A katasztrófavédelem informatikai elhárításra is felkészül például energetikai cégek hálózata ellen Népszabadság/archív - Bócsi Krisztián
Hackertámadásnak esett áldozatául az Egyesült Államok Illinois államának
egyik vízszolgáltatója tavaly ősszel. Az interneten keresztül egy
oroszországi számítógépről hatoltak be a cég informatikai rendszerébe,
és egy szivattyút tönkre is tettek. Ha a hír igaz, ez az első eset, hogy
amerikai ipari létesítmény működését külföldi hackerek képesek voltak
fizikailag is befolyásolni.
Az ilyen támadásnak súlyos következményei lehetnek, s az akár
emberéleteket is követelhet – hangsúlyozta kérdésünkre Kossa György
tűzoltó ezredes úr, a Belügyminisztérium Országos Katasztrófavédelmi
Főigazgatóság (OKF) országos iparbiztonsági főfelügyelője. Ehhez képest
szerinte csak rossz tréfa, ha feltörnek egy honlapot és kicserélik az
ott található tartalmat. Ez utóbbira már nálunk is volt több példa, de a
közszolgáltatások megbénítását célzó ellenséges beavatkozás még nem
történt, mindazonáltal hasonló akciókra bárhol számítani lehet.
E tekintetben több mint húszéves lemaradást kell most pótolni –
jelentette ki a főfelügyelő –, s az első feladat, hogy felmérjék az
ország működése, a lakosság alapvető ellátása szempontjából
létfontosságú rendszereket. Ezek közé tartozhatnak az informatika és
távközlés, a közlekedés, az energetika – beleértve a villamosenergia-,
földgáz és üzemanyag-ellátást – területén működő cégek, az egészségügyi
intézmények, de az élelmiszer- és ivóvízellátást, valamint a jogrend
fenntartását és a kormányzat működését biztosító létesítmények sora is.
Ha ezeket számba vették, a jelenlegi szakmai elképzelés alapján az
OKF határozatban jelöli ki az érintett rendszer elemeit. Ezt követően az
érintett létesítményeknek a fizikai és informatikai védelemre is
kiterjedő biztonsági tervet kell készíteniük. A kritikus infrastruktúra
felmérése egyébként a katasztrófavédelmi törvény alapján már
megkezdődött, és várhatóan az év végéig befejeződik – tudtuk meg a
főfelügyelőtől.
Arról a létfontosságú rendszerek és létesítmények kijelöléséről szóló
törvény rendelkezik majd, hogy az állam működésének, illetve az
alapvető közszolgáltatások biztosításának érdekében kit milyen
kötelezettségek terhelnek. A tervezetet a kormány honlapján már
közzétették, és a szakmai egyeztetések után terjesztik a parlament elé.
Szimpátiájának a gépházon jelét adó informatikus ül a hackerek éves találkozóján Sao Paulóban Reuters - Fernando Donasci
A jogszabály alapján fel kell készülni arra, hogy mi a teendő, ha
valamilyen természeti csapás vagy civilizációs tevékenység hatására a
rendszer bármely eleme működésképtelenné válik – emelte ki az ezredes. A
megfelelő forgatókönyveket pedig a lehetséges kockázatok elemzése
alapján lehet kidolgozni. A rendkívüli időjárás – például az extrém
hideg vagy meleg, a havazás vagy felhőszakadás, a viharos szél –,
esetleg egy ipari baleset nagyobb valószínűséggel okoz súlyos zavarokat,
mint egy terrortámadás vagy nemzetközi konfliktus, illetve egy
földrengés, de minden helyzetre számítani kell – állítja a főfelügyelő.
Figyelemmel kell lenni ugyanakkor a dominóhatásra is – hívta fel a
figyelmet egy másik szempontra az ezredes. Ha megszűnne például a
villamosenergia-ellátás, nem működnének az informatikai és a távközlési
rendszerek, a csapból nem folyna víz, sok lakásban leállna a fűtés, de
zavarok támadnának a közlekedésben is. Amennyiben a vízellátásban lenne
fennakadás, amiatt nagy valószínűséggel le kellene kapcsolni erőműveket
is, s ez áramkimaradáshoz, illetve esetlegesen más fontos rendszerek
megbénulásához vezetne. Az informatikai hálózatok esetleges összeomlása
pedig totális káoszt okozna, hiszen leállna a banki szektor,
megszűnhetne az áramellátás, nem működne a hírközlés…
Kossa elmondta: a szaktárcák határozzák majd meg, hogy az egyes
ágazatoknak milyen intézkedéseket kell hozniuk rendkívüli helyzetekben, s
milyen minimális szolgáltatásokat kell lehetőség szerint üzemzavar
esetén is biztosítani. Például internet nélkül meg lehet lenni, áram
nélkül már kevésbé, mert – ha csak rövid időre is, de – állami szervek
válhatnának működésképtelenné, nem lehetne elérni a mentőket, a
tűzoltókat, sötétbe borulhatnának egész települések. Ha pedig a zavarok
még a hírközlésre is kiterjednének, a lakosságot sem lehetne
tájékoztatni a kialakult helyzetről.
Ezért a főfelügyelő szerint indokolt lehet egyes rendszerek
megkettőzése – a bankok esetében ez már ma is így van –, valamint
fokozott informatikai és fizikai védelme. De meghatározhatják akár azt
is, hogy bizonyos létesítményeket – például a mobiltelefonok működéséhez
szükséges átjátszó antennákat – miként kell elhelyezni, hogy akár árvíz
esetén is működőképesek maradjanak. Emellett megfelelő protokollokat,
eljárásrendeket kell kidolgozni arra, hogy üzemzavar esetén
átállhassanak kézi vezérlésre, ami a villamosenergia-, víz- és
gázszolgáltatásban egyaránt jól jöhet.
Az egészségügyben vagy éppen a lakosság alapvető élelmiszerekkel
történő ellátása terén ugyancsak le kell fektetni bizonyos
alapkövetelményeket. Például a kórházaknak szüksége van saját
áramforrásra, különben hálózati hiba esetén betegek maradhatnak
ellátatlanul vagy halhatnak meg. Hasonlóképpen fontos, hogy
szükséghelyzetben a lakosság legalább kenyeret és tejet vásárolhasson,
amelynek a logisztikai feltételeit jó előre ki kell dolgozni – hoz fel
más példát az országos iparbiztonsági főhatóság vezetője.
Azt nem lehet garantálni, hogy a szolgáltatásokban soha ne
következzék be semmilyen zavar – hangsúlyozza a főfelügyelő –, mert
szélvihar vagy a rendkívüli hideg miatt bármikor leszakadhat egy
villamos távvezeték, eltörhet egy gázvezeték, tönkremehet egy szerver.
Az amerikai példa meg azt mutatja, hogy közüzemek válhatnak hackerek
célpontjává, de elvileg a kritikus infrastruktúra fizikai
megsemmisítésére irányuló terrortámadás – egy bombamerénylet – sem
zárható ki.
A fogyasztás korlátozása
Ilyen esetekre szintén megfelelő eljárási rendet kell kialakítani.
Például a villamosenergia-, ivóvíz- vagy gázellátás zavarai esetén a
lakossági, illetve az alapvető közszolgáltatásokat biztosító
fogyasztókat, illetve egyes állami intézményeket – például a kórházakat,
a mentőket, a rendvédelmi szerveket – kell előnyben részesíteni, míg
bizonyos cégeket akár le is kapcsolhatnak a hálózatról. Ugyanakkor
veszélyhelyzetben a katasztrófavédelem a fogyasztást az előre
meghatározott szabályok szerint korlátozhatná, ami elsősorban a
gazdasági szereplőket, de kivételesen a lakosságot is érinthetné. Az
ezredes hozzátette: meghatározzák azt is, hogy az egyes szolgáltatásokat
mennyi idő alatt kell helyreállítani, illetve milyen sorrendben kell a
fogyasztókat visszakapcsolni.
A készülő jogszabály lehetővé teszi majd – tájékoztatott a
főfelügyelő –, hogy a katasztrófavédelem ellenőrizze a veszélyes
infrastruktúra elemeinek működését, a kockázatelemzés alapján előírt
biztonsági intézkedések betartását. Az érintett cégeknél biztonsági
összekötőt is alkalmazni kell, aki a hatóságokkal rendszeres kapcsolatot
tart majd.
Lehetőség szerint csökkenteni kell a belső kockázatokat is – tette
hozzá a főfelügyelő –, vagyis az egyes létesítmények vezetőinek, esetleg
a fontosabb feladatokkal megbízott munkatársainak kiválasztásánál
szigorúbb feltételeket kell szabni. Néhány helyen már ma is vannak erre
vonatkozó előírások. |