Wprowadzenie do zarządzania ryzykiem na potrzeby infrastruktury krytycznej
W celu przeciwdziałania zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia funkcjonowania infrastruktury krytycznej, istotne staje się podejmowanie skoordynowanych przedsięwzięć przez wszystkie zaangażowane podmioty w obszarze ochrony tej infrastruktury. Jednym z takich działań jest bieżące wykonywanie analizy ryzyka i przekładanie jej wyników na wdrażane środki ochrony.
Działania te wiążą się bezpośrednio z zarządzaniem ryzykiem polegającym na stałym monitorowaniu elementów tej infrastruktury i zmniejszaniem możliwych dla niej niekorzystnych zdarzeń poprzez estymacje wartości, tzw. współczynnika ryzyka, odnoszącego się do stanu systemów oraz wchodzących w ich skład powiązanych ze sobą funkcjonalnie obiektów, urządzeń, instalacji i usług kluczowych dla bezpieczeństwa państwa i jego obywateli. Ten całościowy proces identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia zdarzeń, które mogą mieć wpływ na zasoby infrastruktury krytycznej, wymaga zdyscyplinowanego, konsekwentnego i rzetelnego podejścia. Pozwoli to ostatecznie na unikanie ryzyka, podejmowanie działań prewencyjnych, czy też przenoszenie ryzyka lub jego dywersyfikację.
Działania te stanowią bazowe strategie przeciwdziałania ryzyku, w ramach których dobierane są środki ochrony.
Warto podkreślić, że zarządzanie ryzykiem jest procesem, składającym się ze ściśle określonych, następujących po sobie i wzajemnie się determinujących etapów, tworzących jednocześnie powtarzający się cykl, jak pokazano to na rys. nr 1, w którym istotnym elementem jest stałe komunikowanie wszelkich pojawiających się ryzyk. Efekty podjętych działań i wypracowanych materiałów w ramach jednego etapu stanowią źródło danych dla kolejnego kroku w cyklu zarządzania ryzykiem. Istotne jest, że wybrane procesy, takie jak identyfikacja ryzyka odbywają się w sposób ciągły.
W kolejnych postach, w oparciu o metodykę PMBOK, przedstawię:
- Przygotowanie procesu zarządzania ryzykiem na potrzeby infrastruktury krytycznej,
- Identyfikacja źródeł ryzyka na potrzeby infrastruktury krytycznej,
- Szacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych ryzyk dla infrastruktury krytycznej,
- Podejmowanie działań związanych z ryzykiem dla infrastruktury krytycznej,
- Kontrola statusu zidentyfikowanych ryzyk dla infrastruktury krytycznej,
jako propozycję systemu zarządzania ryzykiem na potrzeby ochrony infrastruktury krytycznej, pozwalającego na bieżące identyfikowanie ryzyk, określanie ich wielkości i wskazywanie obszarów wymagających zabezpieczeń.
Wobec wciąż pojawiających się zagrożeń dla infrastruktury krytycznej kluczową kwestią jest zarządzanie ryzykiem. Jednak bez ujednoliconego systemu zarządzania ryzykiem dla tak szerokiego spektrum jakim jest infrastruktura krytyczna niemożliwe byłoby właściwe i efektywne zaplanowanie oraz wdrożenie środków zabezpieczeń. Niewyobrażalne skutki dla ochrony infrastruktury krytycznej miałby fakt pominięcia etapu planowania zarządzania ryzykiem, ponieważ kolejne działania w ramach identyfikacji, analizy i planowania reakcji na ryzyko, zupełnie pozbawione byłyby mechanizmów pozwalających na wiarygodne zidentyfikowanie ryzyk, ich oszacowanie i zaplanowanie środków zaradczych.
Wskazanie podmiotom, w kompetencjach których znajdują się elementy infrastruktury krytycznej, przygotowujących np. plany zarządzania kryzysowego i plany ochrony infrastruktury krytycznej jednolitego systemu zarządzania ryzykiem, mogłoby przyczynić się do skuteczniejszego procesu identyfikacji i oceny ryzyk, a tym samym optymalizacji kosztów budowy zabezpieczeń infrastruktury krytycznej.
Ważnym elementem działań związanych z zarządzaniem ryzykiem nie powinno być wyłącznie zabezpieczenie infrastruktury krytycznej, ale również wypracowanie takich rozwiązań, dzięki którym ewentualne uszkodzenia i zakłócenia w jej funkcjonowaniu byłyby możliwie krótkotrwałe, łatwe do usunięcia i nie wywoływały dodatkowych strat dla obywateli i gospodarki. Istota tych zadań powinna także sprowadzać się nie tyle do zapewnienia ochrony infrastruktury krytycznej przed zagrożeniami, ale również do ograniczania ich skutków oraz szybkiego jej odtworzenia na wypadek awarii, ataków oraz innych zdarzeń zakłócających prawidłowe funkcjonowanie państwa i jego obywateli.
W związku ze złożonością infrastruktury krytycznej, której prawidłowe funkcjonowanie zależy niejednokrotnie od wielu podmiotów i instytucji administracji publicznej, niezwykle istotne są formalne ustalenia wraz zakresami odpowiedzialności, jakie przejmują na siebie inne strony współuczestniczące w ochronie infrastruktury krytycznej i reagowaniu na poszczególne zagrożenia, w tym w realizacji działań wynikających z planów awaryjnych.
Podkreślenia wymaga konieczność dokumentowania co powoduje, że wszystkie działania związane z zarządzaniem ryzykiem są identyfikowalne. Wszystkie zapisy dostarczają również podstawy do doskonalenia (uczenia się) metod i narzędzi oraz całego procesu zarządzania ryzykiem.
Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.
