Вступ
У світі дедалі ширше використовується інтегрований підхід до забезпечення безпеки систем, об’єктів і ресурсів, які є критично важливими для життєдіяльності тієї чи іншої держави або об’єднання держав (наприклад, Європейського Союзу) від терористичних загроз, а також загроз іншої природи - природних та техногенних.
Не оминула ця тенденція і Україну. І хоча термін «критична інфраструктура» ще не отримав свого визначення у національному законодавстві, він, де-факто, вже використовується в таких основоположних документах, як Стратегія національної безпеки України «Україна у світі, що змінюється» (в редакції, затвердженій Указом Президента України від 8 червня 2012 року № 389/2012), щоправда стосовно окремих систем, важливих для забезпечення національної безпеки: «інфраструктури транзиту та постачання енергоносіїв на внутрішній і зовнішні ринки», «критичної інфраструктури паливно-енергетичного комплексу», «систем управління об'єктами критичної інфраструктури» з точки зору інформаційної безпеки.
За відсутності дефініції терміну «критична інфраструктура» у національному законодавстві у подальшому розгляді будемо спиратися на його визначення в законодавстві США, які першими серед інших країн почали розвивати і втілювати в життя відповідний концептуальний підхід.
В американському законодавстві під критичною інфраструктурою розуміються «системи та ресурси, фізичні чи віртуальні, настільки життєво важливі для Сполучених Штатів, що недієздатність або знищення таких систем або ресурсів підриває національну безпеку, національну економіку, здоров’я або безпеку населення, або має своїм результатом будь-яку комбінацію з переліченого» (USA PATRIOT Асt, 2001) [1].
При цьому виявляється, що сформульований вище підхід до включення певних систем, об’єктів і ресурсів до критичної інфраструктури (далі – КІ) держави, з одного боку, дозволяє системно вирішувати проблеми їхнього захисту, а з іншого - висуває на перший план завдання оцінки ризиків для окремих її елементів з тим, щоб направити відповідні ресурси насамперед туди, де ризики є найбільшими і де першочергові та подальші заходи будуть давати максимальний ефект.
При оцінці ризиків, пов’язаних із загрозами природного, техногенного та соціально-політичного (в т.ч. терористичного) характеру виявляється, що найбільш складним завданням є оцінка саме терористичних ризиків, що обумовлено самою природою інформації та даних, які використовуються при цьому.
В сучасних умовах, які характеризуються тенденцією до наростання загроз тероризму на тлі глобальних кризових процесів у фінансово-економічній сфері, актуальність проблеми оцінки терористичних ризиків для КІ загострилася ще більше, адже без оцінки ризиків не можливе їх ефективне зниження.
Незважаючи на чутливу природу цієї тематики, у відкритому доступі представлено достатньо багато серйозних досліджень, серед яких слід виділити цілу низку публікацій американської неурядової неприбуткової дослідної організації RAND Co [2], зокрема монографію «Оцінюючи ризик тероризму» (2005р.) [3].
У зазначеній роботі запропоновано ризик тероризму або терористичний ризик розглядати як такий, що включає в себе три компоненти:
- загрозу можливій цілі терористів (англ. - the threat to a target);
- уразливість можливої цілі стосовно цієї загрози (англ. - target’s vulnerability); та
- наслідки (англ. - consequences) у випадку, якщо згадана ціль буде успішно атакована терористами.
Коротко розглянемо запропонований дослідниками RAND Co. підхід до визначення терористичного ризику з огляду на його застосування до КІ.
Загроза (англ. - threat)
Окремі особи або організації представляють собою терористичну загрозу, коли вони мають намір та можливості завдати шкоду певній цілі. Слід підкреслити, що ні наміри без можливостей, ні можливості без намірів не створюють загрози. Виділення певних ресурсів для захисту КІ спирається на визначення рівня загроз, які існують для конкретних цілей або від конкретних способів нападу. Коли рівень загрози визначений з точки зору конкретного набору цілей, конкретного набору способів нападу і конкретного періоду часу, то у такому разі можна говорити про величину ймовірності того, що напад буде здійснено. Таким чином, автори пропонують вимірювати загрозу в такий спосіб:
Величина загрози: Ймовірність того, що певна ціль може бути атакована у певний спосіб упродовж певного періоду часу,
або
Загроза = P (ймовірність того, що напад відбудеться).
На практиці може виявитися достатнім розглянути лише обмежену кількість видів нападу та типів об’єктів, на які вони можуть бути здійснені.
Крім того, важливо підкреслити, що запропоноване вище визначення загрози було зроблене з точки зору видів нападу і типів цілей, у той час, як розвідувальне співтовариство, зазвичай, надає перевагу розгляду загрози з точки зору характеристик груп нападників (терористів), враховуючи завдання розвідувальних органів, правоохоронців та спецслужб визначити та зупинити тих, хто створює загрозу КІ. Натомість, акцент на видах нападу є більш продуктивним при вирішенні питань щодо виділення коштів та інших ресурсів для забезпечення захисту елементів КІ проти терористичних нападів, оскільки при цьому більш важливим є те, які цілі знаходяться під більшою загрозою, ніж те, яка група терористів їм загрожує і чому.
Нарешті, оскільки визначення величини загрози передбачає залежність від параметрів, слід брати до уваги, що загроза може бути представлена у вигляді розподілу ймовірності, а не одиничним значенням.
Уразливість (англ. - vulnerability)
Очевидно, що не усі загрози одного типу є однаково небезпечними для об’єктів і систем КІ. Наприклад, навіть якщо звичайний готель і укріплена військова база з однаковою ймовірністю можуть бути атаковані терористами з використанням завантаженого вибухівкою автотранспортного засобу, то, очевидно, більш значні руйнування та більша кількість жертв будуть мати місце у випадку нападу на готель. Відповідно, це може бути враховано через запровадження такого терміну як уразливість, під яким у загальному сенсі слід розуміти вияв таких станів (наприклад, фізичних, технічних, організаційних, культурних тощо) системи, які можуть мати своїм наслідком нанесення шкоди [системі – С.К.] у результаті атаки супротивника.
Щоб використати цей термін для визначення уразливості необхідна більша конкретизація, тобто відповідь на питання, «уразливість по відношенню до чого?».
У такому випадку імовірність (англ. - probability) можна використати для визначення правдоподібності (англ. - likelihood) того, що уразливість призведе до нанесення шкоди у випадку, якщо напад відбудеться.
Величина уразливості:імовірність того, що буде нанесено шкоду (де шкода може включати смерті, поранення, пошкодження власності або інші наслідки) при даному виді нападу на вказану ціль в конкретний проміжок часу,
або
Уразливість = Р (напад призведе до шкоди/у випадку його здійснення).
Іншими словами, уразливість цілі можна розуміти як ймовірність того, що атака певного виду виявиться успішною, якщо її буде здійснено. При цьому це стосується лише певного виду шкоди, тобто оцінки будуть різними для смертельних випадків, поранення людей та нанесення шкоди власності.
Більш загальні моделі (часто використовуються при аналізі у військовій сфері) враховують наявність цілого діапазону рівнів шкоди, для кожного з яких існує своя ймовірність при визначенні уразливості.
Наслідки (англ. – consequences)
Відповідно до підходу, що розглядається, під «наслідками» розуміються величина і тип шкоди, нанесеної успішною атакою терористів. Для визначення величини наслідків, знову ж таки, необхідно ввести конкретність.
Величина наслідків: Очікувана величина шкоди (наприклад, кількість смертей, поранених, або пошкодження власності тощо) упродовж конкретного проміжку часу при заданому виді нападу, що призвів до нанесення шкоди певній цілі,
або
Наслідки = Е (шкода/атака мала місце і нанесла шкоду).
Ризик як функція загрози, уразливості та наслідків
Ризик являє собою передбачувані (очікувані) наслідки упродовж певного періоду часу для певного типу цілей, які можуть мати місце в результаті реалізацій певного набору загроз. Для конкретної загрози, конкретних об’єкту (цілі) та типу наслідків ризик можна визначити за такою формулою:
Величина (терористичного ризику): Очікувані наслідки існуючої загрози, які для даної цілі, виду нападу і типу шкоди може бути виражена таким чином:
Ризик = Р (ймовірність здійснення нападу) ×Р (ймовірність, що напад призведе до шкоди у випадку його здійснення) × Е (нанесена шкода у випадку здійснення нападу),
тобто
Ризик = Загроза × Уразливість × Наслідки
Таким чином, не вдаючись до числових розрахунків, можна сказати, що ризик терористичного нападу на елемент (об’єкт) КІ буде тим більший, чим вище рівень певної загрози цьому елементу, чим більше уразливість зазначеного елементу стосовно конкретної загрози і чим важче наслідки у випадку реалізації загрози (здійснення нападу).
Саме тому, що ризик, який несе з собою терористичний акт є функцією не тільки від загрози і уразливості, але й від масштабу очікуваних наслідків, і обумовлюється, наприклад, та пріоритетна увага, яка приділяється ядерному тероризму. Насправді, ймовірність застосування терористами саморобного ядерного вибухового пристрою, не кажучи вже про ядерну зброю, є на порядки нижчою ніж ймовірність застосування ними так званої «брудної бомби» (комбінації радіоактивного матеріалу та звичайної вибухівки), але ж наслідки ядерного вибуху оцінюються як незрівнянно важчі або, навіть, катастрофічні. Тому й зниженню ризиків ядерного тероризму віддається найвищий пріоритет.
Фактор невизначеності у процесі оцінки терористичних ризиків і загроз
Незважаючи на достатньо просту формулу для визначення терористичних ризиків для елементів КІ, на практиці завдання їх оцінки є складним, трудомістким і потребує використання величезних масивів даних та іншої інформації. При цьому для певних категорій даних можна робити лише припущення про їхні величини, тоді як стосовно інших можна отримати лише їхні ймовірнісні оцінки, тобто, для процесу оцінки терористичних ризиків характерна суттєва невизначеність. Важливо відмітити, що найбільший внесок у цю невизначеність дає етап оцінки терористичних загроз.
Дійсно, якщо для оцінки уразливості та наслідків терористичних актів можуть бути використані вже розроблені моделі та розрахунки для природних та техногенних надзвичайних ситуацій, то для оцінки загроз це зробити неможливо, адже вона базується на інформації про цілі, мотиви та можливості терористів [4], про які у згаданому дослідженні RAND Co сказано:
Наші джерела інформації щодо цих факторів - головним чином розвідувальна інформація, історичний аналіз[1] та експертні судження - дають можливість лише приблизно оцінити ймовірність нападів на конкретні цілі або категорії цілей… Думка експертів часто може не збігатися стосовно цілей терористичних груп та їх можливостей, у той же час можуть існувати деякі терористичні групи, про які взагалі мало що відомо. Таким чином, висновки про мотивацію та можливості терористів можуть призводити до систематичної недо- або переоцінки загроз. Враховуючи це, наші оцінки загроз слід сприймати із сумнівами [4].
Таким чином, обмеженість та специфічна природа інформації про цілі та плани терористів, певна суб’єктивність висновків, притаманна експертним судженням, вплив політичних та інших чинників на процес сприйняття розвідувальної інформації можуть призводити до помилок в оцінці терористичних загроз і, відповідно, ризиків, що неодноразово траплялося в останні десятиліття.
Галузі-лідери в оцінці терористичних загроз і ризиків
Іншою важливою особливістю, яку слід брати до уваги при розробці та застосуванні методологічних підходів до оцінки терористичних ризиків для КІ, зокрема в нашій країні, є те, що різні сфери забезпечення життєдіяльності держави мають занадто різний досвід урахування загроз тероризму. Дійсно, якщо, наприклад, на оборонних та ядерних об’єктах, на авіатранспорті історія урахування загроз зловмисних дій в т.ч. терористичного характеру, налічує десятки років, то, наприклад, в нашій країні для трубопровідного та деяких інших видів транспорту терористичні акти не розглядаються як можлива причина надзвичайних ситуацій, що можуть призвести до важких наслідків, включаючи людські жертви (див. ЗУ «Про трубопровідний транспорт» 1996 р. у поточній редакції від 07.12.2012 р. [5]).
Такий стан речей робить актуальним питання використання набутого галузями-лідерами досвіду оцінок терористичних загроз і ризиків і побудови на їх основі систем фізичної безпеки. З цієї точки зору найбільшу цінність являє собою досвід, напрацьований як на міжнародному, так і на національному рівнях у таких сферах, як фізична ядерна безпека та авіаційна безпека.
Зокрема, методологічні підходи та принципи, які були розвинуті у рамках зусиль щодо забезпечення фізичної ядерної безпеки отримали високу оцінку і вважаються доволі універсальними, у зв’язку з чим рекомендовані, наприклад, Міжнародним агентством з атомної енергії (МАГАТЕ) для використання на інших напрямах протидії тероризму. Як приклад, тут можна назвати підготовлену МАГАТЕ методологічну настанову щодо розробки та прийняття документа, що визначає проектну загрозу ядерним установкам та ядерним матеріалам [6] .
Висновки
- Розвиток та запровадження концепції захисту життєво важливих об’єктів, систем і ресурсів на основі фундаментального поняття критичної інфраструктури дозволяє застосувати системний підхід до оцінки терористичних ризиків для її елементів, але висуває на передній план проблему оцінки терористичних ризиків і терористичних загроз для елементів національної критичної інфраструктури.
- Найбільш проблемним етапом процесу оцінки терористичних ризиків є оцінка терористичних загроз елементам національної критичної інфраструктури, яка значною мірою спирається на розвідувальну інформацію та дані про наміри та можливості терористів, що носять, здебільшого, ймовірнісний характер і допускають свою інтерпретацію у доволі широкому інтервалі.
- У разі свого запровадження результативність застосування концептуального підходу до протидії терористичним загрозам, основаного на концепції національної критичної інфраструктури, серед іншого, буде залежатиме від розвитку методологічних інструментів оцінки терористичних ризиків для елементів критичної інфраструктури. У свою чергу, на ефективне використання такого інструментарію буде безпосередньо впливати діяльність розвідувальних і правоохоронних органів, а також спецслужб, щодо збору та аналізу інформації та даних про терористичні загрози.
- При розробці методологічних підходів до оцінки ризиків терористичних загроз національній критичній інфраструктурі доцільно використовувати зарубіжний і національний досвід, набутий на інших напрямах контртерористичної діяльності, насамперед, у сфері протидії ядерному тероризму.
Відділ екологічної та техногенної безпеки
(С.І. Кондратов)
Посилання
[1] [Електронний ресурс]. - Режим доступу: http://www.gpo.gov/fdsys/pkg/PLAW-107publ56/pdf/PLAW-107publ56.pdf
[2] [Електронний ресурс]. - Режим доступу: www.rand.org
[3] Henry H. Willis…[et al.], «Estimating Terrorism Risk», 2005, RAND Corporation, Santa-Monica, CA, U.S.
[4] Ibid, p. 14
[5] [Електронний ресурс]. - Режим доступу: http://zakon2.rada.gov.ua/laws/show/192/96-%D0%B2%D1%80
[6] Implementing Guide IAEA Nuclear Security Series No. 10 http://www-pub.iaea.org/MTCD/Publications/PDF/Pub1386_web.pdf
[1] Henry H. Willis … [et al.] описують загальну ситуацію з тероризмом як явищем, натомість у випадку ядерного або радіаційного тероризму завдання стає ще важчим, оскільки на цей час не зафіксовано жодного терористичного акту з використанням ядерних або інших радіоактивних матеріалів [3].