Розвиток цивілізації, що супроводжується економічною глобалізацією, урбанізацією та широким застосуванням інформаційних технологій, спричинив феноменальну залежність як окремої людини, так і суспільства від послуг, які надають енергетичні, телекомунікаційні, транспортні та інші інфраструктурні мережі. Доступність цих послуг на сьогодні сприймається як один з показників якості життя будь-то в мегаполісі чи сільській місцевості. Тільки ті країни, які мають розвинену інфраструктуру, здатні стати сучасними економічними центрами, розвивати та зосереджувати на своїй території фінансові, промислові та інтелектуальні потужності.
У той же час помітною є тенденція до посилення негативних процесів природного, техногенного та соціально-політичного характеру (в світі збільшується кількість та масштаб наслідків природних катастроф, тліють та розгораються нові військові конфлікти, постійно здійснюються терористичні акти, надшвидкими темпами зростає кількість кібер-атак), що зумовлюють прямі та каскадні загрози для стабільного функціонування згаданих інфраструктур, а отже забезпечення їх «абсолютного захисту» стає непосильним завданням навіть для економічно розвинутих держав.
Саме необхідність зосередження ресурсів на захисті найбільш життєво важливих інфраструктурних об’єктів обумовила розвиток та впровадження концепції критичної інфраструктури (КІ) як складової систем забезпечення національної безпеки низки провідних країн світу. В США до КІ відносять системи, мережі та окремі об’єкти, порушення роботи або руйнування яких може спричинити величезні або навіть незворотні негативні наслідки для економіки, добробуту та здоров’я населення, стабільного перебігу політичних процесів[1]. Подібна дефініція міститься в Директиві Європейської Комісії № 786 2006р.[2], згідно з якою до загальноєвропейської КІ відносять ті об’єкти національних КІ країн-членів ЄС, вплив яких в разі відмови, інциденту або зловмисного втручання буде поширюватися як на країну, де такий об’єкт розташований, так і на хоча б одну іншу країну-член ЄС. Концепція захисту КІ реалізована також в таких розвинутих країнах, як Канада, Австралія, Велика Британія.
Зважаючи на процеси поступової модернізації безпекового сектору в Україні та наше стремління ствердитися як повноправний партнер на європейському та трансатлантичному безпековому просторі, питання впровадження концепції захисту КІ стає все більш актуальним.
Було б невірно стверджувати, що в Україні мало приділяється уваги питанням захисту життєво важливих систем, мереж та об’єктів. Навпаки, в державі паралельно функціонують Єдина система запобігання, реагування і припинення терористичних актів та мінімізації їх наслідків[3], Єдина державна система запобігання і реагування на надзвичайні ситуації техногенного та природного характеру[4], що трансформована у Єдину державну систему цивільного захисту населення і територій[5].
В Україні захист об’єктів, які згідно зі світовою практикою належать до категорії «критична інфраструктура», регламентується численними нормативно-правовими актами, що носять переважно внутрішньовідомчий характер. Така ситуація склалася природним чином – кожне окреме відомство бачило певний спектр загроз для підпорядкованих об’єктів і володіло певним набором інструментів та ресурсів для забезпечення безпеки даних об’єктів. В результаті в чинному законодавстві визначено низку категорій об’єктів, для яких регламентуються особливі умови забезпечення захисту: підприємства, які мають стратегічне значення для економіки та безпеки держави[6]; об’єкти, які включені до Державного реєстру потенційно небезпечних об’єктів[7]; об’єкти підвищеної небезпеки[8] (в т.ч. Перелік особливо небезпечних підприємств, припинення діяльності яких потребує проведення спеціальних заходів щодо запобігання заподіянню шкоди життю та здоров’ю громадян, майну, спорудам, навколишньому природному середовищу[9]); важливі державні об’єкти[10]; об’єкти, що підлягають обов’язковій охороні підрозділами Державної служби охорони за договорами[11]; об’єкти, які підлягають охороні і обороні в умовах надзвичайних ситуацій і в особливий період[12]; особливо важливі об’єкти електроенергетики[13]; особливо важливі об’єкти нафтогазової галузі [14]; Національна система конфіденційного зв’язку[15]; платіжні системи[16]; Система екстреної допомоги населенню за єдиним номером 112[17]; аварійно-рятувальні служби[18]; нерухомі об’єкти культурної спадщини[19].
Проте, попри значну кількість нормативно визначених категорій життєво важливих об’єктів і, відповідно, їх переліків, в Україні не здійснюється комплексна (координована) оцінка ризиків втрати чи ушкодження таких об’єктів. В чинному законодавстві досі не визначено термін «критична інфраструктура», хоча в оновленій Стратегії національної безпеки[20] серед шляхів зміцнення енергетичної безпеки названий: «дієвий захист критичної інфраструктури паливно-енергетичного комплексу від еколого-техногенних впливів та зловмисних дій» (пункт 4.3.4.), а одним із шляхів забезпечення інформаційної безпеки визначається: «забезпечення безпеки інформаційно-телекомунікаційних систем, що функціонують в інтересах управління державою, забезпечують потреби оборони та безпеки держави, кредитно-банківської та інших сфер економіки, систем управління об’єктами критичної інфраструктури» (пункт 4.3.8.).
Очевидно, що введення терміну «критична інфраструктура» в законодавство України само по собі не може бути остаточною ціллю. Концепція критичної інфраструктури має стати підґрунтям дієвого механізму координації зусиль органів влади, спрямованих на недопущення втрати чи завдання невиправної шкоди найважливішим для життєдіяльності держави об’єктам, з урахуванням дії негативних факторів будь-якого походження, або техногенного, або природного, або соціально-політичного, або будь-якої комбінації з їх числа.
До того ж, наявність дефініції «критична інфраструктура» в законодавстві не означає автоматичного формування переліку таких об’єктів. Про це свідчить досвід визначення об’єктів КІ в США, де навіть за наявності значних за розмірами матеріальних та організаційних ресурсів при виконанні такого завдання, відповідальне відомство зіткнулося з проблемою формування методології, не кажучи вже про необхідність обробки величезної кількості даних про об’єкти (з понад 33 тис. об’єктів-кандидатів до КІ було віднесено 3 тис. об’єктів, що належать до 18 секторів життєдіяльності)[21].
В ЄС спроба визначити КІ була здійснена в 2005 р. шляхом підготовки «зеленої книги», згідно з положеннями якої до КІ було включено 11 секторів[22]. Згодом Директивою Європейської Комісії № 114 2008 р. лише два сектори були визнані пріоритетними – це енергетика (електромережі та об’єкти із генерування та передачі електроенергії; нафтовидобувна та нафтопереробна промисловість, нафтопроводи та сховища; газовидобувна промисловість, газопроводи, термінали зрідженого газу) та транспорт (автодорожній транспорт; залізничний транспорт; авіаційний транспорт; річковий флот; океанічний і морський флот; порти)[23].
При визначенні елементів КІ будується ієрархія критеріїв, яка охоплює такі основні групи: економічна безпека (значна частка продукції на ринку, велика кількість зайнятих співробітників, великий платник податків); безпека життєдіяльності та здоров’я населення (забезпечення роботи аварійно-рятувальних служб, екстреної допомоги населенню; недопущення техногенних аварій регіонального або національного масштабів); державна безпека і оборона (недопущення порушення керованості державою, зниження боєздатності збройних сил, розголошення таємної інформації); національна самоповага та імідж держави (збереження культурних цінностей, авторитету держави). Наприклад, згідно із вищезгаданою Директивою Європейської Комісії[24] при визначенні потенційних елементів критичної інфраструктури враховують такі фактори та характеристики:
– масштаб (географічне охоплення території, для якої втрата елементу критичної інфраструктури викликає значну шкоду);
– важкість можливих наслідків за такими показниками:
а) вплив на населення (число постраждалих, загиблих, осіб, які отримали серйозні травми, а також чисельність евакуйованого населення);
б) економічна шкода (вплив на ВВП, розмір економічних втрат, як прямих, так і непрямих);
в) екологічна шкода (вплив на населення та навколишнє природне середовище);
г) взаємозв’язок з іншими елементами критичної інфраструктури;
д) політичний ефект (втрата впевненості в дієздатності влади);
е) тривалість впливу (як саме і коли проявлятимуться наслідки, пов’язані з втратою чи відмовою об’єктів критичної інфраструктури).
Схожий набір критеріїв використовується в РФ при визначенні критично важливих об’єктів паливно-енергетичного комплексу[25]: критична важливість об’єкту для інфраструктури та життєзабезпечення паливно-енергетичного комплексу; масштаби можливих соціально-економічних наслідків, що виникнуть внаслідок аварії на об’єкті; наявність критичних елементів, потенційно небезпечних ділянок та уразливих місць на об’єкті.
В Ізраїлі враховуються такі три ознаки при ідентифікації об’єктів КІ[26]: символічна (ідеологічна, історична або культурна) значимість об’єктів; залежність основних процесів життєзабезпечення суспільства від інфраструктури; наявність складних взаємозв’язків та залежностей між об’єктами інфраструктури. Згідно з таким підходом об’єкти культурної спадщини (музеї, архіви, культові споруди та інші пам’ятки) віднесені до числа об’єктів, які повинні бути захищені в першу чергу. За другою ознакою до критичної інфраструктури відносять ЛЕП, системи водопостачання, каналізаційні мережі, загальні телекомунікаційні мережі, з якими пов’язані процеси управління інфраструктурами. Відносно третьої ознаки, спеціалісти вказують на каскадні ефекти у відмовах інфраструктурних елементів.
Загрози для об’єктів КІ оцінюються із застосуванням різноманітних методик та прикладного програмного забезпечення, в основі яких лежить загальна методологія оцінки ризиків, про що свідчить звіт Інституту захисту та безпеки громадян (входить до складу Центру спільних досліджень Європейської Комісії розміщеного в м. Іспра, Італія)[27]. Тобто можна зробити висновок, що, по-перше, загальний підхід до оцінки ризиків об’єктам КІ включає: ідентифікацію та класифікацію загроз, ідентифікацію вразливостей та оцінку наслідків; по-друге, ключовою особливістю оцінки ризиків для КІ є врахування численних взаємозв’язків та залежностей. Згідно з підходом, прийнятим ЄК, окремі об’єкти КІ є взаємопов’язаними як фізично (наприклад, комп’ютерними мережами, забезпеченням електроенергією, транспортними перевезеннями), так і різноманітними регламентуючими нормами[28]. Дослідження, проведені із застосуванням методів математичного моделювання та спеціального програмного забезпечення дають змогу оцінити ці взаємозв’язки[29],[30].
Для інфраструктурних систем, які розраховані на довготривалий період функціонування, також важливо враховувати вплив глобальних природних факторів, наприклад, кліматичні зміни. Навіть в розвинутих країнах такі дослідження проводяться тільки для найбільш важливих секторів економіки (зокрема енергетики[31]). В той же час результати подібних досліджень дають можливість більш ефективно розподіляти ресурси, виділені на забезпечення стійкого функціонування інфраструктур. Наприклад, проведені в м. Мельбурн (Австралія) дослідження показали, що вплив аномально-високих температур був порівняно незначним для функціонування мережі водопостачання, телекомунікації та аеропортів, помірним для залізничного та автомобільного транспорту, в той час як найбільш вразливою до таких температурних змін виявилася електроенергетика[32].
Елементи КІ, у свою чергу, також можуть бути впорядковані за значимістю. Наприклад, у Швейцарії найвище значення надано двом підсекторам енергетики (постачання газу та електроенергії), банківським установам, інформаційним технологіям і телекомунікаціям, залізничному транспорту та автомобільним шляхам, а також мережі постачання питної води[33].
Визначення категорій об’єктів КІ дозволяє встановити диференційовані вимоги до забезпечення безпеки цих об’єктів з урахуванням, зокрема, ступеня потенційної небезпеки здійснення акту незаконного втручання або теракту і його можливих наслідків.
Висновки та пропозиції
1. На сьогодні в системах забезпечення національної безпеки провідних країн світу важливу роль відіграє концепція захисту критичної інфраструктури.
Впровадження концепції захисту критичної інфраструктури стане важливим кроком на шляху модернізації системи національної безпеки України, дозволить наблизити вітчизняні підходи з загальновизнаними на європейському та трансатлантичному безпековому просторі.
2. Не можна стверджувати, що в Україні не приділяється увага захисту важливих об’єктів, систем та ресурсів, які, зазвичай, відносять до критичної інфраструктури. Навпаки, діє низка законодавчих актів, що визначають особливості забезпечення захисту таких об’єктів.
Проте в державі досі відсутній загальний механізм управління захистом та безпекою цих об’єктів, спостерігаються непоодинокі випадки дублювання функцій та ресурсів, відсутність спільних підходів та узгодженості дій стосовно проблем національного масштабу, а загрози таким об’єктам розглядаються в суто «відомчому» розрізі.
3. Процес визначення елементів критичної інфраструктури включає оцінювання ризиків для об’єктів, спричинених факторами різного походження (техногенного, природного та соціально-політичного характеру), аналіз взаємозалежностей між цими елементами. Вказане потребує проведення ґрунтовних наукових досліджень, а також розробки та впровадження відповідних інформаційних технології.
Зважаючи на зроблені вище висновки, вважаємо за доцільне сформулювати такі пропозиції:
1. Ввести термін «об’єкти критичної інфраструктури» в законодавство України, що відповідає загальновизнаним підходам. Наприклад цей термін можна подати в такій редакції: «системи та об’єкти, фізичні чи віртуальні, настільки важливі для держави, що їх недієздатність або знищення загрожують національній безпеці, економіці, здоров’ю або безпеці життєдіяльності населення».
2. Покласти на Кабінет Міністрів України завдання з визначення переліку об’єктів критичної інфраструктури з урахуванням чинних нормативно-правових актів, якими встановлені певні категорії об’єктів, які потребують особливих умов захисту від загроз техногенного, природного та соціально-політичного характеру. На попередньому етапі перелік об’єктів критичної інфраструктури може бути сформований на основі чинних переліків.
3. Залучити Національну академію наук України до розробки методології визначення переліку об’єктів критичної інфраструктури, проведення досліджень з аналізу ризиків для таких об’єктів і формування науково-обґрунтованих підходів до розподілення ресурсів, які виділяються на захист критичної інфраструктури.
Відділ екологічної та техногенної безпеки
(Д.С. Бірюков)
[1] Uniting and strengthening America by providing appropriate tools required to intercept and obstruct terrorism (PATRIOT ACT) [Електронний ресурс]. – Режим доступу: http://frwebgate.access.gpo.gov
[2] European programme for critical infrastructure protection (COM/2006/786 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu
[3] Положення затверджене Постановою Кабінету Міністрів України № 1051 від 15.08.2007
[4] Положення затверджене Постановою Кабінету Міністрів України № 1198 від 03.08.1998 (із змінами)
[5] Закон України «Про правові засади цивільного захисту» від 24.06.2004 р. № 1859-IV
[6] Постанова Кабінету Міністрів України від 23.12.2004 № 1734 «Про затвердження переліку підприємств, які мають стратегічне значення для економіки та безпеки держави»
[7] Постанова Кабінету Міністрів України від 29.08.2002 р. № 1288 «Про затвердження Положення про Державний реєстр потенційно небезпечних об'єктів»
[8] Закон України від 18.01.2001 № 2245-III «Про об’єкти підвищеної небезпеки»
[9] Перелік особливо небезпечних підприємств, припинення діяльності яких потребує проведення спеціальних заходів щодо запобігання заподіянню шкоди життю та здоров'ю громадян, майну, спорудам, навколишньому природному середовищу / Затв. Постановою Кабінету Міністрів України від 06.05.2000 № 765
[10] Постанова Кабінету Міністрів України № 1051 від 15.08.2007 (для службового користування)
[11] Постанова Кабінету Міністрів України від 10 серпня 1993 р. № 615 «Про заходи щодо вдосконалення охорони об'єктів державної та інших форм власності» (із змінами)
[12] Постанова Кабінету Міністрів України від 24.04.99 року № 675-019 «Щодо затвердження Переліку об’єктів, які підлягають охороні і обороні в умовах надзвичайних ситуацій і в особливий період»
[13] Постанова Кабінету Міністрів України від 28.07.2003 № 1170 «Про затвердження переліку особливо важливих об'єктів електроенергетики, які підлягають охороні відомчою воєнізованою охороною у взаємодії із спеціалізованими підрозділами інших центральних органів виконавчої влади»
[14] Розпорядження Кабінету Міністрів України від 27.05.2009 № 578-р «Про затвердження переліку особливо важливих об'єктів нафтогазової галузі»
[15] Закон України від 10.01.2002 № 2919-III «Про Національну систему конфіденційного зв'язку» (із змінами)
[16] Закон України від 05.04.2001 № 2346-III «Про платіжні системи та переказ коштів в Україні»
[17] Закон України від 13.03.2012 № 4499-VI «Про систему екстреної допомоги населенню за єдиним телефонним номером 112»
[18] Закон України від 14.12.1999 № 1281-XIV «Про аварійно-рятувальні служби» (із змінами)
[19] Закон України від 08.06.2000 № 1805-III «Про охорону культурної спадщини»
[20] Указ Президента України від 08.06.2012 № 389/2012 «Про рішення Ради національної безпеки і оборони України від 8 червня 2012 року «Про нову редакцію Стратегії національної безпеки України» [Електронний ресурс]. – Законодавство України. – Режим доступу: http://zakon2.rada.gov.ua/laws/show/389/2012
[21] Critical infrastructure and key assets: definition and identification. - Congressional research service, RL32631, October, 2004. – 19 p.
[22] Green paper on a European programme for critical infrastructure protection (COM/2005/576 final). – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu
[23] On the identification and designation of European critical infrastructures and the assessment of the need to improve their protection (Council Directive 2008/114/EC) [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu
[24] Council Directive 2008/114/EC «On the identification and designation of European critical infrastructures and the assessment of the need to improve their protection» [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu
[25] Федеральный закон Российской Федерации от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» [Електронний ресурс]. – ИПС «Закон». – Режим доступу: http://ntc.duma.gov.ru/
[26] Гриняев С., О взгляде на проблему безопасности критической инфраструктуры в государстве Израиль [Електронний ресурс]. – Центр стратегических оценок и прогнозов. – Режим доступу: http://www.csef.ru/
[27] Risk assessment methodologies for critical infrastructure protection. Part I: a state of the art / G.Giannopoulos, R.Filippini, M. Schimmer. – Luxembourg: Joint Research Centre of Institute for the Protection and Security of the Citizen, 2012. – 70 p.
[28] Lewis T.G., Critical infrastructure protection in homeland security: defending a networked nation. - John Wiley & Sons, Inc., 2006. – 474 p.
[29] Quantification of dependencies between electrical and information infrastructures / Beccutia M., Chiaradonnac S., Di Giandomenicoc F., Donatellia S., Dondossolad G., Franceschinisb G. // Int. J. Critical Infrastructure Protection. – 2012. – Vol.5. – P. 14 – 27.
[30] Critical Infrastructure Interdependency Modeling: A Survey of U.S. and International Research // P.Pederson, D.Dudenhoeffer, S.Hartley, M.Permann. – Idaho National Laboratory. – U.S. Department of Energy, 2006. – 116 p.
[31] Rubbelke D., Vogele S., Impacts of climate change on European critical infrastructures: The case of the power sector // Environmental science and policy. – 14. – 2011. – P. 53 – 63.
[32] McEvoy D., Ahmed I., Mullett J., The impact of the 2009 heat wave on Melbourne's critical infrastructure // Local Environment: The Int. J. of Justice and Sustainability. – 2012. – 17(8). – P. 783 – 796.
[33] The Federal Council’s Basic Strategy for Critical Infrastructure Protection [Електронний ресурс]. – Federal Administration. – Режим доступу: http://www.bevoelkerungsschutz.admin.ch