acestor pro!leme 8parial ca un efect secundar al atelierelor de lucru i interviurilor9. 6$ 5ezumat Concluziile cu privire la infrastructurile critice, o!inute utiliznd metoda de analiz prezentat nu sunt suficient de detaliate pentru a servi drept !az pentru luarea de msuri specifice, i nici nu prezint garania c fiecare proces critic va fi identificat. Cu toate acestea, AC%0 permite formarea unei imagini referitor la gradul de dependen de %, a infrastructurilor critice, care poate fi o!inut rapid i, prin urmare, ofer o !un !az de cunotine-informaii care va a#uta industria i statul s lucreze mpreun n mod sistematic pentru a asigura fia!ilitatea infrastructurilor pe viitor.