1. Головна
  2. Дослідження
  3. Національна безпека
  4. "Європейський досвід розбудови системи захисту критичної інфраструктури: уроки для України". Аналітична записка

"Європейський досвід розбудови системи захисту критичної інфраструктури: уроки для України". Аналітична записка

Поділитися:

Анотація

Досліджена роль концепції захисту критичної інфраструктури в системі забезпечення національної безпеки країн ЄС. Представлено короткий огляд етапів імплементації даної концепції в нормативно-правових документах ЄС та охарактеризовані основні чинники та тенденції, що спричиняють загрози для об’єктів критичної інфраструктури в країнах ЄС.

 

ЄВРОПЕЙСЬКИЙ ДОСВІД РОЗБУДОВИ СИСТЕМИ ЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ: УРОКИ ДЛЯ УКРАЇНИ

На сьогодні високий ступінь впровадження новітніх технологій є ознакою рівня розвиненості країни, визначальним чинником її економічної конкурентоспроможності, а, отже, і необхідною умовою для досягнення цілей, які визначаються національними інтересами. В той же час, поряд з багатьма перевагами технологічний прогрес утворює умови безпрецедентної залежності як окремої людини, так і суспільства від систем, що надають інформаційні, комунікаційні, транспортні, енергетичні, фінансові та інші послуги. З руйнуванням таких систем на сьогодні пов’язують найбільш пагубні безпекові сценарії для провідних держав світу, зокрема для країн ЄС. Тому, зважаючи на обмеженість ресурсів, об’єктивну неможливість забезпечити абсолютний захист і безпеку всіх інфраструктурних систем, в багатьох країнах світу імплементується концепція критичної інфраструктури (КІ), що дозволяє сконцентрувати увагу на системах, мережах та окремих об’єктах, знищення або порушення роботи яких матиме найсерйозніші негативні наслідки для національної безпеки цих країн та їх об’єднань.

 

В ЄС створення правових та організаційних механізмів захисту КІ було ініційовано в 2004 р. у зверненні Європейської Ради до Європейської Комісії (ЄК), в якому ЄК доручалося підготувати загальну стратегію захисту КІ. В жовтні 2004 р. ЄК оприлюднила офіційне повідомлення[1], в якому містився як огляд дій ЄК в цій сфері, так і пропозиції щодо додаткових заходів заради вдосконалення європейської системи запобігання, готовності та реагування на терористичні атаки спрямовані проти елементів КІ. У згаданому повідомленні зазначається, що через значну кількість об’єктів, які потенційно можуть бути віднесені до КІ, забезпечити їх захист на загальноєвропейському рівні неможливо, тому, слідуючи принципу субсидіарності, загальноєвропейським інституціям потрібно сконцентрувати зусилля на захисті тих об’єктів, припинення функціонування яких буде мати транскордонний вплив, залишивши за країнами ЄС відповідальність за решту об’єктів. В той же час, як наголошується в даному повідомленні, підхід до захисту КІ у всіх країнах ЄС повинен бути методологічно близьким. Забезпечити впровадження та реалізацію такого загального підходу мають Європейська програма захисту КІ (ЄПЗКІ) та Європейська інформаційна мережа попередження щодо загроз КІ (European Critical Infrastructure Warning Information Network, CIWIN).

 

В офіційному повідомленні № 786 за 2006 р.[2] ЄК рекомендувала всім країнам ЄС вжити заходів, зазначених в ЄПЗКІ, а саме:

- розробити національну програму захисту КІ як документ, що має правову силу;

- задовольнити такий рівень охорони здоров’я, технологічної безпеки, соціально-економічного благополуччя, який би гарантував «стійкість» нації до загроз;

- уніфікувати зусилля, спрямовані на захист КІ, надавши єдиному державному органу, що звітує з цього питання, функції координації дій державних органів влади, які спеціалізуються і мають тісні відносини з галузями промисловості, до яких належать об’єкти КІ;

- визначити органи державної влади, відповідальні за сектори КІ, та відповідні приватні компанії;

- створити умови для ефективної взаємодії та обміну інформацією, даними і досвідом між країнами-членами ЄС, урядовими структурами та приватним сектором;

- зробити внесок у створення гармонізованої методології на рівні ЄС та загальноєвропейської системи аналізу ризиків.

 

Щодо CIWIN, то основною задачею цієї мережі є створення інструментів координації та інформаційного обміну щодо КІ на загальноєвропейському рівні. CIWIN характеризується високими вимогами до забезпечення інформаційної безпеки, оскільки в мережі обробляється інформація, яка є чутливою щодо забезпечення безпеки об’єктів КІ. Через високі технічні вимоги та унікальність даної інформаційної системи підтримка її функціонування оцінюється сумою понад 600 тис. євро щорічно[3].

 

Встановлення критеріїв та визначення показників, за якими певні інфраструктури або їх елементи можна віднести до КІ, є окремим питанням для вивчення. Пропозиції щодо процедури та критеріїв визначення об’єктів КІ на загальноєвропейському рівні були представлені в Зеленій книзі (2005 р.)[4]. В ній розглянуто 11 секторів КІ, в які було включено 37 підсекторів. Надалі, при підготовці проекту директиви, було внесено 11 секторів із 29 підсекторами[5], а вже в ухваленій директиві ЄК[6] згадується тільки два сектори, що складаються з восьми підсекторів:

- енергетика (електромережі та об’єкти із генерування та передачі електроенергії; нафтопереробна та нафтовидобувна промисловість, нафтопроводи та сховища; газовидобувна промисловість, газопроводи, термінали зрідженого газу);

- транспорт (автомобільний транспорт; залізничний транспорт; авіаційний транспорт; річковий флот; океанічний і морський флот та порти).

 

Елементи всередині КІ, у свою чергу, також можуть бути впорядковані за значимістю. Наприклад, у Швейцарії найвище значення надано двом підсекторам енергетики (постачання газу та електроенергії), банківським установам, інформаційним технологіям і телекомунікаціям, залізничному транспорту та автомобільним шляхам, а також мережі постачання питної води[7].

Визначення категорій об’єктів КІ дозволяє, з одного боку, уніфікувати вимоги для об’єктів КІ однієї категорії, а з іншого, встановити диференційовані вимоги до забезпечення безпеки різних категорій таких об’єктів із урахуванням, зокрема, ступеня потенційної небезпеки здійснення акту незаконного втручання або теракту і його можливих наслідків.

 

Функціонування КІ пов’язується із підтримуванням життєво важливих функцій в суспільстві, захистом базових потреб і забезпеченням відчуття безпеки і захищеності у населення. Наприклад, в Норвегії це питання було піднято в звіті урядової комісії, яку очолював екс‑прем’єр‑міністр Коре Віллок. Серед нових викликів, пов’язаних з безпекою суспільства, були зокрема названі технологічні зміни, підвищення ефективності виробництва та тиску економічної конкуренції, зменшення обсягу державних послуг і аутсорсинг державних послуг для комерційних підприємств[8]. Ці проблеми, поряд з появою «м’яких» загроз, таких як тероризм, організована злочинність і кліматичні зміни принципово змінили контекст для відомств та спеціалізованих служб, відповідальних за підтримку та захист КІ.

 

Загрози КІ є різноманітними, а соціально-економічні наслідки їх реалізації важко оцінити через численні каскадні ефекти та взаємопов’язаність різних об’єктів КІ. Яскравою ілюстрацією цього твердження є офіційні оцінки наслідків терактів, скоєних в вересні 2001 р. в США, для авіаційного транспорту в Європі. За оцінками Асоціації європейських авіаліній (Association of European Airlines) падіння попиту на пасажирські авіаперевезення становило 15-30 %, що спричинило в останньому кварталі 2001 р. втрати в обсязі 3,6 млрд євро, та скорочення біля 17 тис. робочих місць (майже 5 % працівників) в європейських авіакомпаніях[9].

 

Терористичні акти, скоєні в європейських країнах у першому десятилітті ХХІ ст., показали, що навіть за наявності розгалуженої системи протидії тероризму, на їх території існує значний терористичний ризик. Аналіз офіційного звіту, складеного після теракту в Лондоні (липень 2005 р.), свідчить, що інфраструктурні об’єкти та місця масового скупчення людей є дуже вразливими до терористичних загроз[10].

 

Інша група загроз – загрози природного характеру, як свідчить статистика міжнародної бази даних з надзвичайних ситуацій[11], характеризується тенденцією до зростання чисельності стихійних метеорологічних явищ та масштабів їх наслідків для країн ЄС. Тому євроспільнота все більше уваги приділяє дослідженням стійкості електроенергетичних мереж, які вважаються найбільш вразливими до кліматичних чинників[12].

 

Масштабні аварії в електроенергетичних мережах демонструють щільний взаємозв’язок між різними секторами КІ, різноманітні прояви ефекту каскадних відмов. Наприклад, «затемнення» в Італії, що відбулося у вересні 2003 р., призвело до перебоїв у функціонуванні залізничного транспорту, служб та установ надання медичної допомоги населенню, фінансових електронних сервісів і, взагалі, усіх телекомунікаційних мереж. Проведені дослідження функціонування електроенергетичних мереж показують також, що ризики виникають як внаслідок недоліків структурної побудови самої мережі, так і вразливостей, що мають її інформаційні та керуючі підсистеми[13].

 

Не викликає сумніву те, що серед техногенних загроз для КІ особливу небезпеку становлять кіберзагрози. Кібератак через мережу Інтернет зазнають сервери державних установ, великих компаній, фінансових установ. Новітньою тенденцією стали кібератаки на промислові системи автоматизованого управління технологічними процесами[14].

 

Слід відзначити, що в ЄС виділяються значні кошти на проведення науково-дослідних проектів з тематики захисту КІ. У вище згаданому робочому документі апарату ЄК наводяться дані про виконання понад сотні науково-дослідних проектів на загальну суму в 45 млн євро[15]. Загрози для об’єктів КІ оцінюються із застосуванням різноманітних методик та прикладного програмного забезпечення, в основі яких лежить загальна методологія оцінки ризиків, причому ключовою особливістю оцінки ризиків для КІ є врахування численних взаємозв’язків та залежностей. Про це свідчить звіт Інституту захисту та безпеки громадян (входить до складу Об’єднаного дослідницького центру ЄК)[16].

 

Захист КІ потребує партнерської взаємодії між власниками та операторами КІ з одного боку та урядовими структурами країн ЄС з іншого. В офіційному повідомленні ЄК зазначається, що «посилення органами державної влади відповідних заходів безпеки, пов’язаних з хвилею атак, які спрямовані проти суспільства в цілому, а не проти окремих діючих гравців промисловості, мають бути здійснені за рахунок держави»[17]. Тобто, на державу покладається фундаментальна роль щодо захисту КІ. В той же час відповідальність за управління ризиком, пов’язаним із промисловими об’єктами, системою поставок, інформаційними технологіями та комунікаційними мережами, лягає на власників та операторів об’єктів КІ. Тому інформаційні попередження, консультативні та дорадчі матеріали повинні бути доступні та допомагати громадськості й приватному сектору в захисті ключових систем інфраструктури.

 

Водночас забезпечення безпеки та надійності функціонування вимагає значних фінансових витрат, а прийняття рішень щодо таких інвестицій здійснюється на основі ретельного економічного аналізу в розрізі «витрати‑вигоди». Як показують дослідження, компанії, що працюють в телекомунікаційному секторі КІ, приділяють значно більше уваги здатності технічних систем справлятися з відмовами (аваріями), що характеризуються високою ймовірністю настання але низьким рівнем втрат, в той же час як аваріям, що характеризуються низькою ймовірністю настання та вкрай високим рівнем наслідків приділяється недостатньо уваги і виділяється менше ресурсів[18]. Використання такого підходу пояснюється намаганнями компаній створити для себе ринкові переваги (за показником якості послуг) хоча б в середньо терміновій перспективі, залишаючись привабливими для інвесторів.

 

Корисним є досвід імплементації концепції захисту КІ в законодавствах деяких країн європейських сусідок України. Наприклад, в нормативно-правовій базі Республіки Польща (Закон про управління кризовими ситуаціями[19]) введено термін «захист критичної інфраструктури», під яким розуміються всі «зусилля, спрямовані на забезпечення функціональності, неперервності та цілісності критично важливих об’єктів інфраструктури в цілях запобігання загрозам, ризикам і вразливості та обмеження, а також нейтралізації їх наслідків і швидкого оновлення інфраструктури у випадку відмов, атак та інших випадків, що порушують її належне функціонування».

 

В Угорщині в 2012 р. прийнятий Закон щодо захисту критичної інфраструктури[20], в якому визначається порядок та принципи визначення об’єктів КІ, що мають бути віднесені до загальноєвропейської КІ. Окрім цього в законі визначені загальні правила щодо реєстрації об’єктів КІ, забезпечення їх безпеки, проведення інспекцій тощо. Також розробляються нормативно-правові акти, що регулюють окремі сектори КІ. Наприклад, для енергетичного сектору підписаний окремий нормативний документ - наказ уряду Угорщини[21].

Схожа ситуація спостерігається у нормативно-правовій базі Словацької Республіки, де в 2007 р. уряд ухвалив «Концепцію критичної інфраструктури в Словацькій Республіці, її захисту та оборони»[22], а на її основі в 2008 р. була розроблена «Національна програма захисту та оборони критичної інфраструктури»[23]. Ці документи визначають загальні (концептуальні) характеристики стратегії захисту КІ, але не надають детальний опис заходів з її здійснення.

В законодавстві Республіки Болгарія термін «критична інфраструктура» подано в Законі «Про захист від стихійних лих» (жовтень 2011р.): «критична інфраструктура» є системою або їх частиною, яка необхідна для підтримки життєво важливих соціальних функцій, здоров’я, безпеки, економічного чи соціального добробуту населення, її руйнування або знищення матиме серйозний негативний вплив та спричинить для Болгарії нездатність підтримувати такі функції». Прийнята постанова Ради Міністрів Болгарії «Про порядок, спосіб та компетентні органи для визначення критичної інфраструктури та об’єктів і оцінки ризиків» (жовтень 2012 р.)[24]. Також діють нормативні документи, що регламентують порядок взаємодії між окремими відомствами щодо питань захисту критичної інфраструктури (див., наприклад, інструкцію[25]). Відповідно до положень директиви ЄК № 114 2008 р. Рада Міністрів Республіки Болгарія прийняла постанову, в якій визначається порядок визначення об’єктів критичної інфраструктури в двох секторах (енергетика та транспорт) та заходів з їх захисту[26].

 

Висновки та пропозиції

На сьогодні концепція захисту критичної інфраструктури імплементована як в загальноєвропейському законодавстві, так і в національних законодавствах окремих країн-членів ЄС. Загальноєвропейською критичною інфраструктурою вважається та, що має транскордонне, в межах ЄС, значення. Нині лише два сектори (енергетика та транспорт) визначені як пріоритетні на загальноєвропейському рівні.

Україна за своїм географічним положенням є частиною енергетичного та транспортного панєвропейського простору, а, отже, де-факто пов’язана з європейською критичною інфраструктурою, що відкриває можливості для діалогу з питань безпеки критичної інфраструктури між вповноваженими органами влади України та країн європейських сусідок України.

 

Зважаючи на євроінтеграційні прагнення України, а отже розуміючи необхідність забезпечення гармонізації підходів та методології, що використовується в сфері національної безпеки України із загальноєвропейськими нормами, вважаємо за доцільне:

  1. Апарату Раді національної безпеки та оборони України розглянути можливість включення до плану засідань у період 2014-2015 років питання захисту критично важливих для існування держави, безпеки населення та довкілля систем і об’єктів на основі поняття «критична інфраструктура»;
  2. Міністерству закордонних справ України в проект Річної національної програми співробітництва Україна - НАТО на 2014 рік внести пункт щодо підготовки «Концепції захисту критичної інфраструктури України» з подальшим поданням її для затвердження Указом Президента України;
  3. Кабінету Міністрів України, центральним органам виконавчої влади сприяти адаптації законодавства України в сфері національної безпеки до вимог нормативно-законодавчих документів ЄС з питань захисту критичної інфраструктури.

Відділ екологічної та техногенної безпеки

(Ю.М. Скалецький, Д.С. Бірюков, С.І. Кондратов)


[1] Communication from the Commission to the Council and the European Parliament of 20 October 2004 – Critical infrastructure protection in the fight against terrorism (COM/2004/702 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[2] Communication from the Commission on a European Programme for Critical Infrastructure Protection (COM/2006/786 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[3] Commission staff working document – Accompanying document to the proposal for a Council decision on creating a Critical Infrastructure Warning Information Network (CIWIN) – Impact assessment (SEC/2008/2702). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[4] Green paper on a European programme for critical infrastructure protection (COM/2005/576 final). – [Електронний ресурс]. – Режим доступу:  http://eur-lex.europa.eu/

[5] Proposal for a Directive of the Council on the identification and designation of European critical infrastructure and the assessment of the need to improve their protection (COM/2006/787 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[6] Council Directive 2008/114/EC “On the identification and designation of European critical infrastructures and the assessment of the need to improve their protection”. – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[7] The Federal Council’s Basic strategy for critical infrastructure protection [Електронний ресурс]. – Federal Administration. – Режим доступу: http://www.bevoelkerungsschutz.admin.ch

[8] Protection of critical infrastructures and critical societal functions in Norway [Електронний ресурс] // Report NOU 2006:6 submitted to the Ministry of Justice and the Police by the government appointed commission for the protection of critical infrastructure on 5th of April 2006. – Режим доступу: http://www.regjeringen.no/ 

[9] Communication from the Commission to the European Parliament and the Council - The repercussions of the terrorist attacks in the United States on the air transport industry (COM/2001/574 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[10] Report into the London terrorist attacks on 7 July 2005. Presented to Parliament by the Prime Minister / Intelligence and Security Committee, 2006.

[11] EM-DAT : The OFDA/CRED International Disaster Database / Université Catholique de Louvain, Брюссель, Бельгія. – [Електронний ресурс]. – Режим доступу: www.emdat.be

[12] Rubbelke D., Vogele S., Impacts of climate change on European critical infrastructures: The case of the power sector // Environmental science and policy. – 14. – 2011. – P. 53 – 63.

[13] Fridheim H., Hagen J., Henriksen S., En sårbar kraftforsyning - Sluttrapport etter BAS3, Forsvarets Forskningsinstitutt, Kjeller [Крихка влада - Заключний звіт для BAS3, Дослідницький інститут оборони - Defence Research Establishment, м. Кьеллер], 2001

[14] International CIIP Handbook / Edt. Wenger A., Metzger J., Dunn M. – Zurich: Swiss Federal Institute of Technology, 2012. – 218 p.

[15] SWD(2013) 318 final: On a new approach to the European Programme for Critical Infrastructure Protection. Making European Critical Infrastructures more secure [Електронний ресурс]. – EC staff working document. – Режим доступу. – http://ec.europa.eu

[16] Risk assessment methodologies for critical infrastructure protection. Part I: A state of the art / G.Giannopoulos, R.Filippini, M. Schimmer. – Luxembourg: Joint Research Centre of Institute for the Protection and Security of the Citizen, 2012. – 70 p.

[17] Communication from the Commission to the European Parliament and the Council - The repercussions of the terrorist attacks in the United States on the air transport industry (COM/2001/574 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/

[18] Protection of critical infrastructures and critical societal functions in Norway [Електронний ресурс] // Report NOU 2006:6 submitted to the Ministry of Justice and the Police by the government appointed commission for the protection of critical infrastructure on 5th of April 2006. – Режим доступу: http://www.regjeringen.no/ 

[19] Act of 26 April 2007 on Crisis Management. – Пер. англ. мовою [Електронний ресурс]. – Веб-сайт Урядового центру з питань безпеки, Республіки Польщі. – Режим доступу: http://rcb.gov.pl/eng/wp-content/uploads/2011/03/ACT-on-Crisis-Management-final-version-31-12-2010.pdf

[20] Act No. CLXVI. of 2012. Оn the identification, designation and protection of critical infrastructures

[21] Government Decree No. 360/2013. (X.11.)

[22] Koncepcia kritickej infraštruktúry v Slovenskej republike a spôsob jej ochrany a obrany [Електронний ресурс]. – Веб-сайт Міністерства внутрішніх справ Республіки Словаччина. – Режим доступу: http://www.minv.sk/?ochrana-kritickej-infrastruktury&subor=10691

[23] Národný program pre ochranu a obranu kritickej infraštruktúry v Slovenskej republike [Електронний ресурс]. – Веб-сайт Міністерства внутрішніх справ Республіки Словаччина. – Режим доступу: http://www.minv.sk/?ochrana-kritickej-infrastruktury&subor=10692

[24] Наредба за реда, начина и компетентните органи за установяване на критичните инфраструктури и обектите им и оценка на риска за тях [Електронний ресурс]. – Българският правен портал. – Режим доступу: http://www.lex.bg/bg/mobile/ldoc/2135816878

[25] Инструкция № М-3 от 18.06.2011 г. "За взаимодействие между министерството на отбраната и министерството на вътрешните работи" // Издадена от Министерството на отбраната и Министерството на вътрешните работи (Обн. ДВ. бр.60 от 5 Август 2011г.) [Електронний ресурс]. – Българският правен портал. – Режим доступу: http://www.lex.bg/bg/laws/ldoc/2135744408

[26] Постановление №18 от 01.02.2011 г. "За установяването и означаването на европейски критични инфраструктури в република България и мерки за тяхната защита" [Електронний ресурс]. – Българският правен портал. – Режим доступу: http://www.lex.bg/bg/laws/ldoc/2135716127