(Vass András)

2026.

Bevezető

A következőkben időszakosan megjelenő  írásaimban célom, - és az érdeklődőnek akár személyesen, vagy közös munkák során is - közelebb hozni a biztonsági szemléletet, tevékenységet, munkát; ösztönözve minél szélesebb kört, hogy ne csupán a szükséges „kötelezően teljesítendő” szemlélettel tekintsen a védelmi, biztonsági munkára, sokkal inkább ésszerű, együttműködő és kooperatív szemlélettel láthassa és lássa azt, hogy;

A Veszélyek, Kockázatok azonosítása és azok hétköznapi, vagy speciálisabb kezelése; a jól szervezett, cselekvő és korrekt biztonsági munka során bemutatható.

Így reményeim szerint könnyebben értelmezhetők azok az intézkedések, amelyek a személyünk, otthonunk, vagy éppen a vállalatok, intézmények, mindennapi működését segítők. Tágabb értelmezésben társadalmunk, Hazánk, nemzetünk javát szolgálják, melyek elfogadása és az együttműködés bennünk, alapvetően közös érdek.

Ebből fakadóan nem egyfajta adminisztratív, vagy egyéb megfelelési kényszerből kell történnie, hanem akár az intézmény/vállalat saját érdeke és prosperitása, és ennek részeként akár tágabb környezetének biztonsága miatt is. Mindezeket lehetőség szerint közös és jó irányú cselekvésekkel, a stratégiai és a hétköznapibb kihívásokhoz egyaránt igazodva. 

Számos intézmény/vállalat, és szolgáltatásaik egész sora közvetve, de akár közvetlen, meghatározó módon is hatással vannak mindennapjainkra.

Működésük és működésük biztonsága, mind emberi, mind tárgyi erőforrások oldaláról kritikus és létfontosságú is lehet; pl., egészségügyi rendszerek, életmentő, vagy mentés-irányítási képességek, vagy épp’ közműszolgáltatók (áram, víz, közlekedés, telekommunikáció) működése, de ide sorolhatók a pénzügyi, banki, biztosítói rendszerek és kapcsolódó szolgáltatásaik több része is.)

Nyilvánvaló, hogy az ezek védelme során végzett munka tudatos, célirányos kell, hogy legyen.

A kihívások kezelésével a jelent célozza, de egyben merít a múltból, hogy korszerűbb és hatékonyabb módon, módszerekkel és eszközrendszerekkel legyen képes folyamatosan felmérni és megbecsülni a veszélyek és kockázatok jellegét és mértékét.

Talán az egyik legfontosabb célja, hogy felkészítsen a jövőbeli veszélyek és kockázatok kezelésére, csökkentésére is – még mielőtt azok bekövetkeznének.

Világunkban a kihívások nem állnak meg országunk határainál, sok esetben nemzetközi, vagy globális szintű veszélyek és kockázatok is hatással vannak ránk. Befolyásolhatják hazánk működőképességét, versenyképességét éppúgy, mint társadalmi-emberi viszonyaiban hétköznapi éltünket.

Ezzel a feladatok és a biztonsági kihívásokra adott válaszok árnyaltabbak és sokkal komplexebbek is.

A KOCKÁZATFELMÉRÉS mint a megelőző védelmi tervezés és intézkedés szükséges része

VESZÉLY-KOCKÁZAT-HATÁS

Célszerű elhatárolni a köznyelvben és közértelmezésben - és sok esetben a gyakorlatban is - gyakran szinonimaként használt, a valóságban azonban egymástól elkülönülő ugyanakkor ÖSSZEFÜGGŐ fogalmakat.

Biztonsági szemlélettel és a cselekvés irányaival, mértékével is számolva:

A VESZÉLY (forrás);

-  Az, ami potenciálisan kárt okozhat; (mondjuk egy természeti/elemi kár, vagy emberi mulasztás, szabotázs, kárt okozó, vagy azt célzó (bűn)cselekmény elkövetése, de akár hazai, vagy nemzetközi esemény, ill. krízishelyzet is,  stb.)

A KOCKÁZAT;

-  pedig az, hogy MEKKORA ESÉLLYEL és MILYEN (várható, vagy becsülhető) HATÁSSAL következhet be az ESEMÉNY.

ÖSSZEFÜGGÉSEIKBEN:

A VESZÉLY (ami a forrás), a KOCKÁZAT pedig == a bekövetkezés Valószínűsége (X) Hatás képlettel írható le, meghatározva például a védett intézményt/vállalatot/vagy a lakosságot érintően okozott hatásával.

 Pár gyakorlati(bb) PÉLDA:

1.) A veszély például az, hogy egy fő ivóvíz-ellátó vezeték eltörik.

A kockázat pedig az, hogy mekkora az esélye ennek (például régi csöveknél nagyobb), és milyen hatással van mindez a mindennapjainkra. Mondjuk egy-vagy két napig nincs víz, a terület lakossága ellátás nélkül marad.

Ha a valószínűség közepes (mert nem, vagy régen volt karbantartás, vagy csere), a hatás pedig nagy (mert pl. egy-vagy több lakótömböt, vagy akár kórházi ivóvíz ellátását érinti), akkor a kockázat jelentős. 

2.) A veszély például az, ha egy áramszolgáltató egy várost, vagy városrészt, netán kulcsfontosságú intézményt (pl. kórházat), vagy vállalatot ellátó infrastruktúrája meghibásodik technikai üzemzavar, tűz, de akár a nyári időszakban előforduló túlterheltség miatt - és ezért mind az alapvető lakossági, vagy éppen a kórházi betegellátáshoz szükséges erőforrások kiesnek.

Ha a valószínűsége közepes vagy éppen közepesen-magas a hatás pedig nagy, mert például egyszerre több embert, a területen működő vállalatot vagy intézményt is érinthet, akkor a kockázat jelentős - hiszen akár a napi életvitelt, a vállalat működését (beleértve akár a technikai védelmi rendszerek működését) vagy éppen az egészségügyi ellátás folyamatosságát is veszélyeztetheti. 

3.) A 2.) pontban foglalt példához hasonlóan lehet veszély - például, ha az országos üzemanyag ellátás folyamatossága és biztonsága sérül. 

Amennyiben akár technológiai (pl. üzemanyag előállításban érintett üzemek részleges kiesése, vagy zavara - akár természeti csapás, vagy emberi károkozás miatt fennáll; - vagy éppen a szükséges alapanyag, vagy üzemanyag-mennyiség üzleti/beszerzési zavarai, vagy részleges ellehetetlenülése okán sérül a napi, vagy akár hosszabb távú fogyasztói igények kielégítése: az hatással van a hétköznapi életünkre több szinten is. 

A bekövetkezés esélye - alacsony, de reális lehet. Hatása összetett, hiszen itt már akár az egész ellátási láncokat is érint akár a felhasználói (vevői) oldalról és az arra épülő tevékenységek miatt is  - így több módon és szinten is hatással van az életünkre, továbbá időszakosan a gazdaság működésére is, 

3.) A veszély például az, hogy a kritikus banki rendszer  működésében időszakosan zavarok tapasztalhatók. (pl. bankfiók számára az ügyfélfogadás során nem, vagy csak korlátozottan elérhető.) 

A kockázat az, hogy milyen valószínűséggel következhet be, és mekkora hatása van (például az ügyfelek nem tudnak tranzakciókat kezdeményezni, vagy nem kapnak hiteldöntést, ami bevételkieséshez vezet (Bank kára), vagy az Ügyfelek nem tudnak utalni (lehet üzleti kár is belőle)  vagy nem jutnak hitelhez (Ügyfelek kára), vagy elmennek a konkurens Bankhoz és ott szerződnek (Bank üzleti kára és reputációs kára).

Ha a valószínűség közepes, a hatás pedig súlyos, akkor a kockázat magas.

4.) A veszély például az, hogy a Bank elszámolóháza, ahol a tranzakciók végső rendezése történik, kárt szenved (például tűz, szabotázs, technikai zavar, vagy belső emberi mulasztás, visszaélés miatt).

A kockázat az, hogy mekkora az esélye egy ilyen eseménynek (például ritka, de lehetséges), és mekkora a hatás (teljes fizetési rendszer megbénulása, ami a teljes magyar gazdaságra hat).

Ha az esély alacsony, de a hatás óriási, a kockázat még így is kritikus.

5.) A veszély például az, hogy a Biztosító szerződéskezelő, vagy tarifáló rendszere időszakosan kiesik. Az ügyfelek nem tudnak módosítani a szerződéseiken, vagy nem tudnak kárt bejelenteni, vagy igényüket érvényesíteni, de új szerződést sem tudnak kötni. (utóbbi az Ügyfél mellett a Biztosító üzleti kára is.) 

A kockázat az, hogy mekkora az esélye egy ilyen eseménynek, és mekkora és milyen a hatással van ez a Biztosító, illetve Ügyfelei életére ? 

Például:

• ha a szolgáltatás folytonossága megszakad, így az Ügyfelek egyéb alternatív módon - keresik fel a vállalatot: a telefonos bejelentő vonalak és akár az Ügyfélszolgálatot személyesen felkereső Ügyfelek száma is jelentősen megnövekedik -  túlterheltté válhatnak -   ezért nem, vagy csak korlátozottan tudják fogadni az Ügyfél-igényeket.

• A reputációs hatás mellett - az ügyfelek és  a Biztosító is akár pénzügyi kárt is szenvedhetnek. (Utólag pedig a Biztosítónak pótlólag sokkal nagyobb mennyiségű ügyet kell majd a helyreállt rendszereibe is aktualizálnia, feltölteni és ezek kezelni.) 

6.) A veszély például az, hogy a Biztosítónál egy nem megfelelően üzemeltetett, vagy nem kellően védett rendszer zavarai, vagy emberi visszaélés miatt az ügyfelek személyes, vagy egészségügyi adatai kiszivárognak.

Ez a kockázat valós, hiszen emberi figyelmetlenség, szándékosság, de akár a rendszerek nem megfelelő használata, vagy azzal való visszaélése (pl. jogosultságok megosztása) is állhat az eset mögött.

A hatás hatalmas: az ügyfelek elvesztik a bizalmukat, adott esetben az ügyféladatbázis is sérülhet, vagy a konkurenciához kerülhet (ezzel pénzügyi veszteség is lehetséges), amely mellett komoly GDPR büntetések várhatók, és az imázs helyreállítása is hosszú évekig eltarthat.

7.) A veszély például az, ha egy vállalat/intézmény munkavállalója (vagy távozó munkavállaló) kimenti a belső levelezésből, vagy rendszerekből a vállalat stratégiai terveit, egyéb működését érintő belső dokumentumait, akár bizalmas pénzügyi adatait, mellyel akár visszaélést is elkövethet- Sőt (!) akár tőle is ellophatják azokat ! így azok végképp komprommitálódnak.

A bekövetkezés valószínűsége reális, - a meglévő biztonsági kontrollok működőképessége tükrében is akár közepes lehet.

A hatás pedig azonnali: pl. kikerülnek a bizalmas adatok, így a vállalatnak, pénzügyi, és reputációs kára keletkezik, amellett, hogy a céget érintően bizalmi válság is kialakul - de akár a versenytársak előnybe kerülhetnek, a cég versenyképessége csorbul, és jogi eljárások is indulhatnak.

8.) A veszély például az, ha egy személy az okmány, vagy közhiteles nyilvántartás vezető, kezelő hatósági adatbázist jogosulatlan hozzáféréssel, vagy hatáskörét meghaladóan lekérdezi és kiadja mások személyes adatait, vagy éppen manipulálja a közhiteles nyilvántartást.

Ez a bekövetkezés ritka, de valós, hisz egy belső támadó, vagy feltört informatikai rendszer, vagy a rendszerhez hozzáférő, visszaélés-szerű beavatkozás bekövetkezhet.

A hatása pedig nagy: Személyazonosság-lopás, csalások, okmánnyal történő visszaélések, és persze óriási adatvédelmi botrány. (Ilyenek esetekben már magának az események a detektálása is alapvetően kihívás, hiszen folyamatos biztonsági kontrollok és azok rendszeres értékelését igényli, mely jelentős erőforrásokat köt le.)

9.) A veszély lehet az is, ha a Mentőszolgálat mentésirányító központ rendszere időszakosan nem elérhető, vagy leáll, például egy áramszünet, túlterhelt rendszerek, vagy kibertámadás miatt, ezért a mentés-irányítás és az életmentés lelassul. Nem jut időben ki a mentő, és ezzel életek kerülhetnek veszélybe.

A valószínűsége kicsi, de a hatás tragikus. Ezért az ilyen rendszerek állandó felügyelete és védelme, illetve redundanciája (emberi erőforrások oldaláról is) életbevágó.

10.) A veszély lehet az is, ha katasztrófakezelésnél a kommunikációs infrastruktúrát érő túlterheltsége miatt ami sokszor rendkívül leterhelt és forgalmas, – időszakosan elérhetetlen, vagy leáll, így a mentés- és a tűz oltása késedelmes. 

A valószínűség lehet alacsony-közepes, mert technikai hiba bármikor jöhet, vagy túlterheltség is felléphet. A hatás viszont jelentős.  Ezért az ilyen rendszerek állandó felügyelete és védelme, illetve redundanciája (a technikai erőforrásokon túl, az emberi erőforrások oldaláról is) életbevágó.

11.) A veszély lehet az is, hogy tömeges krízishelyzetben (akár természeti csapás, akár több helyszínt érintő szándékos károkozás miatt ) a lakosság védelmében, mentésében, vagy menekítésében részt vevők közötti kommunikáció akadozik, például azért, mert a telekommunikációs szolgáltatókat is érintette az esemény - ezért a szolgáltatásuk nem elérhető. 

Mivel az esemény kezeléséhez, vagy éppen az evakuálás koordinációjához (mentéshez, irányításhoz, de akár a geolokációhoz is) szükséges a folyamatos és biztonságos kommunikációs csatorna működése - ennek hiányában nem, vagy csak időben késedelmesebben tudnak koordinálni, az emberek a veszélyzónában rekedhetnek. 

Ugyan a valószínűség ritka, alacsony, de ha bekövetkezik jelentős hatással jár.

11.2.) A veszély lehet az is, hogy tömeges krízishelyzetben (akár több helyszínt érintő természeti csapás, vagy szándékos károkozás miatt ) a védelemben, élet-mentésben, vagy menekítésben részt vevő személyek és erőforrásaik - mivel több helyszínen kell egyidejűleg helytállniuk, a feladataik ellátásban korlátozottá válnak.

Ugyan a valószínűség ritka, alacsony, de ha bekövetkezik, jelentős hatással jár;  mert  késedelmesebben tudják  a veszélyzónában rekedteket evakuálni, vagy a tömeges sérüléseknél járó eseményeknél az ellátásukat biztosítani. 

--------------------------------

---------------------------------

A biztonság valós és fenntartható működőképességet jelent

A biztonság és védelem a valóságban bizonyítható működőképességet kell, hogy jelentsen, mely képes fejlődni, lépést tartani a veszélyekkel és kockázatokkal.

Ugyanakkor az igazán korszerű védelmi, biztonsági munka a megelőzéssel, vagy megelőző típusú megoldásaival  - képes már a kár, vagy biztonsági esemény bekövetkezését is részben, vagy egészen előre jelezni és megakadályozni.

Veszélyes, ha egy Intézmény/Vállalat a napi működése során, még nem mérte fel vagy nem látja a működése során az Intézmény/Vállalat működését és vezetőket/munkavállalókat is érintő veszélyeket, lehetséges kockázatokat. - melyek nem csak és kizárólag vagyonvédelmi típusúak lehetnek. 

Emiatt  nem rendelkezik - a biztonságos működést megteremtő, fenntartó, és fejlesztő felelős szervezeti egységgel, vagy  - súlyosabb esetekben, éppen annak kialakítását, vagy a meglévő működését gátolják. 

Ezért nincsenek kialakított kontrollok - sem cselekvési tervek - vagy azok kezelése több helyen, szinten és aktualizáltsággal, vagy tartalommal érhető el csupán.

(Ez egyben illetékességi, hatásköri anomáliákat is okozhat, melyek nem segítik a biztonsági célokat - így a védett intézmény/vállalat biztonságát sem.)

Részben emiatt, a működésében megjelenő, vagy - tevékenysége okán eleve meglévő-  biztonsági események, vagy akár konkrét veszteségek vonatkozásában, 

- legyenek azok akár "egyszerű" vagyonvédelmi kérdések, akár összetettebb a működését befolyásoló kockázatok - még nem rendelkezik a kellő mértékű és mélységű  - összegzett ismeretekkel sem, azok elkerüléséhez, vagy csökkentéséhez tervezett fejlesztési opciókkal sem. 

Ezáltal  - elsősorban az információk és koordinált cselekvés hiánya miatt - úgy szenved veszteségeket, hogy esélye sincs elkerülni azokat - noha negatív hatással vannak a működésére.

Ráadásul, külön kitettséget jelent számára: hogy a vele szemben ellenérdekeltek, szervezett biztonság hiányát érzékelve, ezirányú sebezhetőségét  kihasználhatják. 

A biztonsági feladatokat ellátók hiányában - nem kevés esetben a különböző hatóságok, intézmények irányából - vagy egyéb normatív (törvényi, jogszabályi kötelezettségek okán megkívánt - időszakos megfelelés miatt  - a biztonság kérdésköre még elsősorban adminisztratív-megfelelés oldalról jelenik meg azonban ez csak részben lehet hatékony.

A biztonságos működés megteremtése valóságos és komplex munka; melynek elsődleges célja, hogy nem azért szükséges a fenntartása, mert "kötelező", hanem, hogy ténylegesen tudja azokat a kihívásokat csökkenteni, kezelni, de leginkább megelőzni, amelyek a védett intézménynek/vállalatnak a napi és törvényes működése során kárt okozhatnak. 

A különböző adminisztratív jellegű dokumentumok, eljárások vagy éppen jogszabályok által támasztottak - egyfajta keretet teremthetnek, de önmagukban nem tudják kezelni a kihívásokat. 

A veszély reális, a már bekövetkezett,  akár a fennálló és veszteséget okozó negatív események hatása valós (közepes-magas) viszont pontos mértéke nem ismert, mivel biztonsági szervezeti egység és személyek hiányában - még annak a becslése is nehéz, kezelésük pedig nem megoldott. 

----------------------------------------------

A biztonságos működés és célok

A biztonság és biztonsági célok elérése, proaktív működést célul kitűzők abból a szempontból – hogy nem „utánkövető”, vagy „nyomozó/detektív” típusúak,  azaz a cél elsősorban nem az esemény – utólagos – kezelése, vagy feltárása; - hanem megelőző típusú kezelése, feltárása, melynél a cél, hogy minél nagyobb hatékonysággal legyen képes a negatív, vagy a kedvezőtlen eredménnyel járó esemény bekövetkezését elkerülni, korlátozni, megakadályozni. 

Ezen célok tükrében:

A veszélyeket és kockázatokat feltáró és csökkentő (biztonsági)feladataik mellett, az azokat elkerülő vagy pl. védelmi tervezéssel- és humán felkészítéssel, további eszközökkel - a kockázatok bekövetkezését és hatását csökkentő eredményt képesek biztosítani.

Legyenek azok; pl. technológiai szintű „válaszok” mint például jelzőrendszerek (riasztók, tűzjelzők, tűzoltó készülékek, automatizált rendszerek) vagy épp’ a humán erőforrást felkészítők és krízis-események során a biztonsági munkatársak által személyesen nyújtott szolgáltatások, vagy közvetett (szervezési) vagy közvetlen helyszínen tett intézkedések. 

A személyes és kézzelfogható intézkedések mellett, korunkban markánsan van jelen a virtualizált védelem és annak fenntartásának, fejlesztésének igénye is. (az ok egyértelmű: a saját mindennapjaink, vagy az azok során általunk használt, számunkra szolgáltatások sorát nyújtó intézmények/vállalatok működőképessége hatással van az életünkre.

Napjainkra már jócskán kialakult egyfajta technológiai függőségünk is, legyen az akár az alapvető áram, víz, gáz, üzemanyag-ellátók, közösségi-közlekedést szervező-és irányító (pl. forgalomirányító rendszerek) a telekommunikációs szektor (telefon, internet), - de ide tartozhatnak akár a napi szinten használt államigazgatási (adminisztratív) rendszerek és alrendszereik működőképessége (pl. okmányirodák, hivatalok, nyilvántartások) a banki-pénzügyi rendszerek és szolgáltatások rendkívül széles köre (ATM, bankkártyás, vagy számlás tranzakciók, hitelezési rendszerek) üzlet- és üzembiztonsága.

Nagyobb kitekintésben a speciálisabb közrend-közbiztonság fenntartását biztosító, vagy abban részt vevők, vagy a honvédelmi, védelmi rendszerek.

És természetesen az életmentő szolgáltatások (mentők, katasztrófa- és tűzvédelem) és arra épülő feladatok ellátásának minden képessége (amelyek nélkül, vagy azok teljes, vagy részleges kiesésükkor az emberek széles rétege válhat a mindennapjaiban kiszolgáltatottá.

Ezek tekintetében megbízhatóságuk, folyamatos működőképességük szükséges és szükségszerű, mondhatni: „létfontosságú”.

Amelyhez nem csak a fizikai, vagy virtuális eszközöknek kell rendelkezésre állniuk; (hisz’ önmaguktól azok nem képesek sem pl. „kicserélni magukat, sem üzemelni, fenntartani) hanem szükséges az emberi képesség és készség, benne a stratégiai tervezéssel és operatív képességekkel ahhoz – hogy megvalósítható legyen akár a hétköznapi élet fenntartása, akár az állami szintű biztonság garantálása.

Ahhoz, hogy az egymásra is épülő és egymást is segítő, a legtöbb esetben pedig összefüggő szolgáltatások és infrastruktúrájuk védelme és biztonsága koordinált legyen; szükségesek azok az alapok, szabályok, eljárásrendek és cselekvőképesség; amelyek nem csak „sziget-szerűen” (tehát egy-egy szolgáltatásra fókuszálva) hanem összefüggéseiben és működési összefüggéseiben is segítik a biztonságos és folyamatos működést.

Súlyos esetben képesek a koordinált és hatékony beavatkozásra, legyen az akár technológiai szintű, akár emberi közvetlen beavatkozást igénylő.

Az ehhez szükséges adminisztratív eszközök (szabályzatok, eljárásrendek, egyéb külső- belső normák) tehát alapvetők a jó koordinációhoz. DE (!) nem önmagukért, vagy az annak történő megfelelés/nem megfelelés miatt, hanem azért, mert ezek KERETET adnak a későbbi cselekvéseknek. (egyes esetekben hozzájárulnak akár belső szabályzattal – pl. biztonsági szabályzat) vagy épp a törvény(ek) erejével a (jog)biztonsághoz is.

Mivel megismerhető, sőt elsajátítandó ismereteket tartalmaznak a helyes eljárásra (pl. biztonság-tudatos cselekvések) és a biztonságot sértő esetekben pedig az eljárás kereteire, és várható következményekre egyaránt.

Az, hogy bizonyos kötelező, vagy választható előírásoknak, elvárásoknak miért kell „megfelelni” annak egyik oka, hogy akkor és azokra tud védelmi, vagy biztonsági tervezése során alapozni a többi érintett is. A cél az azonos – és megbízható védelmi – színvonal, és a megvalósulás teljes (rendszerszintű) és egyedi (intézmény/vállalt, vagy szolgáltatás szintű) állapotának figyelemmel kísérése.

Utóbbi oka egyszerű; ahol nincs még meg, vagy sértik az „egyenszilárdság” elvére alapuló biztonságos működést, az sebezhetővé teszi a rendszerszintű biztonságot is – tehát nagyobb fókuszt és aktívabb beavatkozást igényelhet.

 A korszerű és a biztonsági scopekat figyelembe vevő életciklus-modell tartalmazza a megelőzés-és felkészülés irányait, céljait és a tervezett, illetve annak alkalmazott szakmai eljárásait.

A munka során tett megállapítások, vagy soron kívüli incidensek miatti intézkedések pedig a kötelező, vagy ajánlott „jogi”, normatív szabályokkal is képesek összhangban állni. Tehát törvényesek.

Utóbbiaknál külön választható a tervezett és a törvényi/jogszabályi követelmények mentén kötelező biztonsági szintek eléréshez szükséges védelmi munka, és az adhoc, vagy soron kívüli incidensek során tett esemény-kezelés, vagy biztonsági feladatok, majd a tanulságok levonása utáni újratervezés.

Különösen igaz, hogy több jogszabály, akár adatvédelmi, akár információbiztonsági oldalról (de akár az átfogóbb védelmi munka kapcsán is) kötelezettségként jelenik meg.

Lehet az a kötelező adatszolgáltatási kötelezettség, akár több felügyeletet ellátó hatóság irányába, amelyek elmaradása vagy sérülése a tágabb biztonsági érdekeket (akár szektor szintjén) is veszélyezteti, de önmagában is akadályozhatja biztonsági munka fejlesztését, illetve további negatív működésbeli következményeket okozhat az intézménynek/vállalatnak.

 Ebben az értelemben a törvényi/jogszabályi és az általános biztonsági gyakorlatok alapján lehet a biztonsági munka transzparens, korrekt – nem csak az adminisztratív-megfelel(tet)ést célzó – bár sok esetben úgy tűnik, de nem, vagy nem kizárólagosan jogi, vagy compliance feladat.

Hiszen ezek valóságos, biztonsági szakfeladatok; melyek akár szabályozásokkal együtt, de aktívan, a követelményeknek és a védetti kör valóságos biztonságának egyaránt megfelelők kell, hogy legyenek.

A Szabályozási feladatok a kötelező illetékesség- és hatáskör kijelölését, illetve annak a már meglévő jogi, vagy egy intézmény/vállalat belső szabályozói közötti összhang megteremtését célozzák.

(Tehát belső Szabályzókkal, dokumentumokkal, alapvetően nem lehetséges a működés biztonságát célzó törvények, egyéb normatív szabályok „felülírása”, sem „átértelmezése”, illetve annak látszata illúzió.)

A biztonsági- és védelmi munka sok(kal) komplexebb képességek, ideálisabb esetekben sok jó és hatékony készségek összessége.

Amikor az infrastruktúráról beszélünk, sokan először nagy erőművekre, banki rendszerekre, adatközpontokra, közművekre, közlekedési hálózatokra vagy állami rendszerekre gondolnak.

Azonban a kép összetettebb.

Érdemes lehet abból a szempontból is megközelíteni: melyek azok a kitettségek, technológiai, vagy emberek által létrehozott, kezelt, illetve fenntartott folyamatok és infrastruktúra; amelyek pl.: sérülése, kiesése, vagy elérhetetlenné válása megnehezíti, vagy ellehetetleníti a napi életünk egy, vagy több elemét.

A bekövetkezésük módja széles körű – hiszen lehet akár az eszközök avultsága miatti meghibásodás, vagy erőforrások (pl. áram) elérhetetlenné válása, lehet emberi hiba; vétlen és szándékos mulasztás, lehet támadó, ellenséges szándékú károkozás is.

Ráadásul ezek a veszélyek a technológia sajátosságaiból fakadóan nem csupán lokálisak - azaz helyben elérhetők és kezelhetők - (pl. épületet, vezetékrendszereket, vagy helyi IT-erőforrásokat érintők) hanem a virtualizáció kapcsán országhatárokat, de akár kontinenseket is átívelők. És ehhez igazodva az ezek működtető, fenntartó emberi erőforrások is globálisak lehetnek. 

Mindeközben egy kialakult krízis-esemény során az időtényezőnek jelentős szerep jut akár a sérült infrastruktúra, rendszer, vagy rendszerelem, és a kapcsolódó emberi erőforrások helyreállítása, vagy pótlása kapcsán is.

Számos, az ezek működését biztosító szolgáltatást ráadásul nem csak helyben oldanak meg, hanem számos ún. beszállítói partnereken keresztül.

Legyen az egy egyszerű élelemiszer-bevásárlás és természetesen az élelmiszer minőségének számunka megbízható garanciája –  és az alapanyagok, vagy termékek szállítása, ahhoz, hogy azt a boltban meg lehessen vásárolni; de folytatható a sor „nagyobb” spektrumba tekintve:

Folytatva a sort a közúti, vagy közösségi közlekedés-szervezésétől, vagy azok megbízható rendjének működésétől a további – az áram, gáz, víz, telefon, internet, stb. ún.: „közmű-szolgáltatók” által számunkra „hétköznapi” természetességgel használt szolgáltatásainak elérhetőségén át – a banki, pénzügyi, egészségügyi szolgáltatások (ilyenek akár a kórházi, orvosi eszközök, vagy szolgáltatások, receptek elérhetősége) állami nyilvántartások, közhiteles nyilvántartások tartalmi és technikai elérhetőségeivel, stb.

 - de még egy „egyszerűnek” tűnő online foglaló-rendszer működésnek zavarai (akár pl. a közlekedés, vagy egészségügyi ellátás, vagy épp’ az államigazgatási, okmányirodai igények során) is bosszúságot, vagy akár kézzelfogható kárt is tudnak okozni.

A veszély- és kockázat-elemzés, így a – megelőzés – kockázatcsökkentés – korrektív intézkedések és az azok megállapításaira (is) építő biztonság fejlesztések  kialakítása, fenntartása és működőképességének biztosítása folyamatos, kell, hogy legyen.

Olyan, amely nem a "kötelező" mert "előírják" azaz szabályozás alapot tekinti kezdőpontnak, hanem érti, hogy saját erőforrásai és azok biztonsága elsősorban saját üzleti, vagy intézményi érdeke -nagyobb volumenben állami érdek is egyben.

Tehát a működésének ez is az egyik irányelve, célja; az pedig, hogy "megfelelteti" - mert az előírásokban, célkitűzéseiben szerepel, az a plusz, amely a biztonság irányába való elkötelezettségéből fakad - azt támasztja alá. 

 - Mindez szükséges és szükségszerű a korszerű, stabil, fenntartható és irányítható működéshez.

Kiemelt jelentőségű, hogy a biztonságot ellátó, szolgáltató és fenntartó személy/szervezet működése különösen a krízis-események (akár fizikai veszélyek, akár virtuális kihívások) során folyamatosan, megszakítás nélkül elérhetők legyenek.  Ezért különösen kiemelt ezek üzleti, vagy üzemmenet-folytonosságának valóságos megteremtése, illetve a veszélyhelyzetek kezelése.

Sablonosítani, „Mindenre is Jó” „konzerv” megoldásokat jellemzően nem lehet alkalmazni, mert minden intézmény/vállalat, annak működési környezete, emberi erőforrásai, beszállítói partnerei eltérők és eltérő képességekkel, biztonsági szintekkel rendelkeznek.

Nem ritka az sem, hogy külföldről, más országok területéről szolgáltatnak.

Mindezek kapcsán pedig kiemelten is szükséges az egyedi tervezés és akár a saját országhatáron belül történtő elsődleges, de legalábbis a kríziseseményeket kezelni tudó (redundáns) valóságos erőforrások biztosítása, rendelkezésre állásuk fenntartása. (akár épületek, IT erőforrások, közmű-szolgáltatások, de mindenek előtt az EMBERI erőforrások és tudás, és finanszírozás rendelkezésre állása.)

Okai, indokai könnyen beláthatók és értelmezhetők:

Éppen a krízis-események során kell leginkább ezeknek a biztonsági szervezeteknek, személyeknek, intézményi/vállalati védelmi képességeknek minden lehetséges kapacitásaikkal helytállniuk, mind emberi erőforrásaikban, mind technológiai lehetőségeikben;

Mert a védetti kört (emberek, erőforrások) érintő külső-belső incidensek, támadások, de akár az épületeket ért elemi csapások (természeti károk), akár tűzesemény, vagy fizikai károkat okozó szabotázs során az ő irányításukkal és felügyeletükkel kezdődhetnek meg az elsődleges (élet)mentő, vagy kárcsökkentő intézkedések.

Ezek hiányában, a biztonsági- és védelmi funkció nem, vagy nehezen kivitelezhető; hiszen akkor a védetti kör „önszervező” módon és nem az azonos szakértelem szintjén próbálkozik a helyzet kezelésével. (Legyen akár szó a fizikai veszélyek által okozott – pl kiürítésről a klasszikusabb személyvédelem köréből) de akár a védett intézmény/vállalat digitális infrastruktúráit, vagy adatvagyonát célzó, vagy éppen üzemmenetét megzavaró, és ellehetetlenítő események kezeléséről (kiber-védelem, információs és informatikai támadások kezelése).

Ez az esetek döntő többségében nem hatékony, sőt kifejezetten „fejetlenséget” és ezzel további károkat is okoz önmagának és a védett intézménynek/vállalatnak egyaránt. 

A biztonság és fenntartható védelmi működés vö. elhatárolások

A kritikus (vagy „létfontosságú”) infrastruktúra nem csupán IT, vagy virtualizált rendszereket érintő.
Ugyan sok dokumentumban „és a köznyelvben is rendszer, vagy rendszerelem” néven jelenhet meg, de ez esetekben akár magát az intézményt/vállalatot – pontosabban annak működőképességét is jelenti.

Fizikai (pl. épületek, eszközök, erőforrások) és emberi (vezetők, munkatársak, beszállítók) , vagy technológiai (IT-rendszerek, IT-védelmi infrastruktúra, stb.) együttes működését és működőképességét.

Része minden olyan (rendszer) elem (tehát akár intézmények, és vállalatok is) amelyek szolgáltatásaikkal vagy egymásra is épülő szolgáltatásaikkal egyes szektor, vagy szektorok működését az ország, vagy nemzetközi szintű működésükkel akár kontinensen innen- és túl biztosítják.

Ebben az értelemben; tehát nem csak IT-erőforrásaik, hanem a működésüknek otthont adó épületek, és azok infrastruktúrái, beleértve emberi erőforrásaikat, továbbá beszállítói partnereiket (hiszen az ő biztonságos és folyamatos működésüktől is függ a szolgáltatás) és működési környezetük biztonsága és ezek követelményei is meghatározóak.

Elérhetőségük, megbízható működésük és ezek érdekében végzett biztonsági/védelmi munka indokai, irányai és céljai, hogy az általuk fenntartott, kezelt és nyújtott feladatok működése nélkül a társadalom, a gazdaság, az állam vagy az állampolgárok mindennapi biztonsága sérülhet.

(Példaként: a pénzügyi-banki rendszerek biztonsága, melyek nem csupán adott pénzintézetnél jelentik a „bankolás” - tehát a saját rendszereik megbízhatóságát – hanem becsatornázódnak több – akár központi banki, tőzsdei, elszámoló-házi, vagy fizetési-tranzakciót bonyolító közvetítő szolgáltatók - vagy nemzetközi utalásokat is bonyolító további szak és alrendszerek irányába is.

Ezek kijelöltségére, azok biztonságos működésére és fenntartásának kötelezettségeit érintően további kötelező érvényű hazai- és nemzetközi elvárások léteznek; vegyesen magyar törvényi/jogszabályi szinten és iparági standardok szintjein egyaránt.)

Egy hétköznapibb példával: ha egy banki fizetési rendszer, egy egészségügyi nyilvántartás, egy közműszolgáltatás vagy egy nagy ellátási lánc kritikus pontja leáll, annak hatása nem marad bent az adott szervezet falain belül. Ügyfelek, állampolgárok, beszállítók, hatóságok, partnerek és más rendszerek is érintettek lehetnek.

(példaként: a pénzügyi-banki rendszerek biztonsága, melyek nem csupán adott pénzintézetnél jelentik a „bankolás” - tehát a saját rendszereik megbízhatóságát – hanem becsatornázódnak több – akár központi banki, tőzsdei, elszámoló-házi, vagy fizetési-tranzakciót bonyolító közvetítő szolgáltatók - vagy nemzetközi utalásokat is bonyolító további szak és alrendszerek irányába is.)

A modern infrastruktúrák összekapcsoltak és mint a mi emberi, valóságos életünk is egymással is kapcsolatban állnak, ha tetszik: optimális esetben együttműködnek, kommunikálnak, adott esetben pedig egymásra épülő működésükkel segítik az életünket.

Veszélyek és kockázatok azonban itt is felmerülhetnek, azok kezelését érdemes komolyan venni. Hiszen ami az egyik oldalon „csak” informatikai hiba, az a másik oldalon szolgáltatáskiesés, ügyfélpanasz, jogi kockázat, adatvédelmi incidens, pénzügyi veszteség vagy akár közbiztonsági, védelmi, vagy az állami szolgáltatások fenntartató működésének kockázatává is válhat.

Ezért a kritikus infrastruktúra biztonságát nem lehet pusztán informatikai kérdésként kezelni.

ÉS –

Ugyanígy nem elég kizárólag fizikai védelemben, őrzés-védelemben, tűzvédelemben vagy jogi megfelelésben gondolkodni.

A valódi biztonság ott kezdődik, ahol ezek a területek képességei jól kooperálnak és összeérnek:

működésbiztonság, információbiztonság, személy- és fizikai védelem, adatvédelem, üzletmenet-folytonosság, beszállítói kontroll- és kockázatelemzés/kezelés,  és válságkezelés együtt alkotják a biztonság működőképességét.