Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Máthé Réka Zsuzsánna

Az Európai Unió és Kanada védelmi ipari megállapodást kötött

Az EU a gazdaság fellendítését is reméli a védelmi ipar fejlesztésétől.

Máthé Réka Zsuzsánna 2025.06.24.
Kalas Vivien

Stratégiai egyeztetés az európai védelempolitika jövőjéről

Egyelőre a stratégiai irányvonalakról született döntés.

Kalas Vivien 2025.02.05.
Varga Csilla

Nem unatkozik majd az új NATO-főtitkár

Mark Ruttére valószínűleg nehéz időszak vár.

Varga Csilla 2024.10.04.
Miszlivetz Áron

Kibervédelem az Európai Unióban

Új páneurópai gyakorlatok.

Miszlivetz Áron 2024.06.28.
Veszelszki Ágnes

Valóban a testükből élnek az influencerek?

A szelfi szexualizálódása.

Veszelszki Ágnes 2024.05.02.
CYBERBLOG
Kiss Adrienn
Kiss Adrienn
kutató, NKE Kiberbiztonsági Kutatóintézet
  • 2022.11.15.
  • 2022.11.15.

A kockázatelemzés rejtett számai

Interdependencia mérése a kritikus infrastruktúra védelem szempontjából

Szánt szándékkal vagy akár akaratunkon kívül is a mindennapi életben a legkisebb döntéseinktől a legnagyobbakig alkalmazzuk a kockázatelemzést mint módszertant. Folytonosan döntenünk kell arról, hogy a gyakorta vagy ritkábban hozott döntéseinket, cselekedeteinket milyen következmény, hatás fogja kísérni. Ugyanígy azon rendszereink tekintetében is, amelyek kiszolgálják a létszükségleteinket, szükséges a kockázatok felmérése, később pedig a kezelése.

Létfontosságú rendszerelemek

A létfontosságú rendszerelemek (vagy kritikus infrastruktúrák) kölcsönös függésben (vagy interdependenciában) álló elemek, rendszerek vagy létesítmények, amelyek elengedhetetlenek a lakosság számára biztosított létszükségletek fenntartásához, illetve segítenek fenntartani a gazdaság működőképességét és az általános biztonságot. Hétköznapi értelemben gondoljunk csak a közlekedésre, a vízhálózatra vagy a villamosenergia-rendszerre; ezek mind-mind kritikus infrastruktúrának minősülnek.

A kockázatelemzés szempontjából a probléma vélelmezhetően abban rejlik, hogy nem áll rendelkezésre egy olyan, mindenre kiterjedő kockázatelemzési módszertan, amely reagálna az ismert kockázati tényezők mellett a már említett kölcsönös függőségekre is és számszerűsíteni tudná azokat. A problémát – többek között – feltételezhetően az is adta, hogy az idők során több ajánlás, szabvány, módszertani ismertető lett publikálva. Ez alapvetően nem kellene, hogy problémát jelentsen, hiszen minden szervezetnek joga van a saját kockázatelemzési módszertanának használatához, ám fontos számba venni egy bizonyos tényezőt. E tényező alapján a kritikus infrastruktúrák interdependenciában állnak egymással, így hosszútávon célszerű lenne egy nagymértékben azonos metódusú kockázatelemzési módszertant használni, hiszen a függőségnek a számbavétele valószínűleg elengedhetetlen lesz a jövőben. 

Interdependencia

Miért lehet fontos a jövőben az interdependencia számszerűsítése? 

Amennyiben csak a jelen kor konfliktusaira gondolunk (például: orosz–ukrán háború) látható, hogy a kritikus infrastruktúrák védelme nemcsak elengedhetetlen, de az infrastruktúrák működése, sérülése vagy megsemmisülése hatással van több másik rendszerelem működésére is. Amennyiben például leállna a villamosenergia-ellátás, úgy az összes többi létfontosságú szolgáltatást is jelentősen fenyegetne a működésleállás. Ezzel együtt tehát amennyiben kockázatelemzésre adjuk a fejünket a szervezetünk működésének feltérképezése kapcsán, gondolkodjunk el azon, hogy milyen kritikus infrastruktúráktól áll függésben.

Amit még érdemes megjegyezni, azok az interdependenciára szintén hatást gyakorló kiber-fizikai hatások. Ezek a rendszerek már egyre inkább elterjedtnek minősülnek valamennyi kritikus infrastruktúrában, így az e rendszereket érintő hatások – például kibertéri hatás – dominóhatást válthat ki a többi rendszerre tekintettel. A probléma ott is fellelhető, hogy jelenleg egy kockázatelemzési módszertan sem képes teljes mértékben számszerűsíteni ezeket a kiber-fizikai hatásokat, így a kockázatokat is nehezebb felmérni ezekhez kapcsolódóan.

1. ábra: Létfontosságú szektorok interdependenciája; Forrás: saját szerkesztés [2]

A hazai jogszabályi környezet meghatározza azokat az infrastruktúrákat, amelyek az ország szempontjából létfontosságúak. Ahogy látható az ábrán, ezek a kijelölt létfontosságú rendszerelemek függésben vannak egymástól (csak két darab szektortól való függést mutat be az ábra). Az energiaszektortól és az infokommunikációs technológiáktól minden más szektor függésben áll. Az, hogy melyik infrastruktúra tűnik kritikusabbnak a másiknál, ezt a tapasztalatunk és tudásunk alapján feltételezhetjük, azonban szükséges lenne egy olyan kockázatelemzési módszertan, amellyel számszerűsíteni tudnánk a függéseket. Ezzel a számszerűsítéssel pedig ki tudnánk fejezni, hogy adott infrastruktúra mennyire kritikus.

Módszertanok

Ahogy már a korábbiakban már szó volt róla, többféle ajánlás és szabvány került ki az évek során, amelyek egy-egy kockázatelemzési módszertant ismertetnek. Az elmúlt években több projekt is indult az interdependencia felmérésére, azonban az összes felsorolását elkerülve, ezek csak a tudományos közösségben való elismertség és a módszertan kidolgozását megcélzó projektek alapján kerülnek megemlítésre. Ilyen kockázatelemzési módszertan például a többlépésből álló Sandia vagy a CARVER2 (Criticality Accessibility Recoverability Vulnerability Espyability Redundancy), amelyek a kritikus infrastruktúrák védelmét szolgálják, azonban más-más szemszögből nézve a kockázatokat. A SecRAM egy olyan biztonsági kockázatértékelési módszertan, amely ismeretterjesztő anyagokkal, módszerekkel és eszközökkel kívánja megközelíteni a biztonsági intézkedések megalkotását. Az OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) egy kifejezetten információbiztonsági kockázatok azonosítására és kezelésére készült keretrendszer, amely főleg a működési kockázatokra koncentrál. A CRAMM-modell (CCTA Risk Analysis and Management Method) alapján három dolog szükséges egy támadáshoz: fenyegetés, sebezhetőség és cél. A modell célja, hogy ezeket a tényezőket feltárja, elemezze és számszerűsítse. Végül pedig megemlítendő a COUNTERACT projekt, amely alapjáraton ágazati jellegű (közlekedésre és az energiaágazatokra és a terrorista fenyegetésekre koncentrál), de ez áll a legközelebb az összes releváns vizsgálati elemet tartalmazó szervezeti kockázatértékeléshez. A projektben kidolgozott eljárásmód nem sorolható a hagyományos kockázatelemzési módszertanok közé.

Ezen módszertanok használatának a megjelenése és a népszerűsége egy széles skálán mozog, így vannak régebben megjelent és újabb kockázatelemzést segítő módszertanok. is. A felsoroltnál több kockázatelemzési technika létezik, ám mindből hiányzik egy, a napjainkban elengedhetetlenül vizsgálandó tényező. Az interdependencia figyelembevétele és vizsgálata. Számos projektet indítottak el abból a célból, hogy a kritikus infrastruktúrákat érintő kölcsönös függőséget is számszerűsítsék a kockázatelemzési módszertanban, azonban egyelőre még nincs egy konkrét, használható módszertan. Megállapítható tehát, hogy egy ilyen módszertant szükséges a jövőben kidolgozni.

Irodalom

  1. Pederson, P & Dudenhoeffer, D & Hartley, S & Permann, M. (2006). Critical infrastructure interdependency modeling: a survey of US and international research.
  2. Rinaldi, S.M. & Peerenboom, James & Kelly, T.K. (2002). Identifying, understanding, and analyzing critical infrastructure interdependencies. Control Systems, IEEE. 21. 11 – 25. 10.1109/37.969131. itt elérhető.
  3. European Comission, EU research results, critical infrastructure interdependencies, itt elérhető.
  4. Dorneanu, Bogdan & Giannopoulos, Georgios & Jonkeren, Olaf. (2013). Risk Assessment Methodology for Critical Infrastructure Protection. 10.2788/78850.
  5. D. Grimsman et al., “A case study of a systematic attack design method for critical infrastructure cyber-physical systems,” (2016) American Control Conference (ACC), pp. 296-301, doi: 10.1109/ACC.2016.7524931.
  6. Malerud, S & Fridheim, H. (2016). A method for analysing security threats in operational risk analysis and management. 10.1201/9781315374987-75.
  7. SATIE – Security of Air Transport Infrastructures of Europe, D7.9 – Cyber-physical risk analysis, Grant agreement ID: 832969, DOI 10.3030/832969
Témakörök: kiberbiztonság, kockázatelemzés, kritikus infrastruktúra, védelem
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT