Upravljanje rizikom kritične infrastrukture

Nikola Markovinović

Trilix d.o.o.

Konferencija kibernetičke sigurnosti SecureTech 2019

Zagreb, 12.12.2019.

3

• Alternativa upravljanju rizicima je krizni menadžment.Krizni menadžment je višestruko skuplji, dugotrajniji, neugodniji i neizvjestan.

• Bez sustavnog i kvalitetnog upravljanja rizicima, smanjuje se mogućnost učinkovitog upravljanja resursima. Upravljanje rizicima više je od pripreme za najgore, ono daje uvid u mogućnost poboljšanja usluga ili smanjenje troškova.

4

„Kritična infrastruktura“ predstavlja imovinu, sustave ili njihove dijelove koji se nalazi u državama članicama EU, a koji je ključan za održavanje vitalnih društvenih funkcija, zdravlja, zaštite, sigurnosti, ekonomske ili socijalne dobrobiti ljudi i čije narušavanje ili uništavanje ima značajan utjecaj u državi članici zbog neodržavanja tih funkcija.

„Nacionalne kritične infrastrukture” su sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.

SUSTAV SUSTAVA

5

Sektori nacionalne kritične infrastrukture

• Energetika – električna energija, plin, nafta, toplinska energija – proizvodnja, prijenos, skladištenje, distribucija,…

• Komunikacijska i informacijska tehnologija – elektronička komunikacijska infrastruktura, prijenos podataka, informacijski sustavi, pružanje audio i audiovizualnih medijskih usluga

• Promet – cestovni, željeznički, zračni, pomorski i prometna infrastruktura• Zdravstvo – sustav zdravstvene zaštite u cijelosti, proizvodnja, promet i nadzor lijekova• Vodno gospodarstvo – komunalne, regulacijske i zaštitne vodne građevine• Hrana – proizvodnja i opskrba hranom, sustav sigurnosti hrane, robne zalihe• Financije – bankarstvo, burze, investicije, osiguranja i plaćanja• Proizvodnja, skladištenje i prijevoz opasnih tvari – kemijske, biološke, radiološke,

nuklearne• Javne službe – tijela državne uprave, osiguranje javnog reda i mira, zaštita i spašavanje,

HMP• Nacionalni spomenici i vrijednosti – materijalna kulturna i prirodna baština• Znanost i obrazovanje – instituti, sveučilišta

6

Zakonski i regulatorni okvir

• Direktiva Vijeća EU 2008/114/EZ o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite

• Uredba (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (GDPR)

• Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (NIS)

• Zakon o kritičnim infrastrukturama (NN 56/13)• Odluka o određivanju sektora iz kojih središnja tijela državne uprave identificiraju

nacionalne kritične infrastrukture te liste redoslijeda sektora kritičnih infrastruktura (NN 108/2013)

• Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura (NN 47/2016)

7

Zakonski i regulatorni okvir

• Zakon o sustavu domovinske sigurnosti (NN 108/2017)• Strategija nacionalne sigurnosti Republike Hrvatske (NN 73/2017)• Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih

usluga (NN 64/18)• Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih

usluga (NN 68/18)• Pravilnik o nositeljima, sadržaju i postupcima izrade planskih dokumenata u

civilnoj zaštiti te načinu informiranja javnosti u postupku njihovog donošenja (NN 49/2017)

• Zakon o tajnosti podataka (NN 79/07)• Zakon o informacijskoj sigurnosti (NN 79/07)• Uredba o mjerama informacijske sigurnosti (NN 46/08)

8

Zakonski i regulatorni okvir

• Odluka o kriterijima za određivanje stupnjeva tajnosti podataka Vlade Republike Hrvatske (NN 4/2017)

• Nacionalna strategija za prevenciju i suzbijanje terorizma (NN 108/2015)• Nacionalne strategije kibernetičke sigurnosti i Akcijski plan za provedbu

Nacionalne strategije kibernetičke sigurnosti (NN 108/2015)• Zakon o privatnoj zaštiti (NN 68/03, 31/10, 139/10)• Uredbe o unutarnjim ustrojima središnjih tijela državne uprave• Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18)• Zakon o elektroničkim komunikacijama (NN 73/08, 90/11, 133/12, 80/13,

71/14, 72/17)• Obveze iz područja zaštite kritičnih infrastruktura iz područja prometa,

energetike, zdravstva,…

9

Međunarodni standardi

• ISO 31000:2018 Risk management — Guidelines• IEC 31010:2019 Risk management — Risk assessment techniques• ISO GUIDE 73:2009 Risk management — Vocabulary• ISO/IEC 27001:2013 Information technology — Security techniques —

Information security management systems — Requirements• ISO/IEC 27002:2013 Information technology — Security techniques — Code of

practice for information security controls• ISO/IEC 27005:2018 Information technology — Security techniques —

Information security risk management• ISO 22301:2019 Security and resilience — Business continuity management

systems — Requirements

10

Prijetnje (threats)ili

Opasnosti (hazard)

Ranjivosti (vulnerability)

Utjecaj (impacts)ili

Posljedica (consequence)

Neki od rizika

11

• Upravljački rizik – zbog veličine organizacije ograničen kapacitet za uspostavljanje sofisticiranih upravljačkih mehanizama, sustava i kontrola

• Strateški rizik - donošenja pogrešnih poslovnih odluka, neprilagodljivosti promjenama u ekonomskom okružju i slično

• Operativni rizik - gubitka koji proizlazi iz neadekvatnih ili neuspjelih unutarnjih procesa, ljudi i sustava ili iz vanjskih događaja, uključujući pravni rizik;

• Rizik usklađenosti - neusklađenosti s propisima, standardima i kodeksima te internim aktima

• Rizik eksternalizacije – nastaje kada organizacija ugovorno povjerava drugoj strani obavljanje aktivnosti koje bi inače sama obavljala

• Pravni rizik - neispunjene ugovorne obveze, pokrenuti sudski postupci kao i donesene poslovne odluke za koje se ustanovi da su neprovedive

• I drugi rizici ...

12

PROCESIIMOVINARESURSI

Što pokušavamo zaštititi?

PRIJETNJA

Što ne želimo da se dogodi?

RANJIVOST

Kako se prijetnja može realizirati?

KONTROLE

Što trenutno smanjuje rizik?

UČINAKKoji su nam ciljevi i što utječe na ostvarenje cilja?

VJEROJATNOSTKoja je vjerojatnost da će prijetnja iskoristiti ranjivost obzirom na uspostavljene kontrole?

Izvješće o riziku - Plan obrade rizikaInformirano donošenje odluka

Rizik

Elementi rizika

13

Objedinjavanje relevantnih podataka o prijetnjama i ranjivosti rezultira identifikacijom rizika po elementima rizika, sustavima/pod-sustavima i procesima/pod-procesima.

• Ljudi – osoblje i druge osobe u kontekstu održavanja funkcionalnosti infrastrukture i/ili pojedinih dijelova infrastrukture

• Zemljište – vanjski prostor koji uključuje područja od važnosti za rad i operativnost infrastrukture, putove, skladišta, parkirne površine, zelene površine i slično

• Građevine ispod i iznad zemlje - proizvodne hale, skladišta, administrativne građevine, garaže i slično

• Postrojenja i opremu – uključivo izvore napajanja strujom, plinom, vodom, grijanje, informacijsku i komunikacijsku tehnologiju, transport

• Specijalizirana postrojenja i opremu

• Podaci i datoteke - uključuju sve podatke potrebne za održavanje procesa i sustava koji se čuvaju u pisanom i/ili elektroničkom obliku.

ISO 31000 - Okvir upravljanja rizikom

14

a) Stvaranje vrijednosti

b) Sastavni dio procesa organizacije

c) Dio procesa donošenja odluka

d) Izričito usmjereno na nesigurnost odluka

e) Sistematičnost, strukturiranost i pravodobnost

f) Temelji se na najboljim raspoloživim informacijama

g) Prilagodljivost

h)Uvažavanje ljudskih i kulturoloških čimbenika

i) Transparentnost i uključivost

j) Dinamičnost, iterativnost i osjetljivost na promjene

k) Omogućavanje stalno unaprijeđenje organizacije

Načela Okvir upravljanja rizikom Proces upravljanja rizicima

Ovlasti i predanost

Oblikovanje okvira

za upravljanje rizicima

Implementacija upravljanja

rizicima

Kontinuirano unaprjeđenje

okvira

Praćenje i preispitivanje

okvira

Uspostava konteksta

Ko

mu

nik

acij

a i s

avje

tova

nje

Pra

ćen

je i

pre

isp

itiv

anje

Procjena rizika

Identifikacija

rizika

Analiza rizika

Vrednovanje/ ocjena rizika

Obrada rizika

15

Stav prema riziku, Kapacitet, Apetit

Rizik prenizak Rizik previsok

Ciljana vrijednost rizika Limit rizika Tolerancija rizika

Apetit rizika

Kapacitet rizika Stav prema riziku / Risk attitude:

Relativno trajan pristup organizacije prema rizicima koji se očituje kao tendencija da se o rizicima misli, osjeća i ponaša na određeni način. Stav prema riziku organizacija zauzima u početnoj fazi procesa upravljanja rizicima.

Kapacitet rizika / Risk capacity :

Kapacitet rizika određuje se za svaku pojedinu kategoriju rizika. Količina pojedinog rizika koji organizacija može podržavati u ostvarenju svojih ciljeva.

Apetit rizika / Risk appetite :

Apetit rizika je količina pojedinog rizika koji je organizacija spremna prihvatiti ili zadržati u ostvarenju svojih ciljeva.

16

Ciljana vrijednost, Granice, Tolerancija na rizik

Rizik prenizak Rizik previsok

Ciljana vrijednost rizika Limit rizika Tolerancija rizika

Apetit rizika

Kapacitet rizika

Tolerancija na rizik / Risk tolerance:

Maksimalna količina rizika koju je organizacija spremna preuzeti za svaku pojedinačnu kategoriju rizika u ostvarenju ciljeva.

Ciljana vrijednost rizika / Risk target:

Ciljana razina rizika koju organizacija želi/može preuzeti u ostvarenju specifičnih ciljeva.

Granica razine rizika / Risk limit:

Točka za praćenje u kojoj izloženost riziku prelazi gornju granicu apetita rizika.

17

Ciljana vrijednost, granice, tolerancija na rizik

Ciljana vrijednost rizika / Risk target:

• Ciljana razina rizika koji organizacija želi preuzeti u ostvarenju specifičnih ciljeva.

Limit rizika / Risk limit:

• Točka za praćenje u kojoj izloženost riziku prelazi gornju/donju granicu apetita rizika.

Tolerancija na rizik / Risk tolerance:

• Maksimalna količina rizika koji je organizacija spremna preuzeti za svaku pojedinačnu kategoriju rizika u ostvarenja svojih ciljeva.

Izvan vaše kontrole

18

Rizik

RIZIK PRIJETNJA RANJIVOST POSLJEDICAX X=

VJEROJATNOST UČINAK OZBILJNOSTXMotivPrilika

Vještina Sposobnost

Lako za istražitiLako za iskoristiti

SvijestOtkrivanje

TehničkePovjerljivost

IntegritetDostupnostNadležnost

PoslovneFinancije

ReputacijaNeusklađenost

Privatnost

19

Menadžment iorganizacija

Uzrok

Uzrok

Uzrok

Ljudi

Uzrok

Uzrok

Uzrok

Tehnologija i metode

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Okolišni utjecaji Tržište Infrastruktura

Posljedica

Oprema

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Regulatorni okvir

Održavanje

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

Uzrok

XXXXXX

Prijetnje

20

Prijetnja je bilo koji događaj ili okolnost, bilo vanjski ili unutarnji, koji ima potencijal da doprinese/poveća nesigurnost u postizanju ciljeva i uzrokuje štetu.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Vjerojatnost realizacijePRIJETNJE

Realizacijaprijetnje

ŠTETNI DOGAĐAJPOSLJEDICA

VRLO RIJETKO RIJETKO MOGUĆE VJEROJATNO GOTOVOSIGURNO

P R I J E T N J A

INCIDENT

Prijetnje

21

Tipovi prijetnji koje mogu izazvati štetu na kritičnoj infrastrukturi su:

• antropogene - izazvana djelovanjem ili ne djelovanjem ljudi

• djelovanje prirodnih sila – poplave, potresi, oborine

• tehničko-tehnološke - izazvana neadekvatnim djelovanjem tehničkih i/ili tehnoloških sustava

• biološko-kemijska izazvana djelovanjem bioloških i/ili kemijskih sredstava

22

Prijetnje odlučivanja: ne donošenje odluka, manjak kompetencija, neadekvatno

utvrđene nadležnosti i odgovornosti, operativnog-

godišnjeg planiranja ...

Prijetnje tržišta: nove tehnologije, nove usluge, supstituti, ideje, potrebe i ukusi klijenata, pouzdanost i kvaliteta

dobavljača, konkurencija ...

Tehničke prijetnje: nestanak električne energije,

vode, plina ..., prekid prometa, kvar uređaja, krive postavke, nepravilan rad ili

preopterećenje opreme, loša kvaliteta opreme ...

Organizacijske i tehnološke prijetnje:

neodgovarajuće procedure, organizacija rada, nekompatibilnost ili neadekvatnost opreme, neadekvatno

održavanje, nemotiviranost, loši odnosi/klima ...

Ljudske prijetnje: nepažnja, nemar, nezanimanje,

neznanje, namjera ...

Prijetnje vezane uzinformacijske sustave :

prijetnje informacijskoj tehnologiji, prijetnje

narušavanja integriteta, cjelovitosti ili dostupnosti

informacija u svim oblicima ...

Prijetnje vezane uz zakonsku regulativu:

prijetnje zahtjeva za dodatnim ulaganjem

(investiranjem) , dodatnim administriranjem,

ograničavanjem tržišta, uvođenja zaštitnih mjera,

umanjenja postojećih zaštitnih mehanizama ...

Strateške prijetnje: vezane uz strateško odlučivanje,

neadekvatno definiranje strateških ciljeva, strateškog planiranja ...

KRITIČNA INFRASTRUKTURA

Prijetnje

23

KRITIČNA INFRASTRUKTURA

PrijetnjeKriminal (klasični,

tehnološki financijski): fizička sabotaža, elektronička

sabotaža, prepad, krađa, otkrivanje informacija,špijunaža, prijevara ...

Prijetnje vezane uz zaštitu na radu:

strujni udar, požar, trovanje, ozljede, smrt ...

Prijetnje akcidenata (tehničko -tehnoloških, prometnih ...):

eksplozije, izlijevanje otrovnih tvari, zagađenje zraka, nuklearno zračenje ...

Prijetnje društveno,političkog okruženja:

političke odluke, makroekonomske mjere i odluke, rat, građanski nemiri,

protestni skupovi, sindikalne akcije, migracije stanovništva, geopolitički

događaji ...

Prijetnje prirodnih sila:

poplava, potres, vjetar, klima, epidemija ...

Prijetnje tržišnog rizika: prijetnja promjene cijena, prijetnja konverzije valuta, prijetnja transfera dobiti ...

Prijetnje likvidnosti: tekući novčani primici nisu dostatni za pokriće tekućih

novčanih izdataka ...

Prijetnje kreditnog rizika: prijetnja promjene kamatnih stopa,

prijetnja promjene tečaja stranih valuta prema domaćoj valutu

(devalvacija, revalvacija), prijetnja promjene cijene novca ...

Ranjivost

24

• ovisnost infrastrukture o elementima rizika – potencijalni manjak i/ili zamjena tih elemenata čini proces ili sustav ranjivim

• ovisnost elemenata rizika o drugim infrastrukturama• otpornost – fizička otpornost elemenata rizika (građevina, opreme, postrojenja)

je važan čimbenik za utvrđivanje hoće li u slučaju nesreće elementi biti oštećeni i imaju učinke na relevantne sustave i procese, mreže i objekte

• stvarna razina zaštite – elementi su ranjivi ako nisu u dovoljnoj mjeri zaštićeni od prijetnji - kontrole

• zalihe i zamjene – ako štetan događaj pogodi elemente rizika, nastali problem je lakše riješiti ako postoje rezervni/zamjenski elementi koji će izvršavati iste zadaće/funkcije

Ranjivost

25

• obnova – sposobnost i mogućnost obnove u kontekstu ranjivosti odnosi se na potrebna financijska sredstva i kadrove te uloženo vrijeme obnove

• prilagodljivost – sustavi i procesi su ranjivi ako se ne mogu jednostavno prilagoditi

• sposobnost amortiziranja – sposobnost sustava i procesa da podnesu učinke štetnog događaja do određenog stupnja i da ne budu određeno vrijeme pogođeni negativnim djelovanjem

• transparentnost – ažurna, točna, potpuna i dostupna dokumentiranost• ovisnost o posebnim uvjetima okoliša – infrastruktura radi pod okolnim

uvjetima koji prevladavaju na lokaciji i ako ovisi o tim specifičnim okolnim uvjetima ranjiva je u odnosu na potencijalne promjene tih uvjeta

Analiza i vrednovanje

26

• Analiza kritičnosti

• Procjena otpornosti sustava na prijetnje i ranjivosti

• Utvrđivanje učinka i posljedica

• Evaluacija i vrednovanje rizika

• Prepoznavanje povezanih rizika

Izvještavanje, Obrada rizika,

27

• Izvješće o rezultatima procjene i analize rizika• Prijedlog i plan obrade rizika

• Prihvaćanje rizika• Smanjenje rizika• Dijeljenje rizika• Izbjegavanje rizika• Povećanje rizika

• Odluke o planu obrade rizika• Praćenje provedbe plana obrade rizika i izvješća o provedbi plana obrade

rizika• Testiranje učinkovitosti implementiranih kontrola

28

UPRAVLJANJE RIZICIMA

Korporativno upravljanje

Upravljanje ljudskim

resursima

Upravljanje imovinom

Korporativna sigurnost

Informacijska sigurnost

Upravljanje dobavljačima

Upravljanje incidentima

Upravljanje kontinuitetom

poslovanja