SAFETY i SECURITY – dlaczego wciąż mylimy te pojęcia?

W literaturze przedmiotu istnieje kilkadziesiąt operacyjnych definicji bezpieczeństwa. Z punktu widzenia operatora infrastruktury ważniejsze od znajomości tych definicji jest rozróżnianie pojęć:  „safety” oraz „security”. Pomimo pozornej synonimiczności, terminy te dotyczą odmiennych, choć powiązanych obszarów ochrony. Prawidłowe rozróżnienie tych pojęć jest kluczowe, zwłaszcza w kontekście zabezpieczenia infrastruktury krytycznej.

Safety: ochrona przed zagrożeniami przypadkowymi

„Safety” odnosi się do stanu wolnego od nieakceptowalnego ryzyka szkodliwych zdarzeń wynikających z błędów, awarii lub innych niezamierzonych przyczyn. Zapewnienie safety polega na zapobieganiu wypadkom oraz minimalizowaniu skutków awarii poprzez odpowiednie projektowanie systemów, wdrażanie standardów oraz stosowanie procedur bezpieczeństwa. Przykłady obejmują systemy przeciwpożarowe w budynkach, normy bezpieczeństwa w motoryzacji oraz protokoły ochrony zdrowia w przemyśle farmaceutycznym.

Międzynarodowa Organizacja Normalizacyjna (ISO) definiuje safety jako „wolność od nieakceptowalnego ryzyka szkodliwego wpływu” (ISO/IEC Guide 51:2014). Standardy ISO wskazują na konieczność kompleksowego zarządzania ryzykiem w projektowaniu infrastruktury i systemów technologicznych.

Security: ochrona przed zagrożeniami zamierzonymi

„Security” odnosi się do ochrony przed działaniami celowymi o charakterze wrogim, takimi jak ataki, sabotaż czy kradzież danych. W przeciwieństwie do safety, zagrożenia w obszarze security wynikają z świadomych działań ludzi lub organizacji.

Zgodnie z normą ISO/IEC 27001, security to „ochrona informacji przed nieautoryzowanym dostępem, użyciem, ujawnieniem, zakłóceniem, modyfikacją lub zniszczeniem”. Organizacja ISO wskazuje na potrzebę budowania systemów zarządzania bezpieczeństwem informacji (ISMS), obejmujących polityki, procedury oraz środki techniczne chroniące przed zagrożeniami celowymi.

Znaczenie rozróżnienia safety i security w ochronie infrastruktury krytycznej

Brak wyraźnego rozróżnienia pomiędzy safety a security może prowadzić do poważnych błędów w projektowaniu, wdrażaniu i eksploatacji systemów infrastruktury krytycznej. Systemy zarządzania ruchem kolejowym, sieci energetyczne, instalacje wodno-kanalizacyjne oraz systemy teleinformatyczne muszą zapewniać zarówno wysoką niezawodność i odporność na awarie (safety), jak i skuteczne zabezpieczenia przed atakami celowymi (security).

Organizacje takie jak CENELEC w swoich wytycznych, m.in. w dokumencie CENELEC Guide 32, podkreślają konieczność kompleksowego podejścia do projektowania urządzeń i systemów, uwzględniającego oba aspekty ochrony.

Przykłady zastosowania

W odniesieniu do telefonów komórkowych „safety” dotyczy zabezpieczeń przed przegrzaniem urządzenia i eksplozją baterii, podczas gdy „security” obejmuje ochronę danych osobowych przed kradzieżą lub nieuprawnionym ujawnieniem.

Analogicznie, w kontekście infrastruktury krytycznej „safety” odnosi się do zapewnienia bezpiecznego działania instalacji przemysłowych, natomiast „security” obejmuje ochronę systemów sterowania przed cyberatakami.

Podsumowanie

Safety i security stanowią dwa nierozerwalnie powiązane filary skutecznej ochrony infrastruktury krytycznej. Safety koncentruje się na ochronie przed przypadkowymi zagrożeniami wynikającymi z awarii lub błędów, podczas gdy security przeciwdziała zagrożeniom wynikającym z celowych działań o charakterze wrogim.

Normy międzynarodowe ISO oraz wytyczne organizacji branżowych odgrywają zasadniczą rolę w definiowaniu wymagań dotyczących bezpieczeństwa i zabezpieczeń. Zrozumienie oraz prawidłowe stosowanie rozróżnienia między safety a security jest nieodzownym warunkiem skutecznej ochrony ludzi, danych oraz krytycznej infrastruktury.