Protecţia Infrastructurilor Critice – provocarea unei lumi complexe şi interconectate

(Parteneriat media Monitorul Apărării şi Securităţii - Institutul Naţional de Cercetare-Dezvoltare în Informatică - ICI)

 - dr.Adrian Victor Vevera este director tehnic al ICI 

A devenit deja un clişeu să vorbim despre lumea interconectată şi efectul pe care îl are asupra mediului de securitate prin producerea de noi riscuri, vulnerabilităţi şi ameninţări, precum şi transmiterea lor. Există, însă, un cadru formal care analizează aceste fenomene şi dezvoltă instrumente, mijloace şi practici pentru a înţelege şi apăra sisteme complexe. Acesta se numeşte Protecţia Infrastructurilor Critice (PIC). La baza dezvoltării oricărei societăţi se află o serie de infrastructuri care permit buna funcţionare a societăţii la nivel economic, social şi politic. Infrastructurile pot fi tehnice, organizaţionale sau mixte. Printre infrastructuri se numără centrale electrice, conducte petroliere, autostrăzi, dar şi spitale, centre de administraţie publică etc.

O infrastructură este critică atunci când prezicem că nefuncţionarea sau distrugerea sa ar provoca pierderi umane semnificative, daune materiale importante şi efecte asupra încrederii cetăţeanului şi investitorilor în autorităţi sau în bunul mers general al societăţii. Protecţia Infrastructurilor Critice se preocupă, în primul rând, cu identificarea şi desemnarea infrastructurilor critice prin metodologii specifice, astfel încât să devină o prioritate pentru alocarea resurselor limitate ale actorilor abilitaţi să le protejeze. Aceşti actori sunt, în general, autorităţile publice de resort şi coordonatorii naţionali per ansamblu, precum şi entităţile care operează, deţin sau administrează infrastructuri critice. Distincţia este importantă, pentru că 70-80% din infrastructurile critice ale ţărilor europene sau ale SUA sunt operate de actori privaţi. PIC se preocupă şi cu problemele interacţiunii dintre actori cu stimulente, priorităţi şi culturi organizaţionale diferite, ca fiind o altă faţetă a complexităţii sistemului-de-sisteme.

Acest sistem-de-sisteme este alcătuit din mai multe infrastructuri critice, mediul din care fac parte şi în care operează, şi relaţii de legătură dintre ele. Componentele individuale ale sistemului, în măsura în care pot fi delimitate, pot fi ele însele infrastructuri critice, iar sistemul-de-sisteme nu este doar o acumulare de infrastructuri cu grade diferite de criticitate, ci o infrastructură cu proprietăţi emergente care nu se regăsesc la componentele individuale. De aici, rezultă nu doar potenţialul de creare de bogăţie, capacitatea de inovare sau capabilităţile logistice ale economiilor avansate, dar şi noi riscuri, vulnerabilităţi şi ameninţări. Complexitatea acestor sisteme şi a topologiei legăturilor dintre componentele individuale duce nu doar la vulnerabilităţi în faţa ameninţărilor deliberate, specifice „războiului hibrid”, dar şi la „accidente normale”, care apar spontan şi se transmit prin intermediul cuplajelor şi interdependenţelor dintre infrastructuri (Perrow, 1999).

Teoria interdependenţelor este poate cea mai importantă contribuţie a teoriei PIC. Interdependenţa este “o relaţie bidirecţională între două infrastructuri, prin care statutul fiecărei infrastructuri influenţează sau este corelat cu statutul celorlalte infrastructuri”, care devine un vector de transmisie a riscurilor, dar şi a stării de nefuncţionare (Gheorghe şi Schlapfer, 2004). Gheorghe et al (2017) dezvoltă o taxonomie a interdependenţelor, printre care regăsim interdependenţe fizice, geografice, cibernetice, logice, politice/procedurale şi sociale.

Tabelul de mai jos ilustrează principalele dimensiuni conceptuale ale relaţiilor dintre infrastructuri critice.

Fig. 1 – Dimensiuni pentru descrierea interdependenţelor dintre infrastructuri critice (Rinaldi et al, 2001)

Una dintre situaţiile la care se poate ajunge, în funcţie, de caracteristicile sistemului analizat, este cea de întrerupere în cascadă a funcţionării infrastructurilor critice, o situaţie deosebit de periculoasă, în care nivelul potenţial al daunelor este foarte mare şi greu de estimat, iar stoparea efectului în cascadă este foarte dificil. Acesta are loc prin transmiterea în lanţ a problemelor care afectează sistemul, agravând şi situaţia infrastructurilor afectate iniţial prin legături de feedback. Un exemplu clasic este cel al unui oraş, care este o aglomerare de infrastructuri critice, şi cărui i se întrerupe alimentarea cu energie electrică. Dintr-o dată, transportul în comun alimentat de la reţea se întrerupe, apar probleme cu distribuţia de apă, cu sistemul de alimentaţie (oraşele fiind dependente de refrigerare pentru logistică), dar şi întreruperi în coli, spitale, bănci, pieţe de capital, care pot fi amânate prin prezenta unor surse secundare proprii de energie, a căror autonomie este, totuşi, temporară. În cele din urmă, este afectată şi ordinea publică, prin potenţialul pentru răzmeriţe sau pentru derularea unor acţiuni inamice deliberate sub acoperirea haosului provocat de coordonarea deficitară a serviciilor publice.

PIC se preocupă cu dezvoltarea de sisteme reziliente, care nu doar că minimizează şansele de manifestare a unui eveniment disruptiv, dar, în cazul producerii acestuia, sistemul afectat poate minimiza daunele şi efectele asupra funcţionării sale şi poate ajunge într-un timp cât mai scurt la un prag de funcţionalitate care poate fi desemnat drept acceptabil. Rezilienţa societăţii este un atribut extraordinar de important pentru calitatea vieţii cetăţenilor şi pentru continuitatea afacerilor în caz de dezastru. Acest aspect este cu atât mai important, cu cât noile forme de confruntări între state constă inclusiv din atacuri asupra infrastructurilor critice cu scopul de a provoca daune, de a pune presiune şi de a ştirbi prestigiul şi credibilitatea autorităţilor ţării afectate.

ICI Bucureşti este o prezenţă din ce în ce mai activă în zona PIC, dezvoltându-şi capabilităţile interne cât şi implicarea naţională şi internaţională în domeniu. Implicarea sa este important, pentru că zona cibernetică este strâns legată de cea PIC prin ponderea majoră a interdependenţelor cibernetice în cadrul sistemului-de-sisteme, dar şi prin vulnerabilitatea cibernetică a sistemelor de comandă şi control a activelor industriale şi a infrastructurilor complexe cum ar fi cele financiare. Din acest motiv, unul dintre adaosurile majore recente la cadrul european pentru PIC a fost Directiva NIS (Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune).

ICI, prin Departamentul său de Securitate Cibernetică şi Infrastructuri Critice, îşi dezvoltă competenţe notabile în acest domeniu. Specialiştii ICI publică în jurnale de profil şi participă la conferinţe internaţionale de prestigiu cum ar fi Forumul CIPRE (Critical Infrastructure Protection and Resilience) organizat anual de către Asociaţia Internaţională a Specialiştilor PIC. ICI este un partener în organizarea anuală a Forumului de Protecţie a Infrastructurilor Critice de la Palatul Parlamentului. De asemenea, ICI îşi dezvoltă capabilităţi şi proiecte strategice. Prin deschiderea Centrului European de Excelenţă pentru Blockchain, ICI se poziţionează nu doar pentru dezvoltarea competenţelor în domeniu, dar şi pentru studierea impactului blockchain asupra dezvoltării sistemului-de-sisteme de infrastructuri critice şi a mediului de securitate rezultant. De asemenea, ICI se află în procesul de aderare la o reţea europeană (EISAC) care dezvoltă şi utilizează o aplicaţie complexă de modelare a infrastructurilor critice pentru simulare, antrenament şi luarea deciziilor. Intenţia Comisiei Europene de a revizui Directiva 114/2008 care oferă cadrul principal de protecţie a infrastructurilor critice la nivel european va determina noi evoluţii în domeniu, dar şi oportunităţi de implicare pentru specialişti români în formularea documentelor de referinţă ale securităţii europene. Prin cooperarea sa cu Agenţia Europeană de Apărare, şi ICI se situează în postura de a contribui la următoarea viziunea europeană a securităţii infrastructurilor critice.

Situaţia actuală a României şi perspectivele viitoare de dezvoltare a infrastructurii interne, dar şi regionale, ne obligă să construim un sistem de protecţie flexibil şi capabil să asigure guvernanţa securităţii într-un mediu din ce în ce mai complex şi fragil. Scopul final este asigurarea continuităţii activităţii societale, menţinerea calităţii vieţii cetăţenilor, revenirea rapidă la o stare de normalitate în cazul manifestării unei ameninţări şi menţinerea prestigiului şi încrederii naţionale.

Bibliografie

Perrow, C. (1999) Normal Accidents: Living with High-Risk Technologies. Princeton University Press, ISBN: 9781400828494

Gheorghe, A., Schläpfer, M. (2014) Critical Infrastructures: Ubiquity of Digitalization and Risks of Interdependent Critical Infrastructures, IRGC - ETH Document, Zürich

Gheorghe, A., Vamanu, D., Katina, P., Pulfer, R. (2018) Critical infrastructure, key resources, key assets: [Risk, Vulnerability, Resilience, Fragility, and Perception] Governance, Springer, seria Topics in Safety, Risk, Reliability and Quality Series, Vol. 34, ISBN 978-3-319-69224-1

Rinaldi, S.M., Peerenboom, J.P., Kelly, T.K. (2001) Identifying, understanding, and analyzing critical infrastructure interdependencies. IEEE Control Systems Magazine. 21(6). p.11–25.