– Możemy stać się liderem w regionie opracowując dobre praktyki wyłaniania usług kluczowych. To wszystko nie będzie możliwe, jeśli zabraknie centralnego podmiotu koordynującego ochronę infrastruktury krytycznej, z uprawnieniami nadzorczymi oraz sankcyjnymi wobec operatorów tego typu obiektów – mówi dr Karolina Wojtasik z Uniwersytetu Śląskiego.
BiznesAlert.pl: Czego uczą zamachy na Nord Stream 1 i 2?
Myśląc o bezpieczeństwie mamy na myśli częściej wyposażenie armii czy bezpieczeństwo granic. Tymczasem działania poniżej progu wojny, mające osłabić przeciwnika, tak zwane „hybrydowe”, są realizowane z całą rozciągłością od lat. Dopiero teraz odczuwamy ich poważne skutki. Zanim na Ukrainę wjechały czołgi, latami osłabiano państwo za pomocą cyberataków. Ich infrastruktura krytyczna była celem na różne sposoby: blackouty w 2015, 2017 roku; cyberataki na strony rządowe, paraliżujące administrację. Te działania choć sytuowały się poniżej progu wojny, miały na celu m. in. osłabić państwo, ale także chodziło o zebranie informacji o podatności ukraińskiej infrastruktury strategicznej (cywilnej i wojskowej). Al-Jazeera podała niedawno, że 40 procent infrastruktury energetycznej Ukrainy zostało zniszczone. Aby zniszczyć tak znaczny procent obiektów strategicznych, należy mieć wiedzę o ich rozlokowaniu i znaczeniu dla ciągłości działania administracji państwowej. To praca wywiadowcza rozłożona na lata. Jestem przekonana, że takie działania są prowadzone także u nas od lat. Wiadomo, że w Polsce już po wojnie, w latach 40-tych, trwało rozpoznanie systemów wodociągowych, a szczególnie źródeł poboru wody w wielkich skupiskach miejskich. Rozpoznanie to na polecenie decydentów sowieckich, prowadzili wojskowi służący w radzieckiej ambasadzie w Warszawie, którzy z czasem swoim rozpoznaniem objęli również polski system energetyczny. Tak prowadzona działalność wywiadowcza może się zaczynać już na etapie projektowania danego obiektu infrastruktury krytycznej. To mogą być działania zmierzające do znalezienia luk w systemie ochrony i podatności technicznej konstrukcji. To może być wprowadzanie tzw. insiderów, ludzi funkcjonujących w firmie tylko po to, by zbierać informacje albo rozpoznanie informacyjne z pomocą mediów społecznościowych, badanie aktywności kluczowych dla zachowania ciągłości działania pracowników w sieci. Firmy, będące operatorami IK, lubią się chwalić w mediach społecznościowych swoimi obiektami, ale niejednokrotnie publikują szczegółowe zdjęcia dające tym kluczowe informacje przyszłym sabotażystom. Rozpoznanie informacyjne na różne sposoby, także z pomocą zobrazowania satelitarnego czy bezzałogowych statków powietrznych, nie zaczęło się teraz, ale trwa od lat. Skutki widać dzisiaj, albo zobaczymy je dopiero w przyszłości. Sabotaż Nord Stream 1 i 2 pokazuje, że musimy zapewnić maksimum bezpieczeństwa infrastruktury krytycznej zarówno tej lądowej jaki i tej morskiej znajdującej się poza wyłączną strefą ekonomiczną państwa, które taką drogą pozyskuje surowce energetyczne. Taki sabotaż jest formą prowadzenia konfliktów w dzisiejszych warunkach. Zamiast użycia ogromnej armii wystarczy kilku sabotażystów wyszkolonych i wyposażonych przez wojsko. Można postawić tezę, że wystarczy uszkodzić kilka elementów infrastruktury krytycznej, by doprowadzić do zapaści ekonomicznej RP. Innymi słowy wydajemy miliardy na dozbrojenie, ale sprawne funkcjonowanie armii zależy od obiektów IK, których system ochrony wymaga natychmiastowego wsparcia ze strony państwa.
Jak poprawić bezpieczeństwo?
Należy to robić w sposób skoordynowany. To rola Rządowego Centrum Bezpieczeństwa (RCB) odpowiadającego za ochronę infrastruktury krytycznej w Polsce. Niezwykle ważne jest unikniecie rozproszenia odpowiedzialności i równoległego procesu decyzyjnego, zwłaszcza w obliczu dyrektywy o odporności podmiotów krytycznych (CER). Potrzebujemy jednego centralnego organu nadzorczego, niezależnego od resortów siłowych z kompetencjami narodowego koordynatora, audytora bezpieczeństwa IK. Nowy projekt ustawy o ochronie ludności i stanie klęski żywiołowej (wersja z końca stycznia 2023r., po konferencji uzgodnieniowej MSWiA) idzie pod prąd tych potrzeb. Bez „RCB+” nie zapewnimy odpowiedniego systemu bezpieczeństwa obiektów, od których zależy ciągłość działania państwa, w sensie politycznym, gospodarczym i przede wszystkim wojskowym. Warto pamiętać, że obecnie obowiązujące tzw. podejście bezsankcyjne z Narodowego Planu Ochrony IK (NPOIK) powoduje, że trudno jest ukarać operatora infrastruktury krytycznej niestosującego się do zaleceń lub zarządzającego obiektem strategicznym dla bezpieczeństwa RP, a ogrodzonym płotem wysokim na 70 cm. Jedynym rodzajem obiektów infrastruktury krytycznej, który w Polsce podlega systemowej kontroli (krajowej i unijnej) i nadzorowi ze strony instytucji państwowych są „strategiczne” porty lotnicze. W tym mocno uregulowanym po 11/09 obszarze, Urząd Lotnictwa Cywilnego (ULC) może wymuszać określone działania dedykowane ochronie lotnictwa cywilnego w RP. W innych przypadkach nie ma takich możliwości. Sytuacja ta znacząco się zmieni po wdrożeniu do krajowej legislacji Dyrektywy CER. Mamy na to tylko kilkanaście miesięcy.
Potrzebne jest podniesienie poziomu świadomości odnośnie do znaczenia IK w życiu każdego z nas. Słowo „infrastruktura” jest rozumiane potocznie. Kojarzy się z obiektami takimi jak drogi czy mosty. Niejednokrotnie jako społeczeństwo nie rozumiemy czym jest infrastruktura krytyczna. Równolegle istnieje w polskim ustawodawstwie wiele pojęć: infrastruktura krytyczna, obiekty podlegające obowiązkowej ochronie, dostawca usług kluczowych. Niejednokrotnie w przedsiębiorstwach ludzie z pionu bezpieczeństwa są zagubieni w tej nomenklaturze, zastanawiając się nad kategorią do której należą i czy wiążą się z tym konkretne obowiązki. Dlatego tak ważna jest rola inicjatyw edukacyjnych na rzecz bezpieczeństwa państwa i obywateli, realizowanych przez RCB. Administracja publiczna musi budować tę świadomość. Inżynierowe kształceni na politechnikach muszą wiedzieć, że ich obiekty mogą otrzymać w przyszłości status infrastruktury krytycznej, a co za tym idzie stać się przedmiotem rozpoznania przez wrogie służby wywiadowcze. Mamy dużą lukę w tym zakresie. Dopóki infrastruktura krytyczna działa, to o niej nie myślimy, a powinniśmy na wypadek sytuacji kryzysowych, które mogą doprowadzić do zapaści gospodarczej kraju.
Jak chronimy infrastrukturę jak Baltic Pipe czy Naftoport obliczu łapania poławiaczy bursztynu?
Critical Infrastructure Resilence Group spotkała się po raz pierwszy 25 stycznia w Brukseli. Jest areną dyskusji o tym, jak powinna wyglądać ochrona infrastruktury krytycznej w Europie. Potrzebujemy standardów ochrony IK oraz krajowych instytucji nadzorczych, audytów bezpieczeństwa IK i stałych kontroli systemu bezpieczeństwa tego typu obiektów, a także możliwości nakładania kar finansowych za naruszenia systemu ochrony wymaganego przez państwo. Bez takiego organu poziom bezpieczeństwa obiektów infrastruktury krytycznej zależy od dobrej woli zarządów operatorów IK. Ustawa o zarządzaniu kryzysowym orazustawa o ochronie osób i mienia, a także ustawa o działaniach antyterrorystycznych to trzy kluczowe akty prawne, które regulują ochronę infrastruktury krytycznej w Polsce. W zakresie bezpieczeństwa, o którym rozmawiamy, operator takiej infrastruktury ma przynajmniej dwa dokumenty do opracowania. Bezpieczeństwo fizyczne jest szczegółowo regulowane w planie ochrony (z tytułu ustawy o ochronie osób i mienia). Ten dokument jest uzgadniany z właściwą terytorialnie jednostką Policji, która sprawdza go na miejscu. Kierownik tego typu obiektu tworzy też tzw. załącznik antyterrorystyczny (AT) do planu ochrony. To dokument do uzgodnienia z właściwą terytorialnie jednostką Agencji Bezpieczeństwa Wewnętrznego. Zawiera między innymi analizę podatności, szacowane jest także ryzyko wystąpienia incydentu o charakterze terrorystycznym. Najważniejsze są jednak procedury postępowania w razie różnych typów ataków, na przykład pojawienia się napastnika z niebezpiecznym narzędziem albo przesyłki z niebezpieczną zawartością, np. materiałami wybuchowymi. Ponadto, w ramach załącznika AT powstaje wykaz czynności podejmowanych w danym obiekcie w razie podnoszenia stopni alarmowych. Papier załącznika AT może znieść wiele. Można tam wpisać wiele rzeczy. Jeżeli jednak pracownicy nie są przeszkoleni, nie ma świadomości zagrożeń, nie ma cyklicznych ćwiczeń, to te pomysły zostaną na papierze. Z tego względu kluczowy jest czynnik ludzki. Z kolei plan ochrony infrastruktury krytycznej jest uzgadniany w RCB po konsultacji z różnymi podmiotami. Opisuje bezpieczeństwo w sposób kompleksowy, z uwzględnieniem planu ciągłości działania dla dostarczanej usługi. Problem polega na tym, że trudno wymusić na różnych podmiotach sporządzenie takiego dokumentu, bo nie ma instrumentów prawnych przez wspomniane podejście bezsankcyjne. Warto też podkreślić, że mamy Narodowy Plan Ochrony IK aktualizowany co dwa lataoraz załączniki. To drogowskaz uaktualniany o nowe zagrożenia. Zawiera m.in. zasady budowy systemu ochrony fizycznej, bezpieczeństwa teleinformatycznego, osobowego czy prawnego. Póki co nie są to obowiązki obwarowane sankcjami. Najnowsze standardy bezpieczeństwa jakie wejdą w życie w ramach trwającej aktualizacji NPOIK mają uwzględnić doświadczenia płynące z wojny w Ukrainie i roli jaką pełnią tam systemy bezzałogowe. Wdrożenie standardów bezpieczeństwa dla operatorów infrastruktury krytycznej w zakresie zapobiegania, reagowania i ograniczania skutków zagrożeń stwarzanych przez incydenty z udziałem systemów bezzałogowych (latających, pływających, lądowych) to przykład na to że potrafimy tworzyć w kraju rozwiązania nowatorskie, które spotykają się z zainteresowaniem pozostałych krajów UE. Możemy być liderami, kiedy budujemy bezpieczeństwo ponad resortowymi podziałami. Niestety z tego co miałam możliwość dowiedzieć się w trakcie ostatniego Forum Ochrony IK, tylko kilka obiektów IK, na kilkaset, posiada wart wspomnienia system ochrony przed latającymi platformami bezzałogowymi. W przypadku systemów przeznaczonych do ochrony morskiej infrastruktury energetycznej, przed rozpoznaniem lub sabotażem z wykorzystaniem dronów podwodnych, sytuacja jest jeszcze mniej optymistyczna. Pomimo tego, że polskie start-upy i politechniki mają czym pochwalić się na globalnym rynku rozpoznania i neutralizacji dronów, zarządy operatorów IK energetycznej morskiej nie traktują inwestycji w podwodne systemu dronowe adekwatnie do analizy ryzyka. To wciąż pokłosie bezsankcyjności.
Ile mamy czasu na te zmiany?
Mamy tylko kilkanaście miesięcy. Dlatego tak ważna jest rola RCB. Ochrona infrastruktury krytycznej ewoluuje, my się uczymy, a zagrożenia się zmieniają. Podejście do IK jako obiektów było ułatwieniem. Mieliśmy zestaw kryteriów określających, co jest taką infrastrukturą. Kryteria były niejawne, ale powstały po konsultacjach z poszczególnymi resortami. Dyrektywa CER zmienia podejście z obiektowego na usługowe. Samo określenie co jest usługą kluczową będzie wymagało współpracy na szczeblu międzyresortowym i wymagało gigantycznej wiedzy oraz orientacji w pracy takich podmiotów na co dzień. Nie możemy przespać tego momentu. Mamy szansę wprowadzić nasze dotychczasowe rozwiązania na poziom europejski. Możemy stać się liderem w regionie opracowując dobre praktyki wyłaniania usług kluczowych. To wszystko nie będzie możliwe, jeśli zabraknie podmiotu koordynującego i instytucji nadzorczej. W razie likwidacji RCB czas nie stanie w miejscu czekając na nową instytucję. Tymczasem ustawa mająca zlikwidować RCB zostawia na później różne rozstrzygnięcia w odniesieniu do ochrony infrastruktury krytycznej. To oznaczałoby kolejne stracone miesiące w obliczu zaognienia sytuacji na Ukrainie, a przecież dzisiejsza wojna jest prowadzona na różne sposoby w celu paraliżowania infrastruktury krytycznej. My w tym czasie możemy sobie tę infrastrukturę „odsłonić”. Infrastruktura krytyczna jest chroniona, ale wciąż wiele zależy od operatora, który nie zawsze ma wystarczającą świadomość zagrożenia.Dodatkowo bezpieczeństwo sporo kosztuje i nie generuje zysków finansowych z punktu widzenia Zarządu operatora IK. Dlatego właśnie od cięć w obszarze bezpieczeństwa zaczynamy oszczędności w dobie kryzysu. Pozostawienie takich tematów w gestii zarządów to odsłanianie się na zagrożenia. Dyrektywa CER pomoże zbudować system dający kontrolę i egzekucję odpowiedniej ochrony na poziomie państw członkowskich UE oraz na poziomie unijnym. Opóźnianie tego procesu nie służy nikomu. W tej sytuacji geopolitycznej, w której jesteśmy takie podejście narusza polską rację stanu. Warto podkreślić, że władze Ukrainy budując swój system ochrony infrastruktury krytycznej wzorują się na dotychczasowych rozwiązaniach obowiązujących w RP, dostrzegając przy tym nowe podejście do budowania odporności na zagrażania hybrydowe dla IK jakie prezentuje Komisja Europejska.
Rozmawiał Wojciech Jakóbik