EBESZ műszaki útmutató a kritikus infrastruktúrák fizikai védelmére
Az Európai Biztonsági és Együttműködési Szervezet (EBESZ) új fizikai biztonsági útmutatót adott ki, hogy segítse a kormányokat, tulajdonosokat és üzemeltetőket a kritikus infrastruktúrák védelmének megerősítésében. Bár a technikai útmutató a fizikai biztonsági fenyegetésekre összpontosít, arra ösztönzi a politikai döntéshozókat, a kritikus infrastruktúrák tulajdonosait/üzemeltetőit és más érdekelt feleket, hogy erősítsék meg az együttműködést a kiberbiztonsági partnereikkel, mivel ha silószerűen működik a két terület, akkor nem rendelkeznek átfogó képpel a vállalkozásukat célzó biztonsági fenyegetésekről.
Az EBESZ hangsúlyozza, hogy a fizikai biztonságot integrálni kell a személyi, eljárási és kiberbiztonsági intézkedésekkel, hogy minden létesítmény számára koherens és fenntartható biztonsági keretrendszer jöjjön létre. A technikai útmutató felvázolja a legfontosabb gyakorlatokat, elveket és szempontokat a kritikus infrastruktúra létesítmények fizikai biztonságának javítására, különös tekintettel a potenciális terrorista támadások megelőzésére.
A kritikus infrastruktúrák működését elősegítő számos eszköz és szolgáltatás – az ipari vezérlőrendszerektől a kommunikációs, fűtési, szellőzési és légkondicionáló (HVAC) rendszerekig, valamint egyéb technológiákig – hálózatba van kötve vagy internethez csatlakozik, és így sebezhető a kibertámadásokkal szemben. Ennek eredményeként a kritikus infrastruktúra létesítmények helyi működését akár több ezer kilométerre lévő kiberszereplők is kompromittálhatják.
Az EBESZ technikai útmutatója elismeri, hogy a kritikus infrastruktúra létesítmények fizikai és kiberbiztonsága szorosan összefonódik, mivel a kritikus infrastruktúra létesítmények fizikai biztonsága kompromittálható kibertámadással, a létesítmények kiberbiztonságát pedig fizikai (terrorista) támadás is befolyásolhatja. A jelentésben ezt cyber-physical konvergenciának nevezik. A technikai útmutatóban megállapította az EBESZ, hogy a fizikai biztonság és a kiberbiztonság közötti kölcsönhatás politikai szinten is elismert például a NIS 2 formájában.
Az útmutató kiemeli, hogy az adatokhoz való fizikai hozzáférés kérdése különösen fontos, ha az adatok elemzését vagy tárolását magánvállalkozásokra vagy más harmadik felekre bízzák a szervezetek, ezért a harmadik felek vonatkozásában is érvényesíteni kell a fizikai biztonságra és a kiberbiztonságra vonatkozó minimum követelményeket. Ezek a piaci szereplők adatokat továbbíthatnak, tárolhatnak, biztonsági másolatot készíthetnek vagy cache-elhetnek olyan hálózatokon, amelyek külföldi joghatóságokba tartozó csomópontokat is tartalmazhatnak, ezért az államoknak törekedniük kell a magas kockázatú adatok feletti adatszuverenitás fenntartására. Ha ez nem lehetséges, az államoknak biztosítaniuk kell, hogy a többi érintett joghatóság is kikényszerítse a szigorú adatbiztonsági szabályokat.
Az EBESZ technikai útmutatója emellett megállapította, hogy a képzés fontos szerepet játszik a kritikus infrastruktúra létesítmények fizikai biztonságának javításában, különösen a terrorista támadások által jelentett fenyegetés tekintetében. A kritikus infrastruktúrákat fenyegető veszélyek összetettsége és hatása változó. A kifinomult technológiai fenyegetések, például a kibertámadások vagy az pilóta nélküli légijárművek használata új kockázati dimenziót hozott létre.
