blog.jpg

Koszty infrastruktury krytycznej

Koszty wdrożenia i wydatki operacyjne dot. środków ochrony

Zapewnienie sprawności działania infrastruktury krytycznej wymaga znacznych nakładów na zabezpieczenie poszczególnych jej elementów przed zagrożeniami zniszczenia, uszkodzenia bądź zakłócenia jej funkcjonowania [1],[2]. Niezależnie od rodzaju systemu należącego do infrastruktury krytycznej mamy do czynienia ze stosunkowo ujednoliconą klasą zabezpieczeń, których poszczególne składniki związane z wdrożeniem środków ochrony i ich utrzymaniem w trakcie eksploatacji wraz z określeniem ich potencjalnej maksymalnej wartości w stosunku do kosztów podstawowej funkcjonalności danego systemu przedstawiono poniżej.

Dla zobrazowania ww. kosztów przyjęto założenie co do wyliczania szacunkowej wartości wdrożenia i eksploatacji zabezpieczeń w odniesieniu do wartości danego systemu realizującego podstawową funkcjonalność zakwalifikowanego do infrastruktury krytycznej (WSFP - Wartość Systemu o Podstawowej Funkcjonalności) [3]. Przyjęte poniżej wartości procentowe, odpowiadające nakładom niezbędnym do wdrożenia określonych środków ochrony w stosunku do kosztów danego systemu realizującego podstawową funkcjonalność, mogą ulegać zmianie w zależności od trybu i sposobu pozyskiwania określonych zabezpieczeń.

Składowe kosztów środków zabezpieczających infrastrukturę krytyczną

Przedstawiona powyżej struktura kosztów wdrażania systemu bezpieczeństwa infrastruktury krytycznej i wydatki z nim związane w trakcie jej eksploatacji uwzględnia implementację środków ochrony dla systemu nieposiadającego stosownych zabezpieczeń, a zakwalifikowanego do grupy systemów infrastruktury krytycznej [4]. W przypadku, kiedy dany system wyznaczony do ww. infrastruktury, poza podstawową funkcjonalnością, posiada również wbudowane zabezpieczenia adekwatne do wyników przeprowadzonej analizy ryzyka, wówczas zmniejszeniu może ulec wartość nakładów niezbędnych do wdrożenia środków ochrony.

Biorąc pod uwagę przedstawione powyżej składowe kosztów zabezpieczeń infrastruktury krytycznej, dla określenia nakładów niezbędnych do wdrożenia i utrzymania w kolejnych latach koniecznych środków ochrony można posłużyć się poniższym uogólnionym wzorem:

Zakładając, że koszt wdrożenia środków ochrony dla danego systemu należącego do infrastruktury krytycznej stanowi, zgodnie z tabelą nr 1, 70 % wartości tego systemu realizującego podstawową funkcjonalność, a nakłady niezbędne na utrzymanie jego zabezpieczeń w ciągu roku wynoszą, zgodnie z tabelą nr 1, 34 % jego wartości, wówczas mamy:

wartość  każdego roku będzie się zwiększała o 34% WSFP, co jest związane z rocznymi kosztami operacyjnymi dotyczącymi stosowanych środków ochrony.

 

Przykładowo, jeśli założymy, że Krajowy System Informacyjny Policji (KSIP) [6] spełnia kryteria dla systemów należących do infrastruktury krytycznej [4], czyli KSIP , a dotychczasowa wartość jego budowy w zakresie podstawowej funkcjonalności wyniosła 50 mln. zł., to koszt wdrożenia i wydatki operacyjne, zgodnie z tabelą nr 1, w pierwszym roku związane ze środkami ochrony w związku z przynależnością do infrastruktury krytycznej wyniosą   = 52 mln. zł., gdzie koszty wdrożenia KW S IK = 35mln. zł. oraz roczne nakłady związane z eksploatacją  = 17 mln. zł., przez co szacunkowy koszt tych zabezpieczeń dla KSIP należącego do IK w ciągu pięciu lat wyniesie  = 120 mln. zł.

Całkowite koszty zabezpieczeń   niezbędnych dla zapobiegania, unieszkodliwiania lub też eliminowania zagrożeń i jakichkolwiek strat wynikłych z zakłócenia lub zniszczenia elementów systemu S należącego do IK są sumą kosztów wdrożenia i utrzymania środków ochrony w trakcie n lat ich eksploatacji. Można założyć, że koszty te stanowiłyby maksymalne wydatki jakie należałoby ponieść, aby w pełni zabezpieczyć dany system przed niepożądanymi zdarzeniami. Nie zawsze jednak istnieje taka możliwość, aby przeznaczyć wymaganą kwotę na środki ochrony, co prowadzi do konieczności ich optymalizacji pod względem kosztów i oczekiwanej skuteczności.

Ostateczne koszty wdrożenia środków ochrony infrastruktury krytycznej  związane z danym systemem S należącym do IK będą zależne od istnienia zabezpieczeń już wdrożonych w związku z podstawową funkcjonalnością systemu S. W przypadku, kiedy określony system S wyznaczony do IK będzie posiadał techniczne, organizacyjne i fizyczne zabezpieczenia, adekwatne do przeprowadzonej analizy ryzyka, wówczas wydatki związane z  będą pomniejszone o wartość tych zabezpieczeń.

Koszty operacyjne ochrony infrastruktury krytycznej  związane z danym systemem S należącym do IK są to wszystkie wydatki ponoszone na system bezpieczeństwa w trakcie jego eksploatacji, w tym obsługi i utrzymania technologii, wyposażenia, personelu itd. w ciągu n lat eksploatacji. Wartość ta również może ulegać zmianie w zależności od wyników analizy ryzyka i związanych z nią decyzjami odnośnie pomniejszania lub zwiększania zabezpieczeń.

Przedstawione składowe kosztów środków zabezpieczających infrastrukturę krytyczną, z których wynika, że szacunkowy koszt ich wdrożenia wynosi 70% wartości danego systemu wyznaczonego do infrastruktury krytycznej, a roczne nakłady operacyjne to 34% tej wartości, wskazują jednoczenie na konieczność podejmowania działań zmniejszających te wydatki.

Istotnym elementem w tym procesie jest zdyscyplinowane, konsekwentne i rzetelne podejście do zarządzania ryzykiem, w celu bieżącej identyfikacji, kontroli i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia zdarzeń, które mogą mieć wpływ na dany system infrastruktury krytycznej. Nie można również zapomnieć o szczególnie ważnym elemencie jakim jest uwzględnianie aspektów bezpieczeństwa już na etapie konstrukcji systemów infrastruktury krytycznej.

Wpływ na obniżenie kosztów operacyjnych systemu bezpieczeństwa infrastruktury może mieć również ujednolicenie pewnej grupy środków ochrony, w celu sprawniejszego zarządzania nimi w kontekście zidentyfikowanych i nowo pojawiających się zagrożeń. Ponadto, przeciwdziałanie zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia funkcjonowania systemu należącego do infrastruktury krytycznej, wymaga również podejmowania skoordynowanych przedsięwzięć przez wszystkie zaangażowane podmioty w obszarze jego ochrony.


Przez określenie koszty ochrony należy rozumieć nakłady poniesione na wdrożenie i bieżące utrzymanie środków zabezpieczających poszczególne elementy infrastruktury krytycznej przed zagrożeniami. Określenia, takie jak: środki zabezpieczające, zabezpieczenia, system bezpieczeństwa i środki ochrony są używane zamiennie oraz rozumiane jako zespół sił i środków stosowanych w celu przeciwdziałania zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia funkcjonowania elementów infrastruktury krytycznej.

Przez określenie podstawowa funkcjonalność należy rozumieć realizowanie, odpowiednio do swojego przeznaczania, potrzeb państwa i jego obywateli, a także instytucji i przedsiębiorców przez systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje, o których mowa w art. 3 Ustawy [5]


[1] A. Machnacz, Elementy zagrożenia krytycznej infrastruktury, Computerworld nr 07-2011 (7/923), str. 28-30, 15 marzec 2011.

[2] A. Machnacz, Bezpieczeństwo aktywów Ministerstwa Spraw Wewnętrznych i Administracji w Infrastrukturze Krytycznej Państwa, Bezpieczeństwo w Telekomunikacji i Teleinformatyce, BBN, pod red. Bogdana Lent, tom x, Biblioteka Bezpieczeństwa Narodowego, s. 48–69, 2007.

[3] Przyjęte w tabeli nr 1 średnie procentowe wartości dla poszczególnych składników kosztów wynikają z doświadczenia autora publikacji w zakresie budowania i eksploatacji systemów oraz ich zabezpieczeń. Nie wpływa to jednak na poprawność zaproponowanego poniżej uogólnionego modelu do wyliczania szacunkowej wartości środków ochrony systemu stanowiącego część infrastruktury krytycznej.

[4] A. Machnacz, Metody rozpoznawania, wyznaczania i projektowania infrastruktury krytycznej na potrzeby ochrony ludności oraz zapewnienia funkcjonowania organów administracji, Wiedza Obronna, Kwartalnik Towarzystwa Wiedzy Obronnej, ROK XXXVIII, nr 2 /237/, str. 106-121, Warszawa 2011.

[5] Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590 z późn. zm.).

[6] A. Machnacz, Informatyzacja polskiej Policji i dalsze kierunki jej rozwoju, Przegląd Policyjny 4(92)/2008, str. 180-204, 2008.

Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem