icon to english version of biznesalert
EN
Najważniejsze informacje dla biznesu
icon to english version of biznesalert
EN

NIK stwierdziła zagrożenia dla bezpieczeństwa infrastruktury krytycznej

Najwyższa Izba Kontroli przeprowadziła w latach 2015 i 2016 kontrolę, która miała na celu sprawdzenie prawidłowości zabezpieczenia obiektów infrastruktury krytycznej (IK) istotnych dla funkcjonowania państwa. Kontrolę przeprowadzono w wybranych podmiotach (operatorzy infrastruktury krytycznej) odpowiedzialnych za ochronę infrastruktury krytycznej: w Rządowym Centrum Bezpieczeństwa, u trzech wojewodów, oraz w 15 samorządach szczebla powiatowego i gminnego.

W wyniku przeprowadzonej kontroli NIK stwierdziła szereg nieprawidłowości u skontrolowanych operatorów infrastruktury krytycznej :

  • nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej,
  • część terenów, na których znajdowały się obiekty infrastruktury krytycznej nie była właściwie zabezpieczona przed wejściem osób nieuprawnionych, a w dużej części obszarów brakowało monitoringu wizyjnego,
  • wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie były objęte systemem kontroli dostępu, a bramy wjazdowe nie były wyposażone w zapory zabezpieczające przed wtargnięciem,
  • u większej części skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono rozwiązań na wypadek wystąpienia zdarzeń sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej,
  • we wszystkich skontrolowanych podmiotach nie wyodrębniono kluczowego, ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej personelu,
  • w znaczącej większości podmioty te nie określały też procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi dla operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług, czy też zachowania poufności wykonywanych prac.

Ponadto wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego, czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.

Brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej czy też osobowej skutkował wystąpieniem niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej, czy też związanych z prawidłową eksploatacją instalacji infrastruktury krytycznej. Przykładem jest zaginięcie z terenu jednego z obiektów infrastruktury krytycznej dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie dla życia i zdrowia osób przebywających w ich pobliżu. Przyczyną zaginięcia był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK. Kolejnym incydentem było uszkodzenie połączenia transgranicznego – kabla prądu stałego 450 kV, łączącego Polskę z jednym z europejskich krajów, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne Państwa. Brak natomiast przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK, spowodował skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego. Niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (zbyt niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu pozwalał w tym przypadku na łatwą możliwość zatrucia ujęć wody dla setek tysięcy obywateli.

Zastrzeżenia NIK budziła również niewłaściwa realizacja zadań z zakresu ochrony IK przez skontrolowanych wojewodów oraz jednostki samorządu terytorialnego. Stwierdzono bowiem szereg przypadków niewywiązywania się przez wojewodów z obowiązków przekazywania organom gmin informacji o znajdującej się na ich terenach infrastrukturze krytycznej. W konsekwencji, w trzech objętych kontrolą gminach, w związku z brakiem informacji o lokalizacji na ich terenie obiektów IK, nie podjęto żadnych działań w zakresie ochrony IK, określonych w ustawie o zarządzaniu kryzysowym. Znacząca część skontrolowanych starostów (prezydentów) oraz wójtów (burmistrzów) nie realizowało w ogóle zadań w zakresie ochrony IK wynikających z ustawy o zarządzaniu kryzysowym. Nie gromadzili oni bowiem i nie przetwarzali informacji dotyczących zagrożeń dla IK, nie opracowywali i nie wdrażali procedur na wypadek wystąpienia takich zagrożeń oraz rozwiązań na wypadek zniszczenia lub zakłócenia funkcjonowania IK. Często nie aktualizowano również powiatowych i gminnych planów zarządzania kryzysowego w zakresie dostosowania ich zapisów do wymogów dotyczących ochrony IK określonych w ustawie o zarządzaniu kryzysowym.

NIK zauważa również, że w badanym okresie brak było ścisłej współpracy starostów (prezydentów) i wójtów (burmistrzów) z operatorami IK w zakresie ochrony IK. O zdarzeniach mogących mieć wpływ na bezpieczeństwo IK, starostwa i gminy dowiadywały się głównie ze środków masowego przekazu.

W związku ze stwierdzonymi nieprawidłowościami NIK sformułowała wnioski pokontrolne do skontrolowanych podmiotów odpowiedzialnych za ochronę IK oraz wojewodów i organów jst o usunięcie stwierdzonych uchybień i realizację zadań w zakresie ochrony IK zgodnie z przepisami prawa.

Źródło: Najwyższa Izba Kontroli

Najwyższa Izba Kontroli przeprowadziła w latach 2015 i 2016 kontrolę, która miała na celu sprawdzenie prawidłowości zabezpieczenia obiektów infrastruktury krytycznej (IK) istotnych dla funkcjonowania państwa. Kontrolę przeprowadzono w wybranych podmiotach (operatorzy infrastruktury krytycznej) odpowiedzialnych za ochronę infrastruktury krytycznej: w Rządowym Centrum Bezpieczeństwa, u trzech wojewodów, oraz w 15 samorządach szczebla powiatowego i gminnego.

W wyniku przeprowadzonej kontroli NIK stwierdziła szereg nieprawidłowości u skontrolowanych operatorów infrastruktury krytycznej :

  • nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej,
  • część terenów, na których znajdowały się obiekty infrastruktury krytycznej nie była właściwie zabezpieczona przed wejściem osób nieuprawnionych, a w dużej części obszarów brakowało monitoringu wizyjnego,
  • wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie były objęte systemem kontroli dostępu, a bramy wjazdowe nie były wyposażone w zapory zabezpieczające przed wtargnięciem,
  • u większej części skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono rozwiązań na wypadek wystąpienia zdarzeń sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej,
  • we wszystkich skontrolowanych podmiotach nie wyodrębniono kluczowego, ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej personelu,
  • w znaczącej większości podmioty te nie określały też procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi dla operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług, czy też zachowania poufności wykonywanych prac.

Ponadto wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego, czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.

Brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej czy też osobowej skutkował wystąpieniem niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej, czy też związanych z prawidłową eksploatacją instalacji infrastruktury krytycznej. Przykładem jest zaginięcie z terenu jednego z obiektów infrastruktury krytycznej dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie dla życia i zdrowia osób przebywających w ich pobliżu. Przyczyną zaginięcia był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK. Kolejnym incydentem było uszkodzenie połączenia transgranicznego – kabla prądu stałego 450 kV, łączącego Polskę z jednym z europejskich krajów, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne Państwa. Brak natomiast przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK, spowodował skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego. Niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (zbyt niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu pozwalał w tym przypadku na łatwą możliwość zatrucia ujęć wody dla setek tysięcy obywateli.

Zastrzeżenia NIK budziła również niewłaściwa realizacja zadań z zakresu ochrony IK przez skontrolowanych wojewodów oraz jednostki samorządu terytorialnego. Stwierdzono bowiem szereg przypadków niewywiązywania się przez wojewodów z obowiązków przekazywania organom gmin informacji o znajdującej się na ich terenach infrastrukturze krytycznej. W konsekwencji, w trzech objętych kontrolą gminach, w związku z brakiem informacji o lokalizacji na ich terenie obiektów IK, nie podjęto żadnych działań w zakresie ochrony IK, określonych w ustawie o zarządzaniu kryzysowym. Znacząca część skontrolowanych starostów (prezydentów) oraz wójtów (burmistrzów) nie realizowało w ogóle zadań w zakresie ochrony IK wynikających z ustawy o zarządzaniu kryzysowym. Nie gromadzili oni bowiem i nie przetwarzali informacji dotyczących zagrożeń dla IK, nie opracowywali i nie wdrażali procedur na wypadek wystąpienia takich zagrożeń oraz rozwiązań na wypadek zniszczenia lub zakłócenia funkcjonowania IK. Często nie aktualizowano również powiatowych i gminnych planów zarządzania kryzysowego w zakresie dostosowania ich zapisów do wymogów dotyczących ochrony IK określonych w ustawie o zarządzaniu kryzysowym.

NIK zauważa również, że w badanym okresie brak było ścisłej współpracy starostów (prezydentów) i wójtów (burmistrzów) z operatorami IK w zakresie ochrony IK. O zdarzeniach mogących mieć wpływ na bezpieczeństwo IK, starostwa i gminy dowiadywały się głównie ze środków masowego przekazu.

W związku ze stwierdzonymi nieprawidłowościami NIK sformułowała wnioski pokontrolne do skontrolowanych podmiotów odpowiedzialnych za ochronę IK oraz wojewodów i organów jst o usunięcie stwierdzonych uchybień i realizację zadań w zakresie ochrony IK zgodnie z przepisami prawa.

Źródło: Najwyższa Izba Kontroli

Najnowsze artykuły