Hodnotenie rizika pri ochrane objektov kritickej infraštruktúry

HODNOTENIE RIZIKA PRI OCHRANE OBJEKTOV KRITICKEJ INFRAŠTRUKTÚRY

RISK ASSESSMENT IN THE PROTECTION OF CRITICAL INFRASTRUCTURE FACILITIES

doc. Ing.Ladislav HOFREITER, CSc., Katedra bezpečnostného manažmentu, Fakulta špeciálneho inžinierstva ŽU vŽiline,

Abstrakt

Efektívna ochrana objektov kritickej infraštruktúry je podmienená identifikovaním aohodnotením bezpečnostných rizík. Vtejto štúdii chceme predstaviť jeden zmožných spôsobov posudzovania rizík pri ochrane objektov kritickej infraštruktúry.

Abstract

Effective protection of critical infrastructure facilities is contingent valuation and identifying security risks. In this study, we want to present a possible method risk assessment in the protection of critical infrastructure facilities.

Úvod

Bezpečnosť, ekonomická aspoločenská stabilita štátu, jeho funkčnosť ale i   ochrana životov amajetku občanov je závislá od správneho  fungovania mnohých systémov  infraštruktúry štátu. Infraštruktúry potrebné pre zaistenie podmienok života – energia, voda, potraviny, komunikácie, doprava, zdravotníctvo, financie, obrana –sú tak tesne prepojené, že  udalosti, ktoré môžu vzniknúť vjednom zo sektorov infraštruktúry (vjednom zpodsystémov spoločnosti) majú potenciál spôsobiť  otras vcelom spoločenskom systéme.

Ak by narušenia fungovania, nedostatok alebo zničenie  týchto   systémov, inštitúcií, zariadení a ďalších služieb  mohlo spôsobiť narušenie spoločenskej  stability abezpečnosti štátu, vyvolať krízovú situáciu alebo vážne ovplyvniť fungovanie štátnej správy asamosprávy vkrízových situáciách, tieto systémy, resp. túto infraštruktúru označujeme ako kritickú.

Je vzáujme štátu, by táto kritická infraštruktúra bola efektívne chránená. Skúmanie prístupov kzaisteniu ochrany objektov kritickej infraštruktúry neznamená len opis spôsobov ochrany, resp. štruktúry systémov na ochranu objektov kritickej infraštruktúry, ale je podmienené aj hľadaním, nachádzaním aodhaľovaním javov audalostí, vyvolávajúcich potrebu ochrany, ich príčiny. Potrebujeme identifikovať aohodnotiť riziká, lebo len tak môžeme vytvoriť efektívnu ochranu objektov kritickej infraštruktúry.

OCHRANA OBJEKTOV KRITICKEJ INFRAŠTRUKTÚRY

Pojem ochrana môže byť vnímaný vrôznych významoch. Najvšeobecnejší význam tohto pojmu znamená  starostlivosť   o odvrátenie nebezpečenstva, rôznych škodlivých vplyvov prostredia, zokolia sociálneho subjektu alebo materiálneho objektu,  ktoré môžu ohroziť jeho bezpečnosť. Ochrana je definovaná aj ako „súhrn systémových opatrení, činností aprostriedkov na prevenciu aodstránenie následkov súčasných apotenciálnych vnútorných ivonkajších ohrození ...“(Šimák, 2005) 

Na inom mieste sa uvádza, že ochrana je súhrn opatrení na odvrátenie alebo zmiernenie škodlivých vplyvov a následkov mimoriadnych udalostí, krízových situácií atiež vo význame protection - akt chránenia alebo stav jestvovania ochrany resp. safeguard – niečo, čo zaručuje bezpečnosť“ (Mikolaj, 2004).

Ochrana predstavuje aj činnosť na „ vytvorenie bezpečného prostredia pre daný subjekt“ arealizuje sa návrhom azladením všetkých dostupných prostriedkov, ktoré zaistia požadovanú alebo definovanú bezpečnosť (Lukáš, 2011).

Ak budeme ochranu považovať za činnosť smerujúcu kvytvoreniu bezpečného prostredia pre referenčné objekty[1],  potom bude takáto činnosť zameraná najmä na :

• elimináciu alebo minimalizáciu negatívnych  vplyvov, teda ohrození sociálnej,   prírodnej a  technogénnej povahy  na bezpečnosť referenčných objektov,
• zníženie rizík vyplývajúcich  zpôsobenia činiteľov prostredia na akceptovateľnú úroveň,
• zaistenie funkčnosti aakcieschopnosti systému na riešenia krízových situácií , ktoré môžu nastať vprostredí referenčného objektu.

Vzákone ochrane kritickej infraštruktúry je ochrana kritickej infraštruktúry definovaná ako zabezpečenie funkčnosti, integrity a kontinuity činnosti prvku s cieľom predísť, odvrátiť alebo zmierniť hrozbu jeho narušenia alebo zničenia.

V prípade ochrany objektov kritickej infraštruktúry ide ocieľavedomú činnosť  na zaistenie bezpečnosti/istoty s využitím ochranných prostriedkov a opatrení, ktoré smerujú kzabráneniu  akejkoľvek nepriateľskej činnosti alebo udalosti, ktorá by spôsobila negatívne následky pre chránené objekty alebo priestory. Ochranu objektov kritickej infraštruktúry (Critical Infrastructure Protection) vnímame ako  súbor opatrení, ktoré sa plánujú avykonávajú scieľom:

• identifikovať achrániť tie objekty sektorov infraštruktúry štátu, ktoré sú kritické zhľadiska zachovania ich bezpečnosti, funkčnosti, ekonomickej i spoločenskejstability, pričom sa musí rovnocenne hodnotiť tak štátna, ako aj privátna sféra,
• zabezpečiť funkčnosť systému včasného varovania ovzniku krízových situácií aochranu tej infraštruktúry, ktorá je dôležitá pre riešenie krízových situácií.

Ochrana objektov kritickej infraštruktúry  predstavuje  určitý spôsob manažérstva rizika, teda realizáciu súboru koordinovaných acieľavedomých činností, zameraných na minimalizáciu alebo elimináciu možnosti, že prijatý bezpečnostný zámer  (zaistenie požadovanej bezpečnosti objektov kritickej infraštruktúry) bude ohrozený neželanou negatívnou udalosťou, javom alebo činnosťou.

ČINITELE RIZIKA

Riziko  sa najčastejšie vyjadruje ako  pravdepodobnosť vzniku javu, udalosti alebo incidentu, ktorý môže spôsobiť škody, straty alebo iné negatívne dôsledky (poškodenie, zničenie objektov ochrany, straty na ľudských životoch ap.). Riziko je tiež  chápané ako účinok neistoty zámerov[2]. 

Základný spôsob vyjadrenia rizika je vtvare:

R = T x Vx C)                       (1)

kde: T  je  reálne alebo potenciálne ohrozenie (threat),

        V je zraniteľnosť  (vulnerability) objektu, resp. jeho systému ochrany,

        C  je dôsledok (consequence) pôsobenia ohrozenia.

Hodnotenie rizika teda spočíva vkvantitatívnom alebo kvalitatívnom vyjadrení  týchto činiteľov :

• ohrozenie,
• zraniteľnosti,
• dôsledkov ohrozenia.

2.1. Ohrozenie

Pojem ohrozenie (Threat, e Bedrohung, угроза, zagrożenie) označuje konkrétny, fyzicky existujúci objekt, jav či udalosť, ktorý je schopný spôsobiť škodu alebo ujmu. Vnajširšom význame sa takto označuje všetko,  čo je pre referenčný objekt  nebezpečné, čo by mohlo negatívne zmeniť jeho situáciu bezpečnosti. Ohrozením označujeme aj  udalosti ajavy, ktoré môžu vrelatívne krátkom čase nastať alebo už nastali amôžu spôsobiť dramatické zmeny podmienok existencie referenčného objektu. 

Výskyt ohrozenia je determinovaný:

• objavením sa nositeľa, zdroja ohrozenia, teda niečoho alebo niekoho, čo by mohlo spôsobiť škodu alebo ujmu, alebo má taký zámer, 
• spôsobilosťou nositeľa, zdroja, ohroziť subjekt alebo chránený záujem, resp. spôsobiť škodu alebo ujmu, alebo  vyvolať nebezpečnú udalosť.

Výskyt zdroja, resp. nositeľa ohrozenia,  ktorý chce (má motív)  avie (má spôsobilosti) ohroziť sú príčiny nutné, nie však dostačujúce; ony ešte nezaručujú, že bude subjekt reálne ohrozený. Aby bol subjekt ohrozený skutočne, priamo abezprostredne, musia byť realizované  ďalšie podmienky, ako napr.  primeraná  zraniteľnosť subjektu, nízka odolnosť ochrany, dostupnosť alebo prenosnosť chráneného záujmu, malé riziko neúspechu pre útočníka, veľká pravdepodobnosť zisku, priaznivá verejná  mienka či podpora pre konanie útočníka apod. 

Aby došlo kohrozeniu subjektu alebo jeho chránených záujmov,  musia byť splnené dve podmienky:

• zdroj ohrozenia   ireferenčný objekt  sa súčasne vyskytujú   vrovnakom čase, ako  pôsobí ohrozenie,
• objekt  je vdosahu účinkov (vplyvov) ohrozenia.

objekt bude ohrozený , ak sa bude nachádzať v hraniciach dosahu účinkov ohrozenia (napr. v dosahu útočníka, vdosahu účinkov výbuchu, požiaru atď.), teda:

                                                                              (2)                          kde  DD    je vzdialenosť zdroja ohrozenia od objektu

     DO       je dosah účinkov ohrozenia.

Dosah účinkov, alebo dosahu ohrozenia je závislý od charakteru zdroja ohrozenia. Iný dosah ohrozenia je vprípade fyzického útoku na ulici, iný dosah je pri pôsobení nebezpečných látok alebo výbušných systémov, či hackerov.

Proces identifikácie ohrození spočíva vodhalení  možných neželaných negatívnych udalostí ajavov, nachádzajúcich sa (existujúcich) vrôznej forme apodobe vbezpečnostnom prostredí,  ktoré môžu spôsobiť ohrozenie  analyzovaných objektov kritickej infraštruktúry.

Identifikácia ohrození je procesne orientovaná ačlenená do rôznych oblastí možných ohrození. Cieľom identifikácie ohrození je:

• zistenie všetkých významných kategórií ohrození,
• identifikácia zdrojov ohrození vo vzťahu kobjektu,
• zistenie motívu a/alebo zámerov apríčin  ohrozenia,
• zistenie spôsobilostí zdroja/nositeľa realizovať svoj zámer, resp. spôsobiť škodu,
• analýza výskytu prejavov ohrozenia vminulosti,
• stanovenie veľkosti každého identifikovaného ohrozenia.

Ohodnotenie veľkosti každého identifikovaného ohrozenia sa môže  uskutočniť kvalitatívnou metódou svyužitím expertného ohodnotenia odpovedí na nasledujúce otázky:

• Existuje zdroj ohrozenia (S - Source) ?
• Je známa motivácia alebo existuje príčina (M- Motivation)?
• Má , alebo môže mať nositeľ ohrozenia schopnosti na uskutočnenie útoku na chránený objekt  (C - Capability)?
• Existujú prípady výskytu ohrozenia zminulosti (E – Event) ?

Zdroj ohrozenia môže byť sociálna jednotka (jedinec, skupina, sociálny skupina atď.), činiteľ prírodnej povahy (rieka, priehrada, sklon terénu atď.), prírodné živly iprírodné katastrofy. Zdrojmi ohrozenia technogénnej povahy môžu byť technické systémy, procesy, infraštruktúrne prvky, technologické procesy, či nebezpečné látky amateriály. Do tejto skupiny môžeme zaradiť aj prepravované nebezpečné látky prepravované dopravnými cestami.

Motiváciu môžeme hodnotiť uzdrojov sociálnej povahy, napr. motivácia pre teroristický útok, sabotáž, spoluprácu svonkajším útočníkom ap. Pre zdroje prírodnej či technogénnej povahy budeme hodnotiť, či existujú príčiny apodmienky, aby sa prejavil apôsobil ich deštruktívny potenciál.

Hodnotenie schopnosti ohroziť bude vprípade sociálnych ohrození znamenať ohodnotenie jeho schopností azručností, resp. materiálneho vybavenia potrebného na ohrozenie objektu kritickej infraštruktúry.Vprípade ohrození prírodnej atechnogénnej povahy budeme hodnotiť, či daný zdroj má dostatočný deštruktívny potenciál na priame ohrozenie objektu kritickej infraštruktúry.

Na hodnotenie výskytu udalostí zminulosti môžeme využiť relevantné štatistické  zdroje.Veľkosť ohrozenia môžeme ohodnotiť na základe  ohodnotenia existencie  podmienok  ohrozenia. Príklad hodnotenia ohrození je uvedený vtabuľke 1.

Tabuľka 1 : Príklad kvalitatívneho hodnotenia veľkosti ohrozenia. Zdroj : vlastné spracovanie

Existuje zdroj ohrozenia ?	Je známa motivácia, zámer útočníka? Existujú príčiny?	Má zdroj ohrozenia schopnosti ohroziť ?	Existujú prípady výskytu zminulosti ?	Hodnotenie ohrozenia
Áno	Áno	Áno	Áno	Veľmi Veľké (VV)
Áno	Áno	Nedá sa surčitosťou stanoviť	Nie	Veľké (V)
Áno	Nedá sa surčitosťou stanoviť	Nedá sa surčitosťou stanoviť	Nie	Stredné (S)
Áno	Nie	Nedá sa surčitosťou stanoviť	Nie	Malé (M)
Nedá sa surčitosťou stanoviť	Nie	Nie	Nie	Malé (M)
Nie*				Ohrozenie neexistuje (0)

*  ak nie je definovaný zdroj ohrozenia, nie je potrebné pokračovať vhodnotení ďalších faktorov, pretože zlogickej podmienky vyplýva, že ohrozenie neexistuje.

Iný, skrátený variant  tohto spôsobu hodnotenia ohrozenia je uvedený na obrázku 1.

Obr.1. Príklad kvalitatívneho hodnotenia ohrozenia. Zdroj: vlastné spracovanie

2.2. Zraniteľnosť objektu

Zraniteľnosť (Vulnerability, e Vulnaribilität,  уязвимость,  podatność) znamená   vlastnosť ľubovoľného materiálneho objektu, technického prostriedku alebo sociálneho subjektu  stratiť schopnosť plniť svoju prirodzenú alebo stanovenú funkciu vdôsledku pôsobenia vonkajších alebo vnútorných ohrození rôznej povahy  aintenzity.  Vyjadruje stupeň, či mieru jeho schopnosti odolávať vonkajším ivnútorným ohrozeniam.

Zraniteľnosť predstavujú tie časti objektu ochrany (stavebné prvky, otvorové výplne) alebo tie prvky systému ochrany,  ktoré nezabezpečujú požadovaný stupeň  ochrany (ochranu zodpovedajúcupríslušnej bezpečnostnej triede), sú slabým  alebo ľahko prekonateľným prvkom vsystéme ochrany, alebo vytvárajú výhodné podmienky pre napadnutie objektu, zvyšujú pravdepodobnosť útoku ajeho úspechu.

Zraniteľnosť sa vyhodnocuje podľa tých častí objektu alebo  prvkov systému ochrany, ktoré sú najmenej odolné voči aktuálnym alebo potenciálnym ohrozeniam. Čím je zraniteľnosť systému ochrany menšia, tým je väčšia jeho odolnosť voči pôsobeniu ohrození. 

Cieľom analýzy zraniteľnosti objektov kritickej infraštruktúry je ich posúdenie zhľadiska ich  odolnosti voči pôsobeniu predpokladaných ohrození. Obsahom môže byť :

• identifikácia potenciálnej  zraniteľnosti  objektov kritickej infraštruktúry  sohľadom na identifikované ohrozenia,
• identifikácia  existujúcich ochranných opatrení aich účinnosti pri redukcii, resp. eliminácii negatívneho vplyvu identifikovaných ohrození,
• ohodnotenie miery zraniteľnosti analyzovaných sektorov. 

Ukazovateľmi  pre ohodnotenie zraniteľnosti objekti , jeho zón alebo priestorov sú:

• stupeň zraniteľnosti, ohodnotený pomocou kvalitatívnych metód (expertných ohodnotení) ako malý, stredný, veľký ap.
• alebo pravdepodobnosť úspešného útoku  Pú na objekt, ktorú môžeme vyjadriť použitím pravdepodobnostných modelov vstupnici (0;1) , alebo ako subjektívnu pravdepodobnosť, resp. vierohodnosť (plauzibilitu).

Opačným ukazovateľom kpredchádzajúcim sú:

• stupeň odolnosti systému ochrany objektu (zóny, budovy, priestoru), pričom vyjadrenie stupňa odolnosti bude inverzné kstupňu zraniteľnosti, tzn. ak stupeň zraniteľnosti bude malý, stupeň odolnosti bude veľký;
• alebo pravdepodobnosť zadržania narušiteľa PO (pravdepodobnosť eliminácie ohrozenia) pred jeho dosiahnutím prístupu kchránenému objektu alebo chráneným zónam apriestorom objektu..

Rozhodujúcimi kritériami pre  spracovanie prehľadu zraniteľných miest chráneného objektu sú :

• počet a kontrolovateľnosť prístupových ciest kobjektu, do chránených priestorov alebo zón,
• úroveň  prielomovej odolnosti použitých  mechanických zábranných  prostriedkov na prístupových cestách,
• úroveň prielomovej odolnosti  stavebných prvkov objektu,
• taktika použitia prvkov poplachových systémov,
• spôsob výkonu fyzickej ochrany,
• úroveň dodržiavania stanovených režimových opatrení avnútorných prevádzkových poriadkov objektu,
• úroveň ochrany utajovaných skutočností (vo vzťahu kchránenému objektu kritickej infraštruktúry ajeho ochrane),
• možnosti zásahových jednotiek vykonať zásah na zadržanie narušiteľa (páchateľa) apod.

Na ohodnotenie zraniteľnosti objektu, resp. jeho systému ochrany  je vhodné vytvoriť model, ktorý vyjadruje celkovú štruktúru objektu a systému ochrany, vytvárajúceho  prekážku na dosiahnutie cieľa útočníkom. Pomocou takého modelu je možné nájsť všetky možné prístupové cesty kchránenému objektu, odhaliť najslabšie miesta (prvky) ochrany na týchto prístupových cestách, určiť miesta aprvky, ktorých ochranu treba zosilniť ap.

Obr.2. Model posudzovania zraniteľnosti. Zdroj : Vlastné spracovanie

Na  takomto modeli overujeme  zraniteľnosť každej vrstvy systému ochrany voči identifikovanému aohodnotenému ohrozeniu. Hodnotíme, či dané ohrozenie prekoná alebo neprekoná danú vrstvu systému ochrany.

Na ohodnotenie pravdepodobnosti prekonania systému ochrany použijeme semikvantitatívnu metódu. Variant stanovenia hodnôt pravdepodobností prekonania vrstvy systému ochrany je uvedený  vtabuľke 2.

Tabuľka 2. Hodnoty pravdepodobností prekonania systému ochrany. Zdroj : Vlastné spracovanie

Slovné vyjadrenie pravdepodobnosti prekonania vrstvy ochrany	Číselná hodnota pravdepodobnosti P(Li)
Môže  prekonať	0,4 -0,6
Pravdepodobne  prekoná	0,7 – 0,8
Takmer určite prekoná	0,9
Určite prekoná	0,99

Hodnotenie pravdepodobnosti prekonania prvej vrstvy je P(L1). Pravdepodobnosť neprekonania vrstvy je 1- P(L1). Táto pravdepodobnosť určuje aj odolnosť vrstvy systému. Prekonanie ďalších vrstiev riešime ako podmienené pravdepodobnosti :

Ppr2 = P (L1). P(L2)                        (3)

Pravdepodobnosť neprekonania, teda pravdepodobnosti odolnosti (PO) vrstvy ochrany,  určíme :

PO = 1 - [ P (L1). P(L2]                  (4)

Pri n vrstvách  systému ochrany bude pravdepodobnosť prekonania (Ppr) , a teda izískania prístupu kchránenému záujmu :

                      (5)

apravdepodobnosť odolnosti (PO), teda nezískania prístupu kchránenému záujmu,   bude:

                      (6)

Stupeň zraniteľnosti objektu kritickej infraštruktúry,  chráneného priestoru  a jeho systému ochrany môžeme hodnotiť pomocou semikvantitatívnou  metódou, napr.:

• malá zraniteľnosť, ak výsledná pravdepodobnosť prekonania je menšia ako 0,3
• stredná zraniteľnosť, ak výsledná pravdepodobnosť prekonania je vrozsahu  0,31- 0,6
• veľká zraniteľnosť, ak výsledná pravdepodobnosť prekonania je väčšia ako 0,61

Hodnotenie zraniteľnosti kvalitatívnou metódou znamená, že použijeme slovné ohodnotenie možnosti, že útočník (ohrozenie) prekoná danú vrstvu systému ochrany. Stupnica ohodnotenia zraniteľnosti (odolnosti) vrstvy systému ochrany ,môže byť  vo forme:  určite neprekoná – takmer určite neprekoná – pravdepodobne neprekoná – pravdepodobne prekoná – takmer určite prekoná – určite prekoná.

Aby útočník (ohrozenie) získal prístup (Ppr)  kchránenému objektu amohol ho reálne ohroziť, musí prekonať všetky vrstvy systému ochrany. Pravdepodobnosť takého javu je :

Ppr = min( Ppr1Ù  Ppr2 Ù Ppr3Ù ... Ù Ppr i )                (5)

Na isté zabránenie prístupu útočníka kchránenému záujmu (objektu) stačí, ak aspoň pri jednej  vrstve systému ochrany  hodnotíme, že určite neprekoná. Pravdepodobnosť takého javu je :

PO = max (PO1Ú  PO2 Ú PO3Ú ... ÚPOi  )                                (6)

Výsledné hodnotenie zraniteľnosti pri použití kvalitatívneho ohodnocovania môže byť  nasledujúce:

• veľmi malá zraniteľnosť, ak útočník (ohrozenie) určite alebo takmer určite neprekoná  systém ochrany objektu / chráneného priestoru,
• malá zraniteľnosť,  ak útočník (ohrozenie ) pravdepodobne neprekoná systém ochrany objektu / chráneného priestoru
• stredná zraniteľnosť ak existuje možnosť, že ohrozenia prekonajú  systém ochrany,
• veľká zraniteľnosť,  ak pravdepodobnosť prekonania systému  ochrany je veľká, odolnosť je veľmi malá,
• veľmi veľká zraniteľnosť, ak existujúci  systém ochrany  nemá schopnosť čeliť identifikovaným ohrozeniam, bude surčitosťou prekonaný abude reálne ohrozený objekt, chránený priestor.

Dôsledok 

Dôsledok (consequence, e Konsequenz, последствие, skutek ) predstavuje predpokladanú škodu, ujmu, neželenú kvalitatívnu a/alebo kvantitatívnu zmenu aktíva, zníženie jeho hodnoty alebo jeho úplný zánik (zničenie), prípadne humánne škody astraty, spôsobené reálne pôsobiacim ohrozením. Dôsledky sa môžu vyjadriť ako :

• humánne škody astraty, predstavujúce negatívne dôsledky, ktoré sa prejavia poškodením zdravia, ľahkým alebo ťažkým zranením, až usmrtením osoby,
• majetková ujma , ktorá predstavuje skutočnú majetkovú stratu (škodu),vyjadrenú  (vyčíslenú ) vpeňažných jednotkách. Môže byť vyjadrené ako :
  • priame hospodárske škody a straty,
  • dôsledky výpadku dodávky alebo  služby
  • náklady na obnovu dodávky tovaru alebo služby,
• nemajetková ujma, vyjadrená ako ujma vosobnej sfére človeka, napr. bolesť, psychická trauma, alebo narušenia kvality života obyvateľstva, vdôsledku zhoršenia kvality alebo nedostupnosti tovaru alebo služby,
• negatívne dopady na životné prostredie ,  spôsobované vprípade prejavu ohrození technologickej povahy, ohrození  spojených sprevádzkou stabilných alebo mobilných zdrojov, alebo vdôsledku živelných pohrôm akatastrof.

Spôsoby vyjadrenia veľkosti dôsledkov

Základné spôsoby ohodnotenia dôsledkov sú kvantitatívne, semikvantitatívne akvalitatívne

Kvantitatívne ohodnotenie veľkosti dôsledkov spočíva vo pomernom  alebo percentuálnom  ohodnotení predpokladaných škôd alebo strát kcelkovej hodnote majetkových (finančne vyjadriteľných) aktív.

                           (7)

       (%)   (8)

kde : C  - dôsledky, vyjadrené ako pomerné číslo (1), alebo vpercentách (2),

         LP  - veľkosť predpokladaných priamych strát, vyjadrená vpeňažných

                 Jednotkách,

         ER   - predpokladané náklady na obnovu funkčnosti, schopnosti poskytovať

                 tovary alebo služby, vyjadrené vpeňažných jednotkách,

         A  - hodnota majetkových aktív, resp. očakávaných ziskov zposkytovania

                 tovarov aslužieb,  vyjadrená vpeňažných jednotkách

Pri semikvantitatívne ohodnotenie dôsledkov negatívnych udalostí (ohrození) použijeme kombináciu kvan­ti­ta­tív­neho vy­jad­re­nia dôsledkov po­mo­cou čí­sel­nej šká­ly, a kva­li­ta­tív­ne vy­jad­re­nie po­mo­cou slov­né­ho opi­su tejto škály. Napríklad : veľkosť dôsledku do 0,1 opíšeme ako malý dôsledok.

Kvalitatívny spôsob ohodnotenia dôsledkov použijeme vtedy, ak nie je možné kvantitatívne ohodnotenie dôsledkov. Spočíva vexpertnom ohodnotení predpokladaných dôsledkov pôsobenia identifikovaných ohrození na objekty kritickej infraštruktúry. Na ohodnotenie dôsledkov sa môžu použiť kritériá, napr. :

Usmrtenie alebo poškodenie zdravia, havárie svážnym dopadom na životné prostredie alebo životy azdravie ľudí vdôsledku havárie prvku kritickej infraštruktúry.

Dlhodobé vyradenie prvku  kritickej infraštruktúry sveľmi vážnym dopadom na ekonomiku štátu.

Dočasné vyradenie prvku  kritickej infraštruktúry svážnym dopadom na ekonomiku štátu.

Dočasné vyradenie prvku kritickej infraštruktúry svážnym dopadom na zhoršenie kvality života ľudí.

Krátkodobé vyradenie  prvku kritickej infraštruktúry svážnym dopadom na zhoršenie kvality života ľudí, resp. poskytovania služby.

Krátkodobé vyradenie  prvku kritickej infraštruktúry s dopadom na zhoršenie kvality života ľudí, resp. poskytovania služby

Krátkodobá nefunkčnosť prvku kritickej infraštruktúry bez významného vplyvu.

Tabuľka  pre stanovenie veľkosti dôsledkov je vnasledujúce forme (tabuľka 2):

Tabuľka 3. Príklad hodnotenia veľkosti dôsledkov . Zdroj : vlastné spracovanie

Kritérium							Veľkosť dôsledku
1	2	3	4	5	6	7
A	A/N	A/N	A/N	A/N	A/N	A/N	Veľmi vážny
N	A	A	A/N	A/N	A/N	A/N	Vážny
N	A/N	A	A	A	A	A/N	Významný
N	N	N	N	N	A	A	Malý
N	N	N	N	N	N	A	Zanedbateľný

3. METÓDY HODNOTENIA RIZÍK

Na komplexné vyjadrenie  rizika môžeme použiť  maticu ohodnotenia rizika. Veľkosť rizika  sa  stanoví na základe kvalitatívnej závažnosti veličín (parametrov rizika), ktorými sú veľkosť ohrozenia, zraniteľnosti adôsledkov. Matica ohodnotenia rizika  na základe definovaných parametrov je vnasledujúcom tvare (tabuľka 4):

Tabuľka 4. Príklad kvalitatívneho ohodnotenia veľkosti rizika. Zdroj : Vlastné spracovanie.

Dôsledok	Ohrozenie
	M			S			V
	Zraniteľnosť
	M	S	V	M	S	V	M	S	V
Zanedbateľný	VM	VM	VM	VM	VM	M	M	M	M
Malý	VM	VM	M	M	M	M	M	M	M
Významný	M	M	M	S	S	S	S	V	V
Vážny	M	S	S	V	V	V	V	V	VV
Veľmi vážny	M	S	V	V	V	V	V	VV	VV

Výsledná hodnota rizika sa stanoví ako priesečník hodnôt dôsledku, ohrozenia azraniteľnosti. Na  kvalitatívne ohodnotenie veľkosti  rizika môže byť  použitá nasledujúca stupnica:

• veľmi malé (VM),
• malé (M),
• stredné (S),
• veľké (V),
• veľmi veľké (VV).

Semikvantitatívne (polokvantitatívne) metódy - využívajú kvalitatívne popísanie stupnice, ktoré majú pridelené číselné hodnoty, kombináciou týchto charakteristík sa určí hodnota rizika. V semikvantitatívnej analýze sú kvalitatívne stupnice (škály) doplnené hodnotami. Príklad použitia je vtabuľke 5.

Tabuľka 5. Matica semikvantitatívnej  analýzy rizík

Veľkosť dôsledku	Veľkosť ohrozenia  O
	Malá -1			Stredná-2			Veľká-3
	Zraniteľnosť
	M-1	S-2	V-3	M-1	S-2	V-3	M-1	S-2	V-3
Malý -1	1	2	3	2	4	6	3	6	9
Významný -2	2	4	6	4	8	12	6	12	18
Vážny -3	3	6	9	6	12	18	9	18	27
Veľmi vážny -4	4	8	12	8	16	24	12	24	36

Číselné hodnoty rizika môžeme pretransformovať na slovné ohodnotenie, napr.:

1-8    : malé riziko; 9-16  : stredné riziko; 18-36 : veľké riziko.

OHODNOTENIE RIZÍK

Hodnotenie rizík ochrany objektov kritickej infraštruktúry zahŕňa porovnanie veľkosti rizika zisteného vprocese analýzy  sprijatými kritériami .

Kritériá rizika (Risk Criteria) musia byť  definované  na začiatku procesu posudzovania rizika amusia sa nepretržite preskúmavať. Vedúci (bezpečnostný pracovník)  definovaním kritérií rizika určuje, aká miera rizika je prijateľná. Kritériá rizika pri ochrane objektov kritickej infraštruktúry majú odrážať najmä požiadavky zákonov apredpisov, hodnoty organizácie, jej ciele azdroje, ale organizácia môže prijať aj iné kritériá. Podľa definovaných kritérií rizika sa budú posudzovať všetky identifikované riziká vprocese hodnotenia rizika.

Kritéria pre ohodnotenie významnosti rizík predstavujú číselné mierky, ktoré sú použité na jednej strane na ohodnotenie odhadu závažnosti konkrétnej hrozby a zraniteľných miest chráneného objektu cez ktoré sa môže hrozba prejaviť a spôsobiť výskyt negatívneho javu (narušenie chráneného objektu) a na strane druhej na ohodnotenie odhadu závažnosti dopadov negatívneho javu, v prípade že jav nastane. V kroku posudzovania rizík sú jednotlivé riziká ohodnotené na základe stanovených mierok. Okrem kritérií pre ohodnotenie významnosti rizík je potrebné stanoviť aj kritéria tolerancie rizík. Tieto kritéria predstavujú číselnú hranicu, voči ktorej sú porovnávané ohodnotené riziká a na základe ktorej je možné rozhodnúť o akceptovateľnosti alebo neakceptovateľnosti rizík. Kritéria tolerancie rizík sa stanovujú na základe kombinácie možnosti výskytu negatívneho javu a veľkosti jeho dopadov. Podľa charakteru chráneného subjektu sa uvažuje citlivosť na jeden parameter rizika, a to buď na dopady alebo možnosť výskytu negatívneho javu (Kampová, 2013).

Kritériá pre hodnotenie rizík môže byť vyjadrené kvalitatívnou formou, alebo kvantitatívnou, číselnou formou. Príklady kritérií sú uvedené vtabuľke 6.

Tabuľka 6. Kritériá pre posudzovanie rizika. Vlastné spracovanie.

Veľkosť dôsledku	Závažnosť ohrozenia
	1			2			3
	Zraniteľnosť  objektu
	1	2	3	1	2	3	1	2	3
1	1	2	3	2	4	6	3	6	9
2	2	4	6	4	8	12	6	12	18
3	3	6	9	6	12	18	9	18	27
4	4	8	12	8	16	24	12	24	36

Na základe tabuľky môžeme stanoviť  kritériá akceptovateľnosti rizika, napr. : riziko väčšie ako 8 je neprípustné, neakceptovateľné; alebo kritériá pre stanovenie veľkosti rizika, napr.  1-8: malé  riziko, 9 – 16: stredné riziko, ...... , atď. Vsúlade stakto stanovenými (prijatými) kritériami budeme hodnotiť napr.   malé riziká sú akceptovateľné, resp. prijateľné, riziká sväčšou hodnotou sú  neakceptovateľné, neprijateľné.

ZÁVER

Ochrana kritickej infraštruktúry je komplexný a zložitý problém. Rozsah ochranných opatrení, systému na zistenie bezpečnosti a funkčnosti kritickej infraštruktúry, bude vždy závislý od posúdenia  významu  príslušného objektu kritickej infraštruktúry avýsledku posúdenia rizík.

Efektívnosť vytvoreného systému na  zaistenie ochrany objektov kritickej infraštruktúry   vpodstatnej miere závisí na kvalite procesu posudzovania bezpečnostných rizík. Ak  sa nepodarí správne identifikovať aohodnotiť bezpečnostné riziká, potom nebude efektívny ani  systém ochrany.  Preto je dôležité, aby bola procesu posudzovania rizík venovaná príslušná pozornosť ana jej vykonaní sa podieľali expertné tímy skúsených  bezpečnostných pracovníkov.

LITERATÚRA

HOFREITER, L. akol. 2013. Ochrana objektov kritickej dopravnej infraštruktúry 1.vyd. Žilinská univerzita vŽiline / EDIS – vydavateľstvo ŽU vŽiline 2013. 238 s., ISBN 978-80-554-0803-3.

KAMPOVÁ, K. 2013. Aplikácia zásad projektovania pri ochrane objektov. In: Trilobit. Odborný vědecký časopis. č.1/2013. Dostupné z: http://trilobit.fai.utb.cz/aplikacia-zasad-projektovania-pri-ochrane-objektov_9909f580-3912-4f19-b1c3-bc4c1da3d7f

LUKÁŠ, L.2011. Určení, rozdělení avlastnosti detektorů narušení. In: Lukáš, L. et al.: Bezpečnostní technologie, systémy amanagement. Zlín, 2011, s. 15. 

MIKOLAJ, J. et al. 2004. Terminológia bezpečnostného manažmentu. Výkladový slovník . Multiprint Košice, 2004, s. 53. ISBN 80-969148-1-2

ŠIMÁK, L. et al.2005. Terminologický slovník krízového riadenia.1.vyd. Žilina, FŠI ŽU,  2005, ISBN 80-88829-75-5.

Zákon 45/2011 Z.z okritickej infraštruktúre.

Táto práca bola podporovaná Agentúrou na podporu výskumu a vývoja na základe Zmluvy č. 0471-10 :“Ochrana kritickej infraštruktúry vsektore doprava“

[1] Referenčné objekty sú objekty, ktorých bezpečnosť je ohrozená apreto vzniká potreba ich ochrany. Vnašom prípade budeme za referenčné objekty považovať objekty kritickej dopravnej infraštruktúry.

[2] Táto definícia je na prvý pohľad akoby nepoužiteľná pre potreby ochrany osôb amajetku. Keď ale vysvetlíme význam jednotlivých prvkov definiens, potom môžeme riziko chápať  ako neistotu, že bezpečnostný zámer (teda bezpečnosť chráneného záujmu) môže byť ale aj nemusí byť zaistený.