A katasztrófavédelem informatikai elhárításra is felkészül például energetikai cégek hálózata ellen
Népszabadság/archív - Bócsi Krisztián Hackertámadásnak esett áldozatául az Egyesült Államok Illinois államának egyik vízszolgáltatója tavaly ősszel. Az interneten keresztül egy oroszországi számítógépről hatoltak be a cég informatikai rendszerébe, és egy szivattyút tönkre is tettek. Ha a hír igaz, ez az első eset, hogy amerikai ipari létesítmény működését külföldi hackerek képesek voltak fizikailag is befolyásolni.

A hadsereget küldenék a hackerek ellen

Az ilyen támadásnak súlyos következményei lehetnek, s az akár emberéleteket is követelhet – hangsúlyozta kérdésünkre Kossa György tűzoltó ezredes úr, a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság (OKF) országos iparbiztonsági főfelügyelője. Ehhez képest szerinte csak rossz tréfa, ha feltörnek egy honlapot és kicserélik az ott található tartalmat. Ez utóbbira már nálunk is volt több példa, de a közszolgáltatások megbénítását célzó ellenséges beavatkozás még nem történt, mindazonáltal hasonló akciókra bárhol számítani lehet.

E tekintetben több mint húszéves lemaradást kell most pótolni – jelentette ki a főfelügyelő –, s az első feladat, hogy felmérjék az ország működése, a lakosság alapvető ellátása szempontjából létfontosságú rendszereket. Ezek közé tartozhatnak az informatika és távközlés, a közlekedés, az energetika – beleértve a villamosenergia-, földgáz és üzemanyag-ellátást – területén működő cégek, az egészségügyi intézmények, de az élelmiszer- és ivóvízellátást, valamint a jogrend fenntartását és a kormányzat működését biztosító létesítmények sora is.

Ha ezeket számba vették, a jelenlegi szakmai elképzelés alapján az OKF határozatban jelöli ki az érintett rendszer elemeit. Ezt követően az érintett létesítményeknek a fizikai és informatikai védelemre is kiterjedő biztonsági tervet kell készíteniük. A kritikus infrastruktúra felmérése egyébként a katasztrófavédelmi törvény alapján már megkezdődött, és várhatóan az év végéig befejeződik – tudtuk meg a főfelügyelőtől.

Arról a létfontosságú rendszerek és létesítmények kijelöléséről szóló törvény rendelkezik majd, hogy az állam működésének, illetve az alapvető közszolgáltatások biztosításának érdekében kit milyen kötelezettségek terhelnek. A tervezetet a kormány honlapján már közzétették, és a szakmai egyeztetések után terjesztik a parlament elé.

Szimpátiájának a gépházon jelét adó informatikus ül a hackerek éves találkozóján Sao Paulóban
Reuters - Fernando Donasci A jogszabály alapján fel kell készülni arra, hogy mi a teendő, ha valamilyen természeti csapás vagy civilizációs tevékenység hatására a rendszer bármely eleme működésképtelenné válik – emelte ki az ezredes. A megfelelő forgatókönyveket pedig a lehetséges kockázatok elemzése alapján lehet kidolgozni. A rendkívüli időjárás – például az extrém hideg vagy meleg, a havazás vagy felhőszakadás, a viharos szél –, esetleg egy ipari baleset nagyobb valószínűséggel okoz súlyos zavarokat, mint egy terrortámadás vagy nemzetközi konfliktus, illetve egy földrengés, de minden helyzetre számítani kell – állítja a főfelügyelő.

Figyelemmel kell lenni ugyanakkor a dominóhatásra is – hívta fel a figyelmet egy másik szempontra az ezredes. Ha megszűnne például a villamosenergia-ellátás, nem működnének az informatikai és a távközlési rendszerek, a csapból nem folyna víz, sok lakásban leállna a fűtés, de zavarok támadnának a közlekedésben is. Amennyiben a vízellátásban lenne fennakadás, amiatt nagy valószínűséggel le kellene kapcsolni erőműveket is, s ez áramkimaradáshoz, illetve esetlegesen más fontos rendszerek megbénulásához vezetne. Az informatikai hálózatok esetleges összeomlása pedig totális káoszt okozna, hiszen leállna a banki szektor, megszűnhetne az áramellátás, nem működne a hírközlés…

Kossa elmondta: a szaktárcák határozzák majd meg, hogy az egyes ágazatoknak milyen intézkedéseket kell hozniuk rendkívüli helyzetekben, s milyen minimális szolgáltatásokat kell lehetőség szerint üzemzavar esetén is biztosítani. Például internet nélkül meg lehet lenni, áram nélkül már kevésbé, mert – ha csak rövid időre is, de – állami szervek válhatnának működésképtelenné, nem lehetne elérni a mentőket, a tűzoltókat, sötétbe borulhatnának egész települések. Ha pedig a zavarok még a hírközlésre is kiterjednének, a lakosságot sem lehetne tájékoztatni a kialakult helyzetről.

Ezért a főfelügyelő szerint indokolt lehet egyes rendszerek megkettőzése – a bankok esetében ez már ma is így van –, valamint fokozott informatikai és fizikai védelme. De meghatározhatják akár azt is, hogy bizonyos létesítményeket – például a mobiltelefonok működéséhez szükséges átjátszó antennákat – miként kell elhelyezni, hogy akár árvíz esetén is működőképesek maradjanak. Emellett megfelelő protokollokat, eljárásrendeket kell kidolgozni arra, hogy üzemzavar esetén átállhassanak kézi vezérlésre, ami a villamosenergia-, víz- és gázszolgáltatásban egyaránt jól jöhet.

Az egészségügyben vagy éppen a lakosság alapvető élelmiszerekkel történő ellátása terén ugyancsak le kell fektetni bizonyos alapkövetelményeket. Például a kórházaknak szüksége van saját áramforrásra, különben hálózati hiba esetén betegek maradhatnak ellátatlanul vagy halhatnak meg. Hasonlóképpen fontos, hogy szükséghelyzetben a lakosság legalább kenyeret és tejet vásárolhasson, amelynek a logisztikai feltételeit jó előre ki kell dolgozni – hoz fel más példát az országos iparbiztonsági főhatóság vezetője.

Azt nem lehet garantálni, hogy a szolgáltatásokban soha ne következzék be semmilyen zavar – hangsúlyozza a főfelügyelő –, mert szélvihar vagy a rendkívüli hideg miatt bármikor leszakadhat egy villamos távvezeték, eltörhet egy gázvezeték, tönkremehet egy szerver. Az amerikai példa meg azt mutatja, hogy közüzemek válhatnak hackerek célpontjává, de elvileg a kritikus infrastruktúra fizikai megsemmisítésére irányuló terrortámadás – egy bombamerénylet – sem zárható ki.

A fogyasztás korlátozása

Ilyen esetekre szintén megfelelő eljárási rendet kell kialakítani. Például a villamosenergia-, ivóvíz- vagy gázellátás zavarai esetén a lakossági, illetve az alapvető közszolgáltatásokat biztosító fogyasztókat, illetve egyes állami intézményeket – például a kórházakat, a mentőket, a rendvédelmi szerveket – kell előnyben részesíteni, míg bizonyos cégeket akár le is kapcsolhatnak a hálózatról. Ugyanakkor veszélyhelyzetben a katasztrófavédelem a fogyasztást az előre meghatározott szabályok szerint korlátozhatná, ami elsősorban a gazdasági szereplőket, de kivételesen a lakosságot is érinthetné. Az ezredes hozzátette: meghatározzák azt is, hogy az egyes szolgáltatásokat mennyi idő alatt kell helyreállítani, illetve milyen sorrendben kell a fogyasztókat visszakapcsolni.

A készülő jogszabály lehetővé teszi majd – tájékoztatott a főfelügyelő –, hogy a katasztrófavédelem ellenőrizze a veszélyes infrastruktúra elemeinek működését, a kockázatelemzés alapján előírt biztonsági intézkedések betartását. Az érintett cégeknél biztonsági összekötőt is alkalmazni kell, aki a hatóságokkal rendszeres kapcsolatot tart majd.

Lehetőség szerint csökkenteni kell a belső kockázatokat is – tette hozzá a főfelügyelő –, vagyis az egyes létesítmények vezetőinek, esetleg a fontosabb feladatokkal megbízott munkatársainak kiválasztásánál szigorúbb feltételeket kell szabni. Néhány helyen már ma is vannak erre vonatkozó előírások.