BIZTONSÁGTECHNIKA
DR. GYARMATI JÓZSEF mk. alezredes1
KRITIKUS INFRASTRUKTÚRA KOCKÁZATÁNAK MODELLEZÉSI LEHETŐSÉGEI2 MODELING POSSIBILITIES OF RISK OF CRITICAL INFRASTUCTURA A tanulmány célja bemutatni a kritikus infrastruktúra kockázatának matematikai modellezési lehetőségeit. Ennek megfelelően először a kockázat általános valamin kritikus infrastruktúrák esetében értelmezett definíciója kerül ismertetésre, ezt követően pedig bemutatásra kerülnek azon matematikai modellek, amelyek alkalmasak a feladat elvégzésére. Kulcsszava: kockázat, kritikus infrastruktúra, döntéselmélet. This paper aims to present some of the mathematical model which risk of critical infrastructure can be modeled. I describe some definitions of risk in the firs part of this paper, and I introduce some model that can be used to solve the problem, in the second part of this paper. Keywords: risk, critical infrastructure, decision theory
Definíciók A kockázat főnév köznyelvi értelmezése olyan cselekvési alternatívára utal, amelyben a következmény a döntést meghozó személy számára káros kimenetelű is lehet. Példaképpen lehet említeni a közlekedési eszköz kiválasztása során a személygépkocsival való közlekedés rendelkezik a meghibásodás, a forgalmi dugóba kerülés vagy a baleset kockázatával. A köznyelvi értelmezés mellet természetesen léteznek tudományos értékű megfogalmazások is. A következő az egyik legegyszerűbbnek tekinthető megfogalmazás szerint a kockázat: „Valamely cselekvéssel járó veszély, veszteség lehetősége” Juhász (1978). 1 2
NKE HHK Haditechnikai tanszék egyetemi docens A tanulmány a TÁMOP-4.2.1.B-11/2/KMR-2011-0001 számú Kritikus infrastruktúra védelmi kutatások című pályázat „Közlekedési kritikus infrastruktúra védelem” kiemelt kutatási terület támogatásával készült
51
A fenti irodalom a kockázatot valamilyen cselekvéssel kapcsolatban értelmezi. A megfogalmazásban két alappillér azonosítható: 1. káros esemény; 2. a bekövetkezése nem biztos, hanem csak lehetséges. A kockázat általános felfogásában ez a két pillér más megfogalmazásban kockázati faktor valamennyi esetben azonosítható. A második megfogalmazás, alaposabb definíciót ad, de még mindig általános értelemben próbálja a kockázatot azonosítani: „A kockázat valamely cselekvési változat lehetséges, adott összefüggésében, adott időtartamra és adott vizsgálati szintre vonatkozóan negatívan értékelt következménye.” Walz (1997) A megfogalmazás szerint a forrás egyértelműen döntési helyzetben értelmezi a kockázatot és az elsőhöz hasonlóan két kockázati faktor segítségével értelmezi: a káros esemény és annak lehetséges bekövetkezése. A továbbiakban szintén Walz (1997) szerint kerül pontosításra a kockázat fogalma. A magyarázathoz három további fogalmat kell bevezetni, ezek: előny hátrány és esély. A kockázat szóval együtt már négyre bővült fogalmak az 1. táblázatba kerültek elhelyezésre. Következmény pozitív
Következmény Negatív
P(E) = 1
Előny
Hátrány
P(E) < 1
Esély
Kockázat
1. táblázat. A kockázat fogalma3
Az 1. táblázat szerint, amennyiben a cselekvési változat kiválasztásával pozitív vagy negatív hasznosságú, de biztosan bekövetkezőnek tételezhető következményeket előnynek illetve hátránynak nevezzük. Amenynyibe a bekövetkezés nem biztos, hanem csak lehetséges akkor az hasznosság előjelétől függően beszélhetünk esélyről illetve kockázatról. A következmény értékének megbecsülésekor meghatározó értékű a döntést meghozó és evvel a kockázatos helyzetet felvállaló, valamint a 3
Walz (1997:23)
52
BIZTONSÁGTECHNIKA
Valószínűség
kockázat nagyságát értékelő személy. Amennyiben a két nevezett személy azonos, vagyis a kockázatos helyzettel járó káros következmény nagyságát a kockázatot viselő személy értékeli, akkor szubjektív következményről beszélünk. Amennyiben ez a két személy nem azonos akkor objektívről. Hasonló kategóriák képezhetők a valószínűség esetén. Objektív valószínűségről beszélünk abban az esetben, ha a valószínűség értékét a valószínűség számítás axiómáira építve alapvetően statisztikusan vannak képezve. Szubjektív valószínűségről, ha a kockázatos helyzettel járó előnyöket és hátrányokat viselő személy becsüli meg. Ebben az esetben ugyanis a valószínűség meghatározása nem feltétlenül a teljes minta alapján, hanem a kockázatot viselő személy saját, a teljeshez képest szűkebb ismereteire támaszkodva történi. Jó példa az objektív és szubjektív valószínűség és következmény értékelésére a légi közlekedés összevetése a közútival. Közismert, hogy a légi közlekedés kisebb baleseti kockázattal rendelkezik, mint a közúti, ennek ellenére lényegesen több ember fél a légi közlekedéstől mivel nagyobb kockázatot lát benne, még annak ellenére, hogy az ide vonatkozó statisztikák, még ha nem is számszerűen, de ismertek. A döntéshozó ugyanis nem az objektív következményt és egy objektív valószínűséget érzékel, hanem a saját ismereteiből és a saját személyiségéből adódó szubjektív következményt és valószínűséget. A leírtakat vizuálisan mutatja be a 2. táblázat.
Szubjektív ↕
Szubjektív Szubjektív kockázat
Következmény ↔
Objektív
Modellezett kockázat Objektív kockázat
Objektív 2. táblázat. Szubjektív és objektív kockázat
A 2. táblázat szerint az objektív kockázati faktorok alapján objektív kockázatról, míg a szubjektív faktorok alapján szubjektív kockázatról beszélhetünk. Mivel a két véglet között nem lehet éles határvonalat 53
húzni, ezért az evvel foglalkozó szakirodalmak megkülönböztetnek egy modellezett szintet mindkét faktor oldaláról, amely segítségével egy un. modellezett kockázat határozható meg. A vizsgálat jelen tárgya a kritikus infrastruktúra elhelyezése az általános értelmű kockázati modellben ennek megfelelőn ezt a kockázatot objektív kockázatként lehet értelmezni. A kockázatot külső szemlélő értékeli, ami a legjobban úgy igazolható, hogy a kockázatviselő nem egy személy, hanem általában egy jelentős számú tömeg, amely pontosan előre nem azonosítható. így a szubjektum kizárásával mind a két faktor tekintetében csak az objektív mérési lehetőségek maradnak meg. A kritikus infrastruktúra kockázat definiálására számos megfogalmazás létezik, amelyből jelen tanulmány egyet közöl: „Risk is the likelihood of occurrence of an unwanted event that can adversely affect the mission of the organization. It includes four elements: • An asset (facility, structure, etc.) • The likelihood of a threat actor with intent • Vulnerabilities in the protective systems of the asset • Consequences of the threat action” 4 Norman, L. T. (2010:23). A definíció alapján az általános kockázati felfogáshoz képest az alábbi különbségek azonosíthatók: 1. a kockázatviselő nem egy személy, hanem egy szervezet; 2. négy kockázati faktort határoz meg; 3. a kockázatviselő szervezetet külön faktorként azonosítja; 4. a kockázatviselő rendszer sérülékenységét külön faktorként azonosítja; 5. a káros eseményt nem feltétlenül véletlenként, hanem valamilyen károsan ható szándékként azonosítja.
A kockázat modellje A kockázat eseti modellezése az általános értelmű kockázati modell szerint az alábbi összefüggés szerint történik: R = P · C, ahol P a valószínűség C pedig a következményérték. A két kockázati faktort visszaté4
A szerző fordításában: Kockázat egy olyan nem kívánt esemény előfordulásának valószínűsége, ami hátrányosan befolyásolhatja a szervezet küldetését. Négy elemet tartalmaz: 1. Érték (szervezet, létesítmény; 2. Szándékos fenyegetettség nagysága; 3. A védelmi rendszerek sérülékenysége; 4. A támadás következménye.
54
BIZTONSÁGTECHNIKA
rési értékeit egy ordinális skálán elhelyezve a különböző valószínűségi szinteket és következmény értékek párosítva a két skálán felvehető értékek szorzatával megegyező számú kockázati értékek hozhatók létre. A skálákon felvehető értékek száma általában kettő és öt között lehet, amelyekből 4 és 25 kockázati szint képezhető. Példaképpen a 3. táblázatban Dorofee (1996:42) szerint négy valószínűségi és szintén négy következményérték szintet használó alkalmazás kerül bemutatásra. A 4×4-es táblázat segítségével összesen 16 kockázati szint képezhető, amely a táblázat szerint négy kockázati csoportba van sorolva. Probability (Valószínűség) Impact (Hatás) Catastrophic (Katasztrofális) Critical (Kritikus) Marginal (Lényegtelen) Negligible (Elhanygolható)
Frequent (Gyakori)
Probable Improbable (Lehetséges) (Valószínűtlen)
Impossible (Lehetetlen)
High
High
Moderate
None
High
Moderate
Moderate
None
Moderate
Moderate
Low
None
Moderate
Low
Low
None
3. táblázat. Kockázati szintek
Kritikus infrastruktúra esetébe viszont az előző pont alapján nem elegendő két kockázati faktor figyelembevétele. Az itt alkalmazott egyik a modell szerint a kockázat nagysága a P = T · C · V összefüggés segítségével számítható, ahol a T a fenyegetettség, a C a következményérték, a V pedig a sérülékenység. Az előző modellel összevetve elsőként megállapítható, hogy a számításban megjelenik a kockázatnak kitett elem tulajdonsága, vagyis a sérülékenység. Egyes modellek ezt a jellemzőt a biztonsági rendszer hatékonyságával mérik. Megállapítható, hogy a káros esemény bekövetkezését nem véletlenszerűnek tételezi fel, hanem valamilyen szándék által képződőnek. A kár bekövetkezésének valószínűségét a támadó oldaláról vizsgálja. 55
A rendszer kockázatának modellezése Rendszer esetében az előző pont modelljei közvetlenül nem alkalmazhatók, ebben az esetben ugyanis figyelembe kell venni az alábbi jellemzőket: 1. a rendszer számos elemből épül fel; 2. az elemek egymásra gyakorlott hatásai különbözőek, így egy esetleges kiesésük eltérő hatással lehet más elemek működésére valamint a rendszer egészének a működésére; 3. a rendszer működése nem mindig modellezhető statikusan, a rendszernek üzemeltetői vannak, akik az üzemelés folyamatába beavatkozhatnak; 4. a rendszer üzemeletetője korlátozott erőforrásokkal rendelkezik; 5. a rendszert többnyire autonóm biztonsági rendszer védi, amelyet viszont szintén korlátozott erőforrásokra támaszkodva építenek ki; 6. a támadó erőforrásai szintén korlátozottak beleértve a rendelkezésére álló információt is. A felsorolás természetesen csak a legmeghatározóbb és a jelen vizsgálatot érintő legfontosabb rendszerjellemzők lettel felsorolva, olyan céllal, hogy a kérdéses rendszer tekintetében kiválaszthatók legyenek azon jellemzők, amelyek olyan mértékben meghatározók a rendszerleírás során, hogy a modellezésben is alkalmazásra kerülnek. A hat pontban felsorolt rendszerjellemző alapján négy matematikai modell alkalmazása kerül bemutatásra a kritikus infrastruktúra kockázatának számításakor, ezek: 1. valószínűségelmélet; 2. döntéselmélet; 3. játékelmélet; 4. lineáris algebra. Valószínűségelméleti modell A modell segítségével alapvetően a rendszer elemeinek egymásra gyakorolt hatásai vizsgálhatók, ezáltal kiválaszthatók a kritikus pontok és meghatározhatók a beépítésre javasolt redundanciák. Az 1. ábra egy sorba kapcsolt elemekből álló rendszert mutat be. A sorba kapcsolás jelen esetben azt jelenti, hogy bármely elem kiesése a rendszer kiesését vonja maga után. 56
BIZTONSÁGTECHNIKA
R1
R2
R3
1. ábra
A rendszer kiesését, feltéve, hogy a támadó a rendszer egy éspedig a leggyengébb elemét fogja támadni a leggyengébb láncszem elve alapján számítható. Az i-edik elem kiesésének a valószínűsége pi a rendszer kiesésének (pH) és túlélésének (pT) a valószínűsége rendre:
p H = min{pi }
pT = 1 − min{pi } = 1 − p H
A bemutatott modell feltételei önkényesen lettek kiválasztva, más megközelítéssel feltételezhető, hogy a támadó, megfelelő erőforrással rendelkezik, és valamennyi rendszerelemet támadhatja, ebben az esetben a kiesés valószínűsége az egyes elemek kiesési valószínűségének szorzata. Sorosan különböző funkciókkal rendelkező elemeket lehet kötni, ennek megfelelően az egyes elemek paraméterei ezen belül az ide vonatkozó valószínűségek is különbözőek. Párhuzamos kapcsolás esetén a rendszer kiesése valamennyi elem kiesése esetén következik be (2. ábra). R3
R2 R1 2. ábra
Döntéselméleti modell Párhuzamosan azonos funkcióval rendelkező elemek kapcsolhatók, hiszen csak így tudja egy elem betölteni a kiesett és vele párhuzamosan kapcsolt elem szerepét. Párhuzamos kapcsolást un. redundáns elemek beiktatását, alapvetően a rendszer kritikus pontjainál alkalmaznak. Ennek megfelelően az előző modell jelöléseit használva a kiesés valószínűségét a következőképpen lehet meghatározni: 57
pH =
n
∏
pT = 1 −
pi
n
∏
pi
A modellben eltérő valószínűségértékek vannak szerepeltetve, mert az elemeknek azonos funkciókat kell betölteni, de a redundáns elemek működési paraméterei a költségtakarékosság miatt eltérhetnek. (például személygépkocsi pótkerék minősége). i=1
i =1
p H = p nk min {p i } pi
i≠ k Vegyes kapcsolásról beszélünk akkor, ha rendszer sorban és párhuzamosan kapcsolt rendszerekből épül fel (3. ábra).
Rk
R1
Rk
R2
Rk 3. ábra
Játékelméleti modell Legyen egy támadó (egy fő vagy csoport) és legyen vele szemben egy védő (fő vagy csoport). Legyen továbbá három védett objektum A, B C. A támadó erőforrásai csak egy támadást tesznek lehetővé, vagyis az A, B, C objektumok közül csak egyet fog (egyet tud) támadni. A védő mindhárom objektumát valamilyen minimális alap védelemmel képes ellátni. Az erőforrásai csak egy objektum kiemelt védelmét teszik lehetővé. A modell a mindkét fél korlátozott erőforrásait és annak a támadás-védelemre kifejtett hatását képes vizsgálni. Jól összehangolható a gyakorlattal, hiszen nem minden fontos célpont vagy kritikus infrastruktúra kerül megtámadásra. A védelem oldaláról is jól látszik, hogy az egyes rendszerek esetében a védelmi szintek jelentős mértékben eltérőek. Nem lehet mindenhova biztonsági őröket állítani. Egyes szerzők ezt a jellegzetességet odáig viszik, miszerint a kritikus infrastruktúrák védelmével nem lehet érdemben foglalkozni a magas számuk miatt. A gondolatmenet annyiban helytálló, hogy a védő lényegében a rendszer üzemeltetője és a fő célja nem a támadás kivédése, hanem a bevételének a maximálása illetve a kiadásainak minimálása. A védelemre fordított 58
BIZTONSÁGTECHNIKA
Támadó
összegeket lényegében minimálni szeretné, viszont a lehetséges sikeres támadás komoly károkat képes okozni, amit a rendszer üzemeltetője el akar kerülni, tehát a célja a védelemre fordított költségek tekintetében valamilyen optimum keresése a lehetséges veszteségek és az elhárításuk érdekében eszközölt ráfordítások között. A támadó tekintetében a cél viszonylag egyszerűen megfogalmazható: minél nagyobb kár okozása. A támadó feladata kiválasztani azt az objektumot, amely támadásával a legnagyobb kárt képes okozni. A védő feladata kiválasztani és kiemelt védelemmel ellátni azt az objektumot, amely védelmével a legnagyobb veszteséget képes elkerülni. A támadó nyeresége tehát a védő veszteségével egyezik meg. A modell ennek alapján leírható egy kétszemélyes un. zéróösszegű játékként, amely kifizetési táblázatát a 4. táblázat mutatja. Védő A B C A 1 5 5 B
4
2
4
C
3
3
2
4. táblázat. Kifizetési táblázat5
A táblázatban a támadó által okozott kár nagysága látható, ami megegyezik a védő által elszenvedett kár nagyságától. Mindkét játékos szabadon választhat az A, B, C objektumok között. Megfigyelhető hogy a táblázat fő diagonálisa tartalmazza legkisebb összegeket. Ezek a helyzetek ugyanis azt modellezik, amikor a támadó által kiválasztott objektum és a védő által kiemelt védelemmel ellátott objektum megegyezik. Ebben az esetben a modell csak minimális kár okozását tételezi fel. Egyéb esetekben, például ha a támadó az A célpontot választja de a védő a B objektumot védi ebben az esetben az A objektumon védelem hiányában jelentős költségű kár keletkezik. Az objektumok kiemelt védelme jelen esetben függetlennek van feltételezve, amiből adódik, hogy minden sor két eleme megegyezik. Ugyanis ha a támadó például a B objektumot támadja, de a védő nem a B-t látja el védelemmel, akkor már teljesen 5
Szerző saját szerkesztésű táblázata
59
mindegy, hogy az A-t vagy a C-t védi. A keletkezett kár nagysága ugyanaz lesz, vagyis 4. Jelen cikknek nem célja a különböző stratégiák elemzése, csak a modellek bemutatása. Azért itt mégis megjegyezhető, hogy a kifizetési mátrix speciális felépítése miatt nincs és nem is lehet un. nyeregpont. A legjobb stratégia jelen esetben, ha minkét játékos közvetlenül a cselekvés megkezdése előtt véletlenszerűen választja ki a célpontját. Hiller, F. Lieberman (1994:298). Döntéselméleti modell A döntéselméleti megközelítés a játékelméleti modellhez képest egyszerűsíti a modellt. Míg az előző lényegében két döntéshozót vesz figyelembe és feltételezi, hogy minkét fél racionálisan választ a cselekvési változatok közül, addig a döntési modellek egy döntéshozót vesznek figyelembe. A jelen modell szerinti döntéshozó a cselekvési változatok közötti választás során tőle független un. események bekövetkezésével találkozik, mely események befolyásolják a cselekvési változatokhoz tartozó következményértéket. Ezt az 5. táblázatban bemutatott példán keresztül lehet szemléltetni.
A rendszer üzemltetetőjének cselekvési változatai
Nagy erejű támadás Magas védelmi szint kiépítése Közepes védelmi szint kiépítése Alacsony védelmi szint kiépítése Nem épít ki védelmet
ESEMÉNYEK Közepes Kis erejű erejű támadás támadás
Nincs támadás
60
52
48
40
70
54
46
30
80
56
44
20
90
58
42
0
5. táblázat. A védet rendszer üzemeltetőjének döntési mátrixa6
6
A szerző saját szerkesztésű táblázata
60
BIZTONSÁGTECHNIKA
Az 5. táblázat szerint az üzemeltető által kiválasztott cselekvési változat és a bekövetkező események együttes hatására keletkeznek az un. következményértékek, ami jelen esetben a rendszer üzemeltetőjének az összes vesztesége, a védelmi rendszer kiépítésének költsége és a bekövetkező kár összege. (A táblázatban szereplő adatok a szerző saját fiktív adatai, ami csak a modell bemutatása és megértése céljából van szerepeltetve.) Az 5. táblázatban bemutatott elv segítségével vizsgálható, hogy milyen költségű megelőző intézkedést célszerű foganatosítani. Az üzemeltető (szándékosan kerül használatra ez a szó a védő helyett, hiszen itt szerepel a rendszer üzemeltetésének bizonyos költésösszetevője) célja nem a támadás kivédése, hanem az üzemeltetetés költéseinek, közöttük a kiadások-károk optimálása. A döntési modell megoldása a rendelkezésre álló információ figyelembevételével, illetve az üzemeltetető által választott stratégia szerint történik. Információ lehet például a bekövetkező eseményekhez rendelhető valószínűség-eloszlás. A stratégia pedig a döntéshozótól illetve a döntés környezetétől függő optimista, pesszimista regretkerülő stratégiák lehetnek. Lineáris algebrai modell Legyen n-féle támadási mód, vT є Nn vektor tartalmazza az egyes támadási módokkal keletkező kár nagyságát, k є Nn vektor a tartalmazza a támadó erőforráskorlátait, és A є Nm×n mátrix pedig az egyes támadási módok kivitelezéséhez szükséges erőforrások mennyiségét, ahol aij a jedik támadási mód i-edik erőforrásigényét mutatja. Ezekhez kell keresni azt az x є Nm vektort, ami az egyes támadási módok mennyiségét mutatja. A támadó célja, hogy a rendelkezésre álló erőforrásokkal a maximális kárt okozza, ez a következő lineáris programozási feladat segítségével fogalmazható meg:nmax vTx, Ax ≤ k A feladat természetesen másképpen is megfogalmazható. Például nem n-féle támadási mód, hanem n célpont létezik, melyek támadásához eltérő mennyiségű erőforrás szükséges és xj є {0, 1}.
61
Következtetések A leírt modellek alapján megállapítható, hogy: • egy rendszer kockázatának a modellezésére nincs általánosan használható modell; • minden modell eseti; • a modellezés alapvetően matematikai; • a matematikán belül számos terület felhasználható a kérdéses probléma megoldására.
Felhasznált irodalom 1. Juhász, J. S. (1978). Magyar Értelmező Szótár. Budapest: Akadémia Kiadó 2. Walz, G. K. (1997). A kockázatkezelés alapkérdései a munkavédelemben. Budapest: NOVORG ISBN 963 485 302 1 3. Norman, L. T. (2010). Risk Analysis and Security Countermeassure Selection. London, New York: CRC Press, ISBN 978-1-4200-7870-1. 4. Dorofee, A. J. (1996). Continous Risk Management Guidebook. Carnegeie Mellon University FGCN R19628-95-C-0003. 5. Hiller, F. Lieberman, G., Bevezetés az operációkutatásba, LSI oktatóközpont Budapest 1994, ISBN 963 577 1347
62
