Kezdőlap
A veszélyes anyagokkal foglalkozó üzemek ipari irányítórendszereinek biztonsága
BARANYA ZSOLT (BLACK CELL MAGYARORSZÁG KFT.) ÉS A HOLLÓ ÜGYVÉDI IRODA PUBLIKÁCIÓJA
Magyarországon a veszélyes anyagokkal foglalkozó üzemek biztonságát alapvetően a SEVESO III. irányelv1, a katasztrófavédelmi törvény2, és a kapcsolódó végrehajtási rendeletek szabályozzák elsősorban.
Ezek a jogszabályok azonban nem rendelkeznek a veszélyes anyagokkal foglalkozó üzemek kiber- vagy információbiztonsági kérdéseiről.
A hazai információbiztonsági jogszabály, az Ibtv.3 hatálya egyértelműen meghatározott szervezetekre, állami és önkormányzati szervekre, valamint a kijelölt nemzeti létfontosságú rendszerek és létesítmények üzemeltetőire (kritikusinfrastruktúra- üzemeltetőkre) terjed ki. Jelenleg 10 ágazat van Magyarországon, amelyben kijelölt létfontosságú rendszerek és létesítmények lehetnek kijelölve.
Az említett 10 ágazat a következő: energia, közlekedés, agrárgazdaság, egészségügy, társadalombiztosítás, pénzügy, infokommunikációs technológiák, víz, közbiztonság-védelem, honvédelem.
A SEVESO III. irányelv alapján lehetnek alsó küszöbértékű és felső küszöbértékű üzemek, melyek a veszélyes anyagokkal kapcsolatosan a szállításra, tárolásra, előállításra kapcsolódóan is kötelesek betartani bizonyos előírásokat.
Ha az említett nemzeti létfontosságú rendszerek és létesítmények üzemeltetőit és a veszélyes anyagokkal foglalkozó üzemeket összehasonlítjuk, akkor ki lehet következtetni, hogy van összefüggés és közös keresztmetszet a kettőben, tehát léteznek olyan kritikus infrastruktúrák, amelyek veszélyes üzemek is egyben. Az előzőek alapján megállapítható, hogy információbiztonság tekintetében az Ibtv. hatálya alá tartoznak azok a veszélyes anyagokkal foglalkozó üzemek, amelyek kijelölt kritikus infrastruktúrák is egyben.
Azonban vannak olyan veszélyes üzemek, amelyek nem tartoznak az Ibtv. hatálya alá, és nem támaszt a jogalkotó semmilyen kiber- vagy információbiztonsági elvárást az adott üzemekkel szemben. Ez azon üzemek vonatkozásában nem is fontos, amelyek nem számottevő mértékben információtechnológiai alapon látják el tevékenységüket, például kizárólag tárolják és szállítják a veszélyes anyagokat, meghatározó IT infrastruktúra vagy ipari irányítórendszerek használata nélkül.
A gyártók, vagy akik a gyártás során felhasználják ezeket a veszélyes anyagokat, és mindezt úgy teszik, hogy ipari irányítórendszereket alkalmaznak, ki vannak téve olyan támadásoknak, amelyek az ipari irányítórendszerek ellen irányulhatnak.
Az ilyen kibertámadások számos céllal történhetnek. Ilyen cél lehet többek között a pénzszerzés, például valamely ipari irányítórendszer működését zsarolóvírusokkal megbénítva a normál üzletmenet helyreállításáért pénzt kizsarolni az üzemeltetőktől, de akár a szándékos károkozás is, amely a veszélyes anyagok természeténél fogva hatalmas veszélyeket hordozhat magában. Egy ipari irányítórendszer oly módon történő befolyásolása – amely például adatok megváltoztatásával (meghamisításával) történik, például veszélyesanyag- összetevő adagolásának meghatározó mértékű növelése által – és ennek következtében olyan reakciók lépnek fel, amelyek a természetet, vagy az emberi életeket is meghatározó módon
veszélyeztethetik, rendkívül veszélyesek.
Esetleg gondoljunk bele, hogy egy növényvédő szereket gyártó veszélyes üzemben úgy módosítják az összetevőket egy permetszerben, hogy a permetezés során az anyag tönkretesz több tízezer hektár terményt, amely aztán a továbbgyűrűző hatások miatt meghatározó mértékű drágulást okoz az élelmiszerek piacán, vagy a haszonállatok ellátását veszélyezteti.
Világosan látszik, hogy a veszélyes anyagokkal foglalkozó üzemeknek is szükséges a kiber- és információbiztonsági támadásokra felkészülni.
Mivel az Ibtv. nem követeli meg minden veszélyes anyagokkal foglalkozó üzemtől, hogy kiber- és információvédelmi megoldásokat implementáljanak, illetve megfelelő szabályozással csökkentsék az ilyesfajta támadások bekövetkezésének a valószínűségét, ezért az említett szervezeteknek maguknak kell felismerni, hogy egy működő védelmi stratégia részévé tegyék a kibervédelmet,
és ezzel az ipari irányítórendszereik biztonságát szavatolják.
Azon veszélyes üzemeknek, akik nem tartoznak az Ibtv. hatálya alá, ugyanúgy van lehetőségük biztosítani a kiber- és információbiztonságot, ha megfelelő szabványt, vagy ajánlást vesznek figyelembe az ipari irányítórendszerük védelmének kialakításához.
Javasolt olyan ajánlást figyelembe venni, amely rendszerben gondolkodva próbál megoldást nyújtani a kockázatok csökkentésére. Itt gondolni kell a belső fenyegetésekre (saját dolgozók által elkövetett negatív hatást kiváltó cselekmények) vagy a szabályozás hiányára is, amely szintén okozhat problémát, de nem kimondottan kiberbiztonsági kérdés.
Magyar nyelvű, mindenre kiterjedő (adminisztratív, fizikai és logikai védelem) ajánlás jelenleg nem létezik, kizárólag a téma egy részét érintő tanulmányok és publikációk érhetők el . A NIST 800-82 r2, vagyis az Amerikai Egyesült Államok Nemzeti Szabványügyi és Technológiai Hivatala ipari irányítórendszerek biztonságáról szóló ajánlása átfogóan kezeli a kiber- és információbiztonságot, és a megfelelő kontrollok kialakítása révén csökkentheti az ipari irányítórendszerek működési/ működtetési kockázatait. Az angol nyelvű dokumentum segítséget nyújthat szabályozás hiányában az üzemeltetők számára.
Az ipari irányítórendszerek védelme kiemelt jelentőségű napjainkban. Az Ipar 4.0 stratégia4 térhódítása
szintén azt követeli meg, hogy az említett veszélyes anyagokkal foglalkozó üzemek nagy figyelmet fordítsanak arra, hogy a rendszereik biztonságosan működjenek. Azon szervezeteknek, akik az Ibtv. hatálya alá esnek, szintén javasolt az ipari irányítórendszereit specializáltan kezelni kiber- és információbiztonság tekintetében és a NIST 800-82 r2 ajánlást figyelembe
véve kialakítani a védelmet, mert az Ibtv. az IT rendszerekre fókuszál, és nem kezeli az ipari irányítórendszerek működtetéséből fakadó sajátosságokat.
Összességében fontos lenne mind a jogalkotó, mind a veszélyes anyagokkal foglalkozó üzemek részéről felismerni az ipari irányítórendszerek védelmének fontosságát, hogy ne – a jelen cikkben is megvilágításra került – katasztrófahelyzetek irányítsák rá a figyelmet a problémára.
Megjegyzés: A cikkben található információk csupán tájékoztató jellegûek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való elôzetes konzultáció nélkül.
1. Az Európai Parlament és a Tanács 2012/18/EU Irányelve a veszélyes anyagokkal kapcsolatos súlyos balesetek veszélyének
kezeléséről, valamint a 96/82/EK tanácsi irányelv módosításáról és későbbi hatályon kívül helyezéséről
2. A katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló 2011. évi CXXVIII. törvény
3. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
4. Az Ipar 4.0 fogalma: a termelési folyamatok olyan hatékony szervezését írja le, melynek keretében az eszközök önállóan kommunikálnak, és összehangoltan működnek az anyagáram mentén. Forrás: https://www.ipar4.hu/page/tudasbazis-ipar-4-0-fogalomtar