Μελέτη Τρωτότητας: Η αρχή των πάντων
Κίνδυνος, είναι οποιαδήποτε απροσδόκητη ή αναμενόμενη κατάσταση απειλής εναντίον προσώπων, δομών, υποδομών ή λειτουργικών διαδικασιών (δηλ. συνόλων) και του οποίου η αντιμετώπιση και ο έλεγχος είναι πέραν της άμεσης δυνατότητας της καθημερινής λειτουργικής και διοικητικής δομής.
Το ποιος ή τι, πόσο και πώς πρόκειται να επηρεασθούν από το απροσδόκητο ή το αναμενόμενο, είναι η τρωτότητα.
Η έννοια λοιπόν της τρωτότητας μπορεί να ερμηνευτεί και ως ο δείκτης ποιοτικού και ποσοτικού προσδιορισμού των ασθενών σημείων ενός δεδομένου απλού συνόλου (μονάδα παραγωγής ενέργειας, δίκτυο Υ/Π κ.λπ.) ή σύνθετου συστήματος (υποδομή παροχής νερού μιας ολόκληρης περιοχής), σε σχέση με τη δυνατότητά του να λειτουργήσει αποτελεσματικά, όταν αντιμετωπίζει οιασδήποτε μορφής κίνδυνο.
Ένα σύστημα -στόχος είναι τρωτό (vulnerable), εφόσον στερείται ή έχει σημαντικά μειωμένη ικανότητα / δυνατότητα σχεδιασμού μέτρων πρόληψης, ανταπόκρισης ή ανάκαμψης, κατά τη φάση υλοποίησης ή εξέλιξης του κινδύνου.
Παρατηρούμε λοιπόν, ότι ο κίνδυνος ελλοχεύει όταν ένα σύνολο (μικρής ή μεγάλης αξίας) είναι επιρρεπές σε κάποια μορφή απώλειας, η οποία προκαλείται από απειλή,
η οποία με τη σειρά της εκμεταλλεύεται κάποια εμφανή, παρόντα, τρωτά σημεία του, προκαλώντας επιπτώσεις σε αυτό, αλλά και στο άμεσο & έμμεσο περιβάλλον ασφάλειάς του. Κατ’ επέκταση λοιπόν, ως ασφαλές περιβάλλον ορίζονται εκείνα τα φυσικά και ψυχολογικά μέτρα, τα οποία συμβάλλουν στη μείωση της δραστηριότητας της απειλής, ασχέτως επιπέδου, χρόνου και τόπου.
Η εκτίμηση τρωτότητας (Vulnerability assessment) έχει πολλά κοινά σημεία με τη διαδικασία εκτίμησης κινδύνου (Risk assessment), όμως η μεταξύ τους σχέση δεν περιέχει εναλλαγές: μειωμένη τρωτότητα, σημαίνει πάντοτε και μειωμένο εξωτερικό κίνδυνο. Όμως, μειωμένος εξωτερικός κίνδυνος δεν σημαίνει απαραίτητα και μειωμένη τρωτότητα.
Οι εκτιμήσεις είναι τυπικά αποδεκτές, όταν διεξάγονται ακολουθώντας τα παρακάτω στάδια:
- Σύνταξη καταλόγου στοιχείων και δυνατοτήτων (πηγών) του συστήματος.
- Προσδιορισμός ποσοτικών αξιών και σπουδαιότητα ως προς τις δυνατότητες του συστήματος.
- Προσδιορισμός των τρωτών σημείων ή πιθανής απειλής για κάθε πηγή του συστήματος.
- Ελαχιστοποίηση ή μηδενισμός – κατά το δυνατόν – των πλέον σοβαρών αδυναμιών/ τρωτότητας, για τις πλέον χρήσιμες και αποδοτικές πηγές του συστήματος.
Η κλασική ανάλυση κινδύνου εστιάζεται πρωταρχικά στην έρευνα των κινδύνων, που περιβάλλουν το σύστημα κατά το σχεδιασμό και τη λειτουργία του, δηλαδή στα αίτια και τις άμεσες επιπτώσεις του κινδύνου στο υπό μελέτη σύστημα. Από την άλλη πλευρά, η ανάλυση της τρωτότητας εστιάζεται αφενός μεν στις επιπτώσεις σε αυτό καθ’ εαυτό το σύστημα και αφετέρου στις πρωτεύουσες και δευτερεύουσες επιπτώσεις στο άμεσο και έμμεσο περιβάλλον του, προσδιορίζοντας ταυτόχρονα τις δυνατότητες μείωσης των επιπτώσεων και βελτιώνοντας το μηχανισμό χειρισμού αποφυγής τους στο μέλλον.
Ο πλησιέστερος «συγγενής» της τρωτότητας και σημαντικός κρίκος στην αλυσίδα αντίδρασης, είναι η προσαρμοστικότητα (Resiliency), η οποία παρέχει στο σύστημα την ευχέρεια αντίδρασης, προτού η ανάγκη για αντίδραση καταστεί απελπιστικά φανερή και – κατ’ επέκταση – ζημιογόνα και ασύμφορη. Όλα αυτά απεικονίζονται στο σχήμα 1.
Σχήμα 1: Σχηματική απεικόνιση τρωτότητας.
Στάδια, διαδικασίες & φάσεις μεθοδολογίας εκτίμησης της τρωτότητας
1. Οφέλη εφαρμογής
Κάθε σύνθετο ή απλό σύνολο, σε τακτά χρονικά διαστήματα απαιτείται να διενεργεί εκτιμήσεις τρωτότητας, προκειμένου, σε πραγματικό χρόνο να είναι καλύτερα κατανοητός ο κίνδυνος ή η απειλή, με ταυτόχρονο προσδιορισμό των αποδεκτών επιπέδων τους και παράλληλη διέγερση ενεργειών προς μείωση της εντοπισθείσας τρωτότητας. Τα οφέλη της διενέργειας εκτίμησης της τρωτότητας, επιπρόσθετα περιλαμβάνουν:
- Οικοδόμηση & διεύρυνση των προϋποθέσεων για να γίνουν αντιληπτές. Η όλη διαδικασία οδηγεί τη διοίκηση να εστιάσει την προσοχή της και στην ασφάλεια. Αναδεικνύει θέματα ασφάλειας, κινδύνων, τρωτότητας, εναλλακτικής μείωσης και αποδεκτών πρακτικών. Η δυνατότητα να γίνουν αντιληπτές, είναι μία μέθοδος η οποία δεν έχει κόστος και ταυτόχρονα είναι άκρως αποτελεσματική για τη βελτίωση της συνολικής ασφάλειας.
- Εγκαθίδρυση & αξιολόγηση μέτρων άμυνας. Εάν υπάρχει δομή ασφαλείας, η εκτίμηση της τρωτότητας αποτελεί ευκαιρία για "check up" των μέτρων ασφαλείας ή ανάδειξη των αδυναμιών της συνολικής δομής ασφάλειας. Εάν λοιπόν υφίσταται η εν λόγω συνθήκη, η εκτίμηση, ως μέτρο σύγκρισης δίνει την ευκαιρία ολοκληρωμένης αντιστοίχισης προηγούμενων μέτρων – και τώρα απαιτητών – βελτιώνοντας και την υποδομή ασφάλειας. Οι σχέσεις μεταξύ κινδύνου, διαχείρισης κινδύνου και τρωτότητας, απεικονίζονται στο σχήμα 2.
- Καθορισμός αδυναμιών και ανάπτυξη αντίδρασης. Δημιουργώντας λίστες αδυναμιών και πιθανές αντιδράσεις, έχουμε τον πυρήνα και τα συμπεράσματα της εκτίμησης. Κάποιες φορές, ανάλογα με τον προϋπολογισμό, το χρόνο, την πολυπλοκότητα και τον υπόψη κίνδυνο, η αντίδραση η οποία θα επιλεγεί για τις περισσότερες μορφές τρωτότητας, προβάλλει ως ανενεργή. Όμως, μετά την ολοκλήρωση της διαδικασίας εκτίμησης, αυτές οι αποφάσεις, έχοντας πλέον τεκμηριωμένη μορφή, οδηγούν ή ενθαρρύνουν την ανάπτυξη διαδικασιών διαχείρισης κινδύνων.
- Ταξινόμηση ζωνών προτεραιότητας και καθοδήγηση της διαχείρισης κινδύνου. Η εκτίμηση αποτελεί το όχημα για την ιεραρχική ταξινόμηση των ζωνών προτεραιότητας. Αυτή η βαθμονόμηση, σε συνδυασμό με την απειλή (υποτιθέμενη ή πραγματική) και την ανάλυσή της, αποτελεί την καρδιά κάθε διαχειριστικής διαδικασίας, παρέχοντας τη δυνατότητα συνεχούς αναθεώρησης της βαθμονόμησης, από την πλευρά της συνεκτικότητας και ευρύτητας.
- Οικοδόμηση εμπειρίας και ικανοτήτων της εσωτερικής δομής. Η εκτίμηση ασφάλειας όταν δεν εφαρμόζεται αποκλειστικά και μόνο ως εργαλείο ελέγχου και κυρώσεων, αποτελεί εξαιρετική ευκαιρία εμπειρίας και ικανοτήτων της εσωτερικής δομής ασφάλειας. Η καλά δομημένη εκτίμηση περιέχει συνεκτικά στοιχεία, τα οποία ενώνουν τα διαφορετικά επίπεδα και ομάδες αντίδρασης, οδηγώντας έτσι το σύνολο στην επιμονή για αλληλοσυνεργασία. Ένα ενδεικτικό έντυπο, ενταγμένο στη διαδικασία προσδιορισμού της τρωτότητας σε σχέση με τη φυσική προστασία, φαίνεται στον πίνακα 1. Επίσης, το σχήμα 3 παρέχει μια συνολική θεώρηση των φάσεων της ακολουθούμενης μεθοδολογίας, η οποία διαιρείται σε τρία βασικά σχέδια: φάση προεκτίμησης, φάση κύριας εκτίμησης, τελική φάση εκτίμησης. Κάθε φάση περιλαμβάνει στοιχεία ή ενέργειες, οι οποίες εξασφαλίζουν την περιεκτικότητα & αντικειμενικότητα των αποτελεσμάτων της εκτίμησης.
- Προαγωγή δράσης. Παρότι, πιθανόν, ανόμοιες προσπάθειες ασφάλειας να βρίσκονται σε εξέλιξη, η εκτίμηση μπορεί να εστιάσει τη διοίκηση στην επίλυση – ειδικά και συστηματικά – των προβλημάτων ασφάλειας, αν και τις περισσότερες φορές είναι γνώστης των θεμάτων ασφάλειας (και ίσως πιθανών λύσεων), αλλά είναι ανίκανη αυτήν τη γνώση να τη μετατρέψει σε δράση. Η εκτίμηση λοιπόν, δίνει διέξοδο στις ανησυχίες της και παρέχει τη δυνατότητα να καταστήσουμε επίκαιρα τα θέματα και να αναληφθεί δράση από αντίστοιχες βαθμίδες της διοίκησης. Μια καλοσχεδιασμένη και καλώς εκτελούμενη διαδικασία εκτίμησης, όχι μόνον προσδιορίζει εισηγήσεις, αλλά και πόρους-κλειδιά, προκειμένου οι συγκεκριμένες εισηγήσεις να μετουσιωθούν σε δράσεις.
- Απογείωση των προσπαθειών ασφάλειας, που είναι σε εξέλιξη. Η εκτίμηση χαρακτηρίζεται ως το μέσον που δρα καταλυτικά, αναμιγνύοντας ανθρώπινο δυναμικό από διαφορετικά επίπεδα καθηκόντων, όλων των βαθμίδων ενός συνόλου, καθιστώντας τους αιχμή του δόρατος, καθιερώνοντας μόνιμα φόρα και ομάδες, οδηγώντας έτσι την εξελικτική πορεία της ασφάλειας στη δημιουργία πραγματικού ή εικονικού οργανισμού ασφάλειας.
Σχήμα 2: Σχέσεις μεταξύ κινδύνου, διαχείρισης, κινδύνου & τρωτότητας.
Σχήμα 3: Μεθοδολογία διενέργειας εκτίμησης.
Οι τέσσερις βασικοί στρατηγικοί τρόποι διενέργειας εκτίμησης, είναι οι ακόλουθοι:
- Οίκοθεν. Το υφιστάμενο διοικητικό ή τεχνικό προσωπικό, χρησιμοποιείται για την εκπόνηση της εκτίμησης. Τις περισσότερες φορές έχουν ιδίαν αντίληψη του περιβάλλοντος, της εργασιακής δομής και των ακολουθούμενων πρακτικών.
- Δια συντονισμού. Οίκοθεν προσωπικό, με εμπειρία, καθοδηγούμενοι και συντονιζόμενοι από τρίτον. Αυτός ο τρόπος ΄΄χρεώνει΄΄ το συντονιστή, με τη συνολική οργανωτική ευθύνη και μεθοδολογία.
- Εξωτερικός σύμβουλος. Ομάδα εξωτερικών συμβούλων διενεργεί την εκτίμηση, έχει ήδη υπογραφεί συμφωνητικό εμπιστευτικότητας και έχει τη συνολική ευθύνη έναντι της ανώτατης διοίκησης.
- Δια συνδυασμού τρόπων. Οίκοθεν προσωπικό εκπονεί συγκεκριμένα στάδια ήσσονος σημασίας και οι εξωτερικοί σύμβουλοι τα λοιπά, μείζονος σημασίας.
Είναι σύνηθες φαινόμενο, οι οργανισμοί (σύνολα) να μην έχουν το κατάλληλο προσωπικό είτε προς διάθεση είτε με τις απαιτούμενες γνώσεις. H διαχείριση ασφάλειας λοιπόν, στο γενικό πλαίσιο και η στρατηγική ενός συνόλου, περιέχουν πλεονεκτήματα & μειονεκτήματα. Επιπρόσθετα, όσο εκτίθεται το σύνολο σε πιο σύνθετα και αβέβαια περιβάλλοντα (π. χ. λόγω αύξησης της χρήσης τεχνολογιών) τόσο δυσκολότερο καθίσταται να κρατηθούν ισορροπίες μεταξύ διαχείρισης ασφάλειας και αναγκαίων προς επίτευξη στόχων. Η ορθή εξισορρόπηση μεταξύ της προστασίας της δομής και των στόχων του συνόλου, με τη διαχείριση της ασφάλειάς του, συνιστά πρόκληση – και ταυτόχρονα, σημαντικό παράγοντα ανάσχεσης της αποτελεσματικότητας του τομέα διαχείρισης ασφάλειας.
Η διεθνής πρακτική έχει αποδείξει ότι σύνολα τα οποία διέπονται από ισχυρή κουλτούρα ασφάλειας, βασισμένη στην ενημέρωση, εκπαίδευση, διαδικασίες και standards, αποδεικνύονται λιγότερο τρωτά καθόσον το προσωπικό τους καθίσταται περισσότερο παρατηρητικό και συνειδητοποιημένο, έχοντας ως σύμμαχο την ψυχολογική παράμετρο του παράγοντα γνώση
Οι σύγχρονες κοινωνίες επενδύοντας στην ασφάλεια, έχουν θεσμοθετήσει μεταξύ άλλων και την υποχρέωση εκπόνησης μελέτης τρωτότητας για το σύνολο σχεδόν των δραστηριοτήτων του δημόσιου και ιδιωτικού τομέα, εφαρμόζοντας στην πράξη την διαχρονική ρύση γηράσκω αεί διδασκόμενος. Εμείς;
ΚΡΙΤΗΡΙΑ |
ΝΑΙ |
ΟΧΙ |
ΣΧΟΛΙΑ |
1. Υφίσταται καταγεγραμμένο το πρόγραμμα |
|
|
|
2. Οι κατάλληλοι πόροι (προσωπικό & |
|
|
|
3. Έχει εκπονηθεί σχέδιο προστασίας ; |
|
|
|
4. Έντυπες οδηγίες και έντυπα, έχουν |
|
|
|
5. Το προσωπικό ασφαλείας είναι κατάλληλα |
|
|
|
6. Στη διαδικασία σχεδιασμού του |
|
|
|
7. Στοιχεία του συνόλου όπου απαιτείται |
|
|
|
8. Έχει προσδιορισθεί το αποδεκτό επίπεδο |
|
|
|
9. Στρατηγικές προστασίας έχουν |
|
|
|
10. Συστήματα ελέγχου (Intrusion detection |
|
|
|