Tema C7/2

Analiza Infrastructurilor Critice Metodologia de Analiz a Sectoarelor

Infrastructurilor Critice
Drd. Andrei Gheorghe
Un prim pas n procesul de protecie a Infrastructurilor Critice l
reprezint cre!terea gradului de con!tientizare a pro"ocrilor e#istente$ %nainte de
a se adopta msuri eficiente de m&untire a proteciei Infrastructurilor Critice'
este necesar s se neleag modul cum acestea funcioneaz !i s se identifice !i
analizeze procesele critice n interiorul Infrastructurilor Critice$ Metodologia de
Analiz a Sectoarelor Infrastructurilor Critice' descris n acest document'
intenioneaz s u!ureze aceast sarcin$
($ )rotecia Infrastructurilor Critice * pro"ocare
Prezentul societii este strns legat de funcionarea lent a tehnologiei
informaiei. Acest lucru nu este ns recunoscut de experi. Cererile privind accesul
continuu la informaie, precum i preocuparea de cretere a eficienei economice sunt
nc strans legate de tehnologia informaiei.
ai multe naiuni au realizat studii i au iniiat programe cu scopul de a
analiza aceste dependene i de a evalua posi!ilele consecine.
"n parteneriat cu domeniul industriei au fost dezvoltate msuri n scopul
prote#rii i refacerii rapide n urma daunelor provocate de anumite incidente.Ca parte a
acestui exerciiu, au fost identificate $%nfrastructurile Critice&. Acestea sunt acele
infrastructuri de care depinde funcionarea lent a societii. "n 'omnia prin cadrul
normative existent au fost adoptate urmtoarele definiii(
+infrastructur critic naional ) un element, un sistem sau o component a acestuia,
aflat pe teritoriul naional, care este esenial pentru meninerea funciilor vitale ale societii, a
sntii, siguranei, securitii, bunstrii sociale sau economice a persoanelor, i a crui
perturbare sau distrugere ar avea un impact semnificativ la nivel naional ca urmare a
incapacitii de a menine respectivele funcii;
infrastructur critic european * o infrastructur critic naional, a crei perturbare
sau distrugere ar avea un impact semnificativ asupra a cel puin dou State Membre ale Uniunii
Europene, denumite n continuare State Membre. Importana impactului se evaluea din
perspectiva criteriilor intersectoriale. !cesta include efectele ce reult din relaiile
intersectoriale de dependen de alte tipuri de infrastructuri"
Conform acestor definiii sunt considerate %nfrastructuri Critice urmtoarele sectoare(
- energie+
- transporturi+
- tehnologia informaiei i comunicatii
- alimentare cu ap+
- alimentaie
- sntate+
- securitate naional+
- administratie
- industrie chimic i nuclear
- spaiu i cercetare.
,otui, aceast modalitate de a privi lucrurile, sta!ilete doar faptul c
ntreruperea-pertur!area acestor infrastructuri poate avea consecine serioase asupra
populaiei. .u s*a sta!ilit nc modul de producere a acestei ntreruperi-pertur!ri sau
pro!a!iliatatea producerii acesteia. "n acest moment devine util Metodologia de
Analiz a Sectoarelor Infrastructurilor Critice, realizat de Agenia /erman pentru
0ecuritatea %nformaiilor n anul 1221. Aceast metodologie este prezentat n cele ce
urmeaz.
2$ Introducere n Metodologia de Analiz a Sectoarelor Infrastructurilor Critice
2$($ Analiza riscului "ersus e"aluarea criticitii
Analizele au ca scop identificarea pro!a!ilitii de producere a unei pertur!ri,
precum i posi!ilele consecine i efectele daunelor, de o!icei din domeniul de analiz a
riscului i managementul riscului. 3xist numeroase metode de realizare a analizei
riscului, att n domeniul %,, ct i n context de afaceri. "n mod frecvent, acestea
necesit o structur similar n care o!iectele, ameninrile, vulnera!ilitile i
pro!a!ilitile sunt precizate, iar legturile dintre ele sunt definite. 'ezultatele acestor
metodologii se concretizeaz n cuantificarea pierderilor ateptate sau a categoriilor de
risc.
,otui, aceste metode nu se dovedesc a fi foarte utile, n principal, n ceea ce
privete spri#inul cu privire la realizarea analizei %nfrastructurilor critice. "n prezent, nu
exist statistici utile privind posi!ilele daune i pro!a!ilitile de producere a unei
pertur!ri, i se pare c nu exist o modalitate de precizare a o!iectelor,
vulnera!ilitilor i ameninrilor din perspectiva afacerilor individuale.
A fost adoptat o a!ordare analitic, modificat, n forma $evalurii criticitii&.
Punctul de plecare l reprezint procesul de afaceri care se identific n cadrul
sectoarelor infrastructurale. Acestea sunt evaluate la un nivel foarte ridicat. 3xemplele
de procese de afaceri includ rezervele de !ani pentru populaie n sectorul financiar i
sistemele de facturare din fiecare sector.

"n acest context nu este relevant cine sau ce amenin funcionarea acestor
procese, ci numai dac este posi!il ca un proces anume s fie pertur!at sau declarat
neoperativ. ,otui, de exemplu, nu suntem ngri#orai cu privire la ntre!area cum poate
fi pertur!at funcionarea unui computer, ci mai degra! la impactul pe care l poate
avea pertur!area acestuia asupra procesului relevant.
4tiliznd modelarea la nivel relativ nalt a proceselor de afaceri, este posi!il s se
lucreze ntr*o manier independent care nu presupune altceva dect ca sistemele
computerizate s fie listate sau ca registrele cu tipurile de daune s fie create. 0unt luate
n considerare numai componentele principale ale proceselor.
2$2$ ,Critic- !i ,criticitate-
Pentru a nelege metodologia, este necesar s se fac distincia ntre termenii
5critic& i 5criticitate&.
4n sector infrastructural 5critic& este acel sector a crui pertur!are va avea un
impact serios asupra populaiei. 6ar un proces de afaceri dintr*o ntreprindere poate fi,
de asemenea, 5critic& dac pertur!area lui pune n pericol !una funcionare a
ntreprinderii.
,ermenul utilizat n aceast situaie este &afacere*critic&. Posi!ilitile pot fi
reduse la o declaraie de tipul 56a& sau 5.u&.
Pe de alt parte, 5criticitatea& poate fi reprezentat pe o scar gradat. 6e
exemplu, un proces poate avea o criticitate redus sau ridicat. "n acest caz, sunt
evaluate pro!a!ilitatea i consecinele produse de pertur!are.
,ermenii 5critic& i 5criticitate& pot fi aplicai n diferite planuri de referin.
,otui, o infrastructur a crei pertur!are-ntrerupere pune n pericol !una funcionare a
ntreprinderii, este o 5infrastructur critic de afaceri&. 4n proces cu astfel de
caracteristici este un 5proces de afaceri*critice&. 6ar cum poate afecta pertur!area unui
proces de afaceri critice sectorul sau societatea la scar larg7
Pentru a rspunde la aceast ntre!are este necesar s fie luai n considerare i ali
factori. Pertur!area 8serviciului9 unei singure ntreprinderi poate s nu ai! relevan
pentru societate. Cu toate acestea, la acest nivel de a!stractizare, se poate a#unge la o
stare de haos dac, de exemplu, ntreprinderea respectiv are o pia larg de desfacere
n cadrul sectorului sau este furnizorul de !az n sectorul respectiv. ,re!uie definii
termenii individuali pentru sectorul nivelelor de a!stractizare i societate.
0e poate atepta ca, dei existnd un numr mare de procese de afaceri critice,
numai cteva procese sectoriale critice s existe. ,otui, n general, pertur!area unui
singur sector cauzeaz mari pro!leme societii, numrul sectoarelor critice i proceselor
critice ale societii fiind n mod virtual identic.
Acum c a fost explicat sensul acestor termeni, ntre!area*cheie care predomin n
ntreaga metodologie, tre!uie, de asemenea s fie precizat(
+Care sunt procesele critice din cadrul sectoarelor infrastructurilor critice !i ce
grad de criticitate au.-
/$ Metodologia ASIC
etodologia A0%C se refer ntotdeauna la analiza unui singur sector. :igura ;
ilustreaz procesul general.

0igura (1 )rocedura ASIC
"n primul rnd este necesar o privire de ansam!lu asupra sectorului i apoi
intrarea n amnunte. "n aceast etap, procesul critic tre!uie identificat, iar gradul de
criticitate tre!uie evaluat. Procesele al cror grad de criticitate este semnificativ sau
ridicat sunt examinate din punctul de vedere al dependenei de %,. 4rmtoarea etap este
aprecierea dac sectorul se confrunt de#a cu aceste procese critice, dup care se
ntocmete o matrice a criticitii.
Paii prezentai mai sus vor fi explicai acum mult mai detaliat.
/$( Munca preliminar
Primul pas presupune dou sarcini importante. "n primul rnd, este necesar s se
descrie sectorul respectiv n detalii corespunztoare. Acest lucru presupune, de exemplu,
cum funcioneaz sectorul, care sunt parametrii care sunt influenai n sectorul
Corecturi1
sector de manipulare
percepia su&iecti"
Identificarea proceselor
2"aluarea gradului de criticitate
2#aminarea sectorului IT
particular, ct de important este sectorul pentru economie i care sunt actorii ma#ori din
acest sector.
ai mult chiar, n ma#oritatea cazurilor nu este chiar uor s analizezi un sector.
,otui, de exemplu, n sectorul transporturilor tre!uie luate n considerare i traficul
rutier i cel aerian+ dou industrii care au structuri i cerine diferite. 0ectorul supus
examinrii tre!uie s fie mai degra! structurat.
"n cele ce urmeaz sunt prezentate mai multe modele. "n orice caz, fia!ilitatea lor
depinde de sectorul respectiv.
0etul de infrastructuri critice poate fi su!divizat n sectoare individuale de
infrastructuri, cum ar fi telecomunicaiile sau energia. Aceste sectoare pot fi su!divizate
la rndul lor n industrie 8de exemplu, n cazul transporturilor( transport aerian, pe ap,
rutier i pe cale ferat9, n servicii 8 aceast mprire este indicat, printre altele,
telecomunicaii, unde avem servicii de telefonie fix, servicii de telefonie mo!il,
servicii de televiziune prin ca!lu9, sau n produse. Care dintre aceste posi!iliti este mai
convena!il scopurilor noastre, acest lucru va depinde de sectorul respectiv. 0unt
posi!ile diferite com!inri ale su!diviziunilor.
/$2 Identificarea proceselor de afaceri
A#ungnd la aceast structur, tre!uie s fie identificat i definit procesul de afaceri
relevant pentru diferite industrii, servicii i produse. Apoi, acestea tre!uie evaluate din
punct de vedere al criticitii.
Acest pas este important pentru realizarea analizei generale. Procesele care nu sunt
menionate aici nu sunt importante nici pentru evaluarea criticitii. 6ac, din alt punct
de vedere, definirea proceselor a fost realizat la un nivel redus i cu multe detalii,
rezultatul va fi identificarea unui numr mare de procese, astfel nct acest lucru prezint
pericolul ca 5pdurea s se piard printre copaci.
"n particular, n cadrul sectoarelor care sunt foarte importante pentru economie, au
fost de#a ntocmite de ctre academicieni modele de procese. "n alte sectoare, de
exemplu, n serviciile de urgen i ageniile pu!lice-sectoarele de administraie pu!lic,
experii sunt singura surs disponi!il.
"n acest context, un expert este un reprezentant al ntreprinderii sau al ageniei
pu!lice din industria respectiv, care este implicat n mod activ n cadrul procesului i
care se poate !aza pe experiena profesional personal.
6iferitele industrii cer ca experii s fie consultai su! diferite modaliti. "n
anumite industrii, grupurile de lucru pot avea rezultate rapide i !enefice, n timp ce alte
informaii speciale importante, cnd vine vor!a de evaluarea gradului de criticitate, pot
fi o!inute numai prin interviuri personale. 3ste foarte important ca, pentru ca analiza s
se !ucure de succes, contri!utorii s fie asigurai de faptul c informaiile furnizate de ei
vor fi confideniale.
Procesul identificat tre!uie descris la un nivel nalt. "ntruct procesele individuale
sunt de o!icei implementate n mod diferit, n diverse intreprinderi, iar scopul acestei
etodologii este o!inerea unei imagini asupra infrastructurilor critice care s fie
vala!il n cadrul tuturor sectoarelor, definiiile tiinifice detaliate nu sunt necesare. 0
considerm ca un exemplu de proces descris mai sus, aprovizionarea cu petrol care se
ncadreaz n sectorul energetic.
Procesul de afaceri <aprovizionarea cu petrol< poate fi prezentat iniial, ca
incluznd doar patru etape. "n cazul n care experii se ateapt la criticiti speciale
pentru un pas special din proces, paii procesului individual pot fi defalcai n detalii, aa
cum se precizeaz n figura =, n cazul <,ransportului< i <6istri!uiei<.
/$/$ 2"aluarea gradului de criticitate
Procesele de afaceri tre!uie s fie apoi evaluate din punct de vedere al criticitii
lor. "ntre!area*cheie este(
3Ce se nt4mpl dac o component din proces este pertur&at !i care este
pro&a&ilitatea ca acest lucru s se nt4mple.3
3ste puin pro!a!il ca rspunsul s poat fi dedus pe !aza datelor istorice sau
statistice. 6in fericire, sunt prea puin datele disponi!ile din statistici sau cele istorice.
Penele de curent nu se produc regulat i s sperm c nu vor exista niciodat suficiente
atacuri teroriste care s permit o evaluare statistic. Prin urmare, principala surs de
informaii tre!uie s fie, din nou, experii.
Ceea ce este important aici este evaluarea experilor asupra faptului dac
ntreruperea profund a unui proces este feza!il, care vor fi consecinele acestui lucru i
ce efecte ar avea atunci ntreruperea. 6ac este posi!il, pentru fiecare proces, tre!uie
consultai mai muli experi. Acest lucru permite ca evalurile su!iective s fie
consolidate.
Pentru a face evaluri compara!ile * i, dac este posi!il, rezultatele analizei ar
tre!ui s permit realizarea de comparaii ntre sectoare individuale * tre!uie specificate
scalele de rating, att pentru efectele ateptate, ct i pentru pro!a!ilitile de eec
estimate.
>or aprea cinci intervale care vor fi suficiente pentru acest scop, fr a fi prea
aspre, de exemplu( evalurile daunelor pot varia de la <!anal< la <catastrofal< i
pro!a!ilitatea eecului de la <extrem de puin pro!a!il< la <aproape sigur<. 0emnificaia
i ordinul magnitudinii pentru fiecare evaluare pot fi explicate experilor -celor
ntervievai folosind exemple i scenarii. 4tilizarea de valori specifice numerice ar tre!ui
s fie evitat n mod special, deoarece acest demers ar implica un nivel nerealist de
compara!ilitate. 6e exemplu, cerinele de performan pentru mecanismele de siguran
difer considera!il ntre centralele electrice nucleare i operaiunile de manipulare a
!aga#elor din aeroport .
Criticitatea procesului rezult astfel din com!inarea efectelor i pro!a!ilitatea
producerii ntreruperii.
)ro&a&ilitate
a
producerii
unei
ntreruperi
Sigurana
"irtual
Semnificati" Semnificati" 5idicat 5idicat
%ntermediar 0emnificativ 0emnificativ 'idicat 'idicat
0czut %ntermediar 0emnificativ 'idicat 'idicat
0czut 0czut %ntermediar 0emnificativ 'idicat
0czut 0czut %ntermediar 0emnificativ 0emnificativ
,rivial 0czut oderat 3xtensiv Catastrofal
3fecte - daune
Conform acestei scheme i evalurii datelor statistice, procesele individuale pot fi
introduse n cadrul matricei criticalitii.
"n timpul procesului de consultare cu experii tre!uie luat n considerare decizia
lor cu privire la efectele ntreruperii procesului asupra sectorului.
Aa cum s*a explicat mai sus, cteva dintre procesele critice de afaceri sunt, de
asemenea, considerate sectoare critice. Cu toate acestea, structura industriei este un
factor important aici. "n cazul n care industria supus examinrii este una care este
dominant prin una sau cteva ntreprinderi, procesele critice de afaceri ale acestor
ntreprinderi sunt suscepti!ile de a fi considerate sectoare critice. Procesele de afaceri
critice din industriile caracterizate printr*un numr mare de concureni pe o poziie de
egalitate, n general, nu sunt critice pentru acest sector. Cu toate acestea, atunci cnd
nivelul de a!stractizare luat n considerare se schim! din afaceri n sector, o schim!are
a criticitii n favoarea sectorului este imposi!il de gsit.
6ac se proiecteaz aceast imagine la nivel de societate, este posi!il, din nou, o
schim!are, efectul nefiind ns semnificativ. "n cele din urm, definiia <infrastructurii
critice< n sine, implic faptul c ntreruperea din acest sector va avea efecte pe termen
lung asupra !unurilor pu!lice.
Privind lucrurile astfel, toate procesele sunt evaluate din punct de vedere al
criticitii nivelelor de a!stractizare <Afaceri<, <0ector< i <0ocietate<. Pe de alt parte,
n cazul n care ipotezele prevzute mai sus sunt vala!ile, atunci procedura poate fi
proiectat mai eficient.
Procesele al cror grad de criticitate este recunoscut ca <sczut< sau <intermediar<
nu pot fi clasificate ca fiind <semnificative< sau <ridicate< n nivelul de a!stractizare
urmtor. Acestea pot fi ignorate n mod direct. 6oar acele procese al cror grad de
criticitate este considerat a fi <semnificativ< sau <ridicat<, tre!uie luate n considerare n
etapele ulterioare 8a se vedea, de asemenea, figura ?9 .
0copul principal al ASIC nu este, totui, identificarea acelor procese care au un
grad ridicat de criticitate. Acesta reprezint doar lucrul preliminar necesar pentru a
determina apoi natura i msura n care procesele i, prin urmare, sectoarele care fac
o!iectul anchetei, sunt dependente de %,.
Pentru a conine cantitatea de munc necesar la un nivel accepta!il, investigaia
privind dependena de %, este limitat la aceste procese al cror grad de criticitate este
semnificativ sau ridicat la nivelul societii.
Prezentrile de#a existente ale procesului, pot servi ca !az, n special opiniile
experilor. /radul de dependen de %, este deci, aproximativ scalat, n exemplul care
folosete ratingurile <sczut<, <intermediar@< i <ridicat<. "n cadrul acestui sistem de
rating, al crui proces de dependen de %, este <ridicat<, acesta nu poate funciona deloc
sau doar ntr*o msur limitat, fr asisten %,.
/$6$ 0actori de corecie
"n descrierea metodologiei generale, tre!uie a!ordai doi factori care pot influena
matricea criticitii. Primul dintre acetia l reprezint mecanismele interne de#a
existente ale sectorului( sectoarele individuale au recunoscut de#a faptul c funcionarea
ntregului sector depinde de anumite procese i au luat de#a msuri adecvate de protecie.
Aceste msuri se refer att la domeniul prevenirii, ct i la zona reactiv. "n special,
msurile care se refer la efectele pertur!rii i asigur recuperarea rapid influeneaz
gradul de criticitate a proceselor individuale.
"n al doilea rnd, tre!uie s se in cont de faptul c rezultatele o!inute prin
aplicarea metodologiei se !azeaz pe prerile su!iective ale experilor din sectorul
respectiv. Cu toate acestea, 8n opinia personal a autorilor9 este corect s spunem c,
ateptrile /ermaniei n ceea ce privete capacitatea de rezisten a serviciilor de
infrastructur sunt relativ mari, n aceste zile. 6e fapt, cu toate acestea, efectele asupra
pu!licului, care n /ermania sunt considerate materiale sau <extinse<, n alte ri sunt
privite ca fiind <!anale< i ca fcnd parte din viaa de zi cu zi.
Aund n considerare cei doi factori menionai, matricea final a criticitii poate
fi uor modificat, dac este cazul. 3fectul acestui lucru va fi reducerea criticitii.
/$7 5ezultatele analizei
Bdat ce fiecare sector de infrastructur critic a fost supus acestei analize, atunci
se vor o!ine urmtoarele rezultatele(
* B imagine asupra modului de funcionare a sectoarelor individuale, ct de
importante sunt acestea pentru economie i modul n care acestea ar tre!ui s fie
structurate, n scopul de a analiza gradul de criticitate+
* 6escrieri generice ale proceselor de afaceri importante+
* Pentru fiecare sector sunt identificate( un nivel al matricii criticalitii, procese
cu un grad semnificativ i ridicat al criticitii+
* 0e va identifica gradul de dependen de %, al acestor procese * i, prin urmare
al sectoarelor+
Aceast a!ordare a analizei produce, de asemenea, i alte rezultate care, chiar
dac nu reprezint o!iectul central al anchetei, sunt nc foarte interesante+
* Ca i n cazul dependenei de %, i al ameninrilor, n cadrul acestei a!ordri
orientat spre un proces de investigare se identific, de asemenea, i ameninri
convenionale+
* >a fi identificat, n profunzime, orice cerin privind investigaiile
suplimentare 8de exemplu, n cursul unor interviuri cu experii9+
* 'eprezentanii sectorului vor fi avertizai n privina acestor pro!leme 8parial
ca un efect secundar al atelierelor de lucru i interviurilor9.
6$ 5ezumat
Concluziile cu privire la infrastructurile critice, o!inute utiliznd metoda de
analiz prezentat nu sunt suficient de detaliate pentru a servi drept !az pentru luarea
de msuri specifice, i nici nu prezint garania c fiecare proces critic va fi identificat.
Cu toate acestea, AC%0 permite formarea unei imagini referitor la gradul de
dependen de %, a infrastructurilor critice, care poate fi o!inut rapid i, prin urmare,
ofer o !un !az de cunotine-informaii care va a#uta industria i statul s lucreze
mpreun n mod sistematic pentru a asigura fia!ilitatea infrastructurilor pe viitor.