Zdenko Lanović

PROMIŠLJANJA INŽENJERA PROMETA

Otpornost/rizik ITS sustava

15.07.2025

~ 7 min.

18

PROMET:

MATEMATIKA:

RAČUNARSTVO:

Inženjerska struka ne priča o riziku, ona ga računa.

Početkom lipnja 2025. godine stupio je na snagu novi Zakon o kritičnoj infrastrukturi. Sve vezano za rizike (analiza, procjena, upravljanje) je važan dio Zakona. Mjesec dana kasnije na Zagrebačkom hipodromu održan je koncert pred 504.000 posjetitelja, za kojeg smo danima prije slušali o (pre)velikim rizicima s katastrofičnim prognozama glede svega čega se kritikant(ica) mogao/la u tom trenutku (pri)sjetiti.

Spomenuti Zakon i članku 3. stavku 1. točci 21. definira: „rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta“.

Za potpuno razumijevanje treba nam i definicija incidenta koju dobivamo u točci 4.: incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, …“.

U ovoj temi sam analizirao rizik vožnje zagrebačkim tramvajem. Osim općenitih rizika u (cestovnom) prometu, zbog svoje profesije, znam ponešto i o tehnološkim rizicima; istina, jako, jako (pre)malo. Etiketirati nešto kao „preveliki“, a da prije toga komentirani rizik nije (dobro) promišljen i(li) izračunat, dolazi iz usta ili genijalne, ili vrlo neodgovorne osobe.

Na hrvatskom jeziku imamo izvrsnu knjigu Modeli rizika dr.sc. Dejana Škanate. Knjiga me osvijestila i obeshrabrila glede dubljeg ulaženja u problematiku, ali i potaknula na daljnje jačanje mojih kompetencija, jer smo upravo mi, inženjeri/ke, (pre)važni suradnici (informatori) stručnjacima iz područja upravljanja rizicima. Tko želi nešto besplatno na hrvatskom jeziku, upućujem na CARNet-tov priručnik o Upravljanju sigurnosnim rizicima. Priručnik se odnosi isključivo na informacijske sustave, ali su načela primjenjiva za sve tehnološke tvorevine.

Rizik je vjerojatnosna struktura pa ništa bez brojeva. Ova tema je (samo)motivacijska i (samo)osvješćujuća pa ću se držati osnova i pokazati koliko je proces izračuna/procjene nekog rizika odgovorna zadaća. Ako ništa drugo, jasno ću pokazati gdje je inženjerima/kama mjesto kod procjene i upravljanja rizicima.

Vrlo općenito, rizik ima četiri osnovne komponente

prijetnju; potencijalni događaj ili dionik koji može uzrokovati neželjeni incident,
ranjivost; slabost sustava koja može biti iskorištena od strane prijetnje,
vjerojatnost; da će određeni incident stvarno nastupiti kao rezultat prijetnje i ranjivosti,
posljedicu; šteta ili gubitak koji proizlazi iz incidenta.

Sve je nekako usmjereno prema engleskom jeziku, ali ću pokušati ostati u hrvatskim terminima:

prijetnja (Pr) == threat (T),
ranjivost (Ra) == vulnerability (V),
vjerojatnost (P) == probability (P),
posljedica (C) == consequences / impact (C).

Budući sam inženjer cestovnog prometa zadržat ću se u svom području. Kakvih sve rizika imamo cestovnom prometu? Odgovor je protupitanje: a kakvih nemamo?

Budući se naslov teme oslanja na ITS (Inteligentne Transportne Sustave), moramo se pozabaviti tim rizicima.

Ima li još rizika u ITS-u? Ima i previše, ali morate priznati da ova kategorizacija rizika, na jednoj vrlo općenitoj osnovi, pokriva (gotovo) cijelo područje; od tehnologije (materijalnog) pa sve do dobrog/lošeg čovjeka (duhovnog). Opet naglašavam, ovo je (samo)motivacijska i (samo)osvješćujuća tema i za tu razinu je sasvim dovoljno.

Kako se opisani ITS rizici manifestiraju u praksi. Jedan primjer iz prakse za HW:

prijetnja (Pr); senzor ne detektira vozilo javnog prijevoza,
ranjivost (Ra); sustav nema redundanciju; dodatnu tehnologiju provjere,
vjerojatnost (P); umjerena jer tehnologija s preko 80 % točnosti klasificira vozila,
posljedica (C); neće se aktivirati prioritet na semaforu.

Ako nam 20 % pogrešne klasifikacije (što nije malo) predstavlja problem, onda možemo smanjiti ranjivost sustava redundancijom senzorike, jer s dvije tehnologije točnost klasifikacije vozila dosiže 99 % , što sam pokazao ovdje.

Idemo prvo na klasični model rizika. Ovaj pristup odgovara u analizi početnih faza razvoja nekog projekta (sustava) ili kada treba napraviti komparativnu analizu rizika. U sljedećoj tablici su (konačno) brojevi. Doći do tih brojeva nije baš lako. Nije ni (pre)teško, ali se ne vade „iz rukava“. U ovoj temi pokazao sam koliko je tehnologija (ne)savršena i s tim treba računati, treba ukalkulirati rizik loših podataka ili (preventivno) dodatno investirati. Ova tema puno izravnije dotiče pitanje rizika jer jasno računa i opisuje vjerojatnost pojave kvarova telematičkih (ITS) tehnologija.

Neko (moje) (pre)skromno iskustvo i konzultacije tržišta daju sljedeće brojeve.

Objasnit ću prvi red. Budući svi danas traže i daju jamstvo pet godina na HW uz pretpostavku najviše jednog ili nijednog kvara, onda je vjerojatnost prijetnje $Pr = 0,2000$ . HW je tijelo ITS sustava pa možemo ocijeniti ranjivost na $Ra = 0,6000$ . Tko sumnja u povišenu vjerojatnost ranjivosti može opet provjeriti ovdje gdje sam pokazao da je pouzdanost manjeg semaforiziranog raskrižja bez održavanja ispod 20 %. Ako se pokvari dio HW znamo da sustav radi sa (znatno) smanjenom mogućnosti, odnosno da će učinak na sustav biti velik i zato je posljedica velika $C = 0,7000$ , jer necjelovitost (fragmentiranost) rada uzrokuje znakovite gubitke. Na kraju imamo rizik od 8,4 % zbog incidenta na HW dijelu nekog ITS sustava.

Budući da svaki element gledamo zasebno, a htjeli bi kategorije uspoređivati po veličini rizika, onda trebamo normirati ulazne vrijednosti Pr i Ra. Normiranje je uvijek potrebno kad uspoređujemo (raspodjela resursa i(li) novaca), modeliramo (simuliramo) ili stvaramo neki algoritam strojnog učenja. Naravno, ako su prijetnje (Pr) i ranjivosti (Ra) izražene u apsolutnim vrijednostima ili analiziramo neovisno svaki rizik, onda je normiranje nedopušteno i nepotrebno. Posljedice (C) se ne mogu normirati jer one imaju težinski (kvantitativni) značaj, a ne vjerojatnosni.

Kada formirate tablicu s relevantnim kategorijama i uložite puno truda za ispunjavanje s potvrđenim (argumentiranim) brojevima, onda možemo govoriti je li nešto (pre)mali ili (pre)veliki rizik.

Proaktivna i(li) reaktivna analiza je stvarni život; vjerojatnosti su uvjetne i prvo su proaktivne (gradimo model temeljem iskustava drugih projekata), stalno dobivamo nove informacije i stječemo nova iskustva pa mijenjamo (usklađujemo) vjerojatnosti – djelujemo reaktivno na naš model.
Prijetnja se gleda kroz frekevenciju broja pokušaja izazivanja ili nastanka incidenata u određenom razdoblju. Ako takvih situacija imamo 5 godišnje onda je $\lambda = 5/god$ .
Ranjivost predstavlja vjerojatnost iskorištavanja slabosti sustava. Ako je vjerojatnost 30 % da napadač ili nastanak incidenta iskoristi ranjivost sustava onda je $P(Ra|Pr) = 0,30$ .

Vjerojatnost stvarnog nastanka incidenta je

$P(incident) = P(Pr) \cdot P(Ra|Pr)$ ,

ili ako poznajemo $\lambda$ onda je

$\lambda_{incident} = \lambda \cdot P(Ra|Pr)$ .

Posljedica je šteta ili gubitak zbog nastanka incidenta i u inženjerskoj (prometnoj) praksi se izražava izgubljenim novcima ili vremenom. Ako je zbog nastanka incidenta nastala šteta od 100.000 EUR, onda je $C = 100.000$ .

Rizik (R) se definira, odnosno računa:

$R = \lambda \cdot P(Ra|Pr) \cdot C \\ \] \[ R = P(incident) \cdot C \\$

Jedan teoretski, a opet i mogućan životni, primjer. Sustav informiranja putnika ima oko 20 cyber napada godišnje. Radi se o napadima gdje se pokušava u sustav plasirati nepriličan i(li) dezinformacijski sadržaj ili se preko sustava informiranja putnika pokušava ući u poslovni dio sustava javnog prijevoznika. Ispitivanjima i prethodnim iskustvima se utvrdilo da za takve cyber napade postoji 10 % šanse da napadači uspiju. Posljedice za javnog prijevoznika se procjenjuju na 200.000 EUR; reputacijska šteta i(li) mogući gubitak važnih poslovnih podataka.

1. Uspješnih incidenata godišnje

$\lambda_{incident} = \lambda \cdot P(Ra|Pr) = 20 \cdot 0,10 = 2$

2. Ukupni godišnji rizik

$R = \lambda_{incident} \cdot C = 2 \cdot 200.000 = 400.000 \; \text{EUR}$

Budući da je rizik gubitka 400.000 EUR dovoljan razlog za poduzimanje preventivnih mjera, mogu se, primjerice, provesti dvije mjere: (1) obuka zaposlenika i uključenih dionika te (2) dodatna (višefaktorska) autentifikacija. Recimo da prva mjera prepolovi ranjivost sustava; smanji sa 10 % na 5 %. Primjena druge mjera bitno smanjuje stvarnu štetu jer će samo 40 % napada ostvariti krajnji cilj; efektivna posljedica će iznositi 80.000 EUR ( $= 0,40 \cdot 200.000$ ).

U tom slučaju bi imali jedan uspješan incident godišnje koji bi izazvao pet puta manju štetu. Cijena poduzetih mjera zasigurno ne bi koštala 350.000 EUR pa se svakako isplati ulagati u informatičku, poglavito cyber, sigurnost.

Budući da ništa nije statično pa ni broj prijetnji (jedne godine više, druge manje), niti je ranjivost ustaljena (ponekad su u trenutku napada na radnom mjestu manje/više odgovorni zaposlenici), možemo napraviti simulaciju kako bi spoznali interval mogućih rizika – koliki raspon trošak nam prijeti.

Imali smo 20 napada; recimo da je očekivani raspon od 17 do 23.
Ranjivost je bila procijenjena na 10 %; a stvarni očekivani raspon je od 7 % do 13 %.
Prosječna posljedica napada iznosila je 400.000 EUR, a raspone štete se očekuje između 350.000 i 450.000 EUR.
Odmah ćemo simulirati i primjenu zaštitnih mjera kojima ćemo, uz isti očekivani raspon napada (17 – 23):

ranjivost smanjiti u intervalu 4 % do 6 %,
efektivne posljedice smanjiti na interval 60.000 – 80.000 EUR.

Primjenom Monte Carlo metode za 1.000 simulacija u Excel tabličnom kalkulatoru dobivamo za uvjete bez mjera zaštite:

prosječni trošak: 399.213 EUR
medijan troška: 393.094 EUR
stdev: 85.778 EUR
95-percentil: 541.344 EUR
min: 217.365 EUR
max: 626.801 EUR

a sa mjerama zaštite:

prosječni trošak: 80.093 EUR
medijan troška: 78.745 EUR
stdev: 16.801 EUR
95-percentil: 109.032 EUR
min: 42.413 EUR
max: 133.153 EUR

Simulacija nekome (opravdano) izgleda i komično jer 1.000 simulacija predstavlja 1.000 godina, ali najmanji problem je približiti simulaciju realnosti kroz analizu pet godina po danima pa imamo 1.826 simulacija u realnom vremenu eksploatacije neke tehnologije. Recimo da smo proveli vjerodostojnu simulaciju (vremenski i podatkovno) pa rezultat možemo komentirati kroz jedan pokazatelj; standardna devijacija slučaja bez zaštite (85.778 EUR) je samo 7 % veća od prosjeka štete u slučaje primjene mjera zaštite što je još jedan dokaza opravdanog preventivnog pristupa. Graf isto pokazuje kako su rezultati troškova u slučaju primjene mjera grupirani u rasponu min – max oko 92.000 EUR, dok je raspon min – max posljedica slučaja bez primjene mjera zaštite 409.000 EUR.

Ako smo familijarni s nekim sustavom, imamo dobra/loša iskustva i(li) imamo relevantne podatke iz drugih sličnih sustava (rješenja), onda možemo “iz rukava” putem klasičnog modela osvijestiti zainteresirane dionike o stanju promatrane (prometne) infrastrukture. Ako projektiramo moramo stvoriti proaktivni model, ako nas pitaju za mišljenje o postojećem stanju radimo reaktivni model. Naravno, ne mi (inženjeri/ke užeg područja struke), već stručne osobe za modeliranje rizika, a naša zadaća je vrlo odgovorna jer izravno presuđujemo o vjerojatnostima i novcima (posljedicama).

Dijagnoza „automobilitisa“ (1/3)

20.12.2025

Kako dijagnosticirati i ocijeniti težinu „automobilitisa“.

Raspetljavanje prometne petlje

16.10.2025

Primjena dijagrama uzročnih petlji u (gradskom) prometnom sustavu.

Ne postoji dobro prometno rješenje?

02.09.2025

Zašto zastupam tezu da ne postoji dobro prometno rješenje.