– Jeśli RCB zostanie zlikwidowane dzisiaj, to jutro trzeba będzie je budować od nowa – mówi Witold Skomra, doradca Rządowego Centrum Bezpieczeństwa, w rozmowie z BiznesAlert.pl o ochronie infrastruktury krytycznej w energetyce i nie tylko.
BiznesAlert.pl: Jak z punktu widzenia ustawowego Rządowe Centrum Bezpieczeństwa pomaga chronić infrastrukturę krytyczną Polski?
Witold Skomra: W tym miejscu należy rozbić te kwestie: jak jest i jak będzie. W tym momencie bazujemy na modelu sprzed 10 lat, który mówi, że za ochronę infrastruktury krytycznej odpowiada operator, państwo ma go z tego rozliczyć poprzez zatwierdzenie planu ochrony i niekiedy pomagać w zakresie obiegu informacji, szkoleń i know-how.
Właśnie wchodzi w życie dyrektywa unijna o odporności podmiotów krytycznych CER, która jest konsekwencją incydentów na Nord Stream 1 i 2, ale również działań sabotażowych, w przypadku których nie znaleziono sprawców. Cała Unia Europejska obudziła się w sytuacji bezpośredniego zagrożenia sabotażowego infrastruktury krytycznej z przekonaniem, że trzeba coś z tym zrobić natychmiast.
Obecnie za kwestie bezpieczeństwa odpowiada tylko operator. W myśl dyrektywy CER ta odpowiedzialność jest podzielona pomiędzy państwo i operatora. Przykładowo, państwo dokonuje oceny ryzyka z punktu widzenia publicznego, udostępnia wnioski operatorowi, który na tej podstawie ocenia jakie ryzyka grożą jego działalności. Zazwyczaj operator, który zastanawia się nad tym, co mu grozi, mówi o wyższych podatkach, problemach na granicach, zmianach kursów walut czy nieobecność pracownika. Który z operatorów dzisiaj bierze pod uwagę upadek rakiety, działalność szpiegowską czy sabotażową? To pytanie retoryczne. Musiałby po pierwsze wiedzieć, że ma takie zagrożenia brać pod uwagę i między innymi po to jest dyrektywa.
Jakie daje zadanie państwom?
Państwo ma przedstawić kompleksową ocenę, dać ją operatorom, żeby mogli ocenić ryzyko. Dopiero później sporządzają plan odpornościowy, który państwo zatwierdza. Następnie państwo ma, oprócz wszystkich dotychczasowych elementów, zapewnić finansowanie operatorowi, jeżeli jego działania są podyktowane bezpieczeństwem publicznym. To jest złamanie takiej świętej reguły Unii Europejskiej: zakaz interwencji i dotacji bezpośrednich dla podmiotów prywatnych. Teraz mówimy, że jeżeli to jest podyktowane bezpieczeństwem publicznym, czyli jest zagrożone bezpieczeństwo narodowe, państwo powinno mieć przygotowane mechanizmy pomocy dla podmiotu, który nie jest w stanie czegoś zrobić, ponieważ jemu się to biznesowo nie opłaca. Prosty przykład: zakłady produkcji nawozów sztucznych przerywają działalność, ponieważ gaz jest za drogi, więc nie będą produkować przy okazji zestalonego dwutlenku węgla, co zatrzyma zakłady przetwórstwa mięsa. Biznesowo wszystko się zgadza, ale z punktu widzenia bezpieczeństwa publicznego już nie. W jaki sposób nakłonimy biznesmena, aby produkował ten dwutlenek węgla? To jest odpowiedź na tego typu wyzwania. Jeśli coś się nie opłaca biznesowo, to państwo ma przygotować mechanizmy wsparcia. Czas na drugi obszar. Przygotowując system ochrony infrastruktury krytycznej założyliśmy, że pierwsze sześć lat poświęcimy na edukację. W związku z powyższym nie będzie żadnych kar za niewykonywanie obowiązków. Nasi oponenci podnosili, że efekt będzie taki, iż administracja to wdroży, a prywatny biznes tego nie zrobi. Stało się dokładnie odwrotnie. Prywatny biznes wdrożył jako pierwszy, ponieważ powiązał to z celami biznesowymi: lepiej mieć wyższy poziom bezpieczeństwa i nie narażać się ubezpieczycielowi czy mediom. Częściowo nie wdrożyła tego administracja publiczna i jednostki samorządowe. W tym przypadku zaczynamy się mierzyć z kwestią kosztów. Co zrobić, jeżeli w jednostce samorządowej koszty zabezpieczeń są nieadekwatne do osiąganych zysków? To jest dylemat. To pokazuje, dlaczego tylko 85 procent operatorów ma zatwierdzone plany ochrony. To nie jest poziom zadawalający. Trzeba stworzyć mechanizmy wsparcia dla podmiotów, które są krytyczne, ale nie są w stanie zapewnić właściwego poziomu ochrony.
Jaki jest wymiar międzynarodowy tych działań?
Mówimy o odporności podmiotów krytycznych w Europie. W związku z tym, musimy ściśle współpracować np. z naszym odpowiednikiem we Francji. Przypominam słynne zdarzenie, gdzie spaliła się serwerownia francuska, obsługująca polskie firmy. Jak sprawić, żeby standardy bezpieczeństwa we Francji były porównywalne z tymi w Polsce – nie tworząc europejskiego systemu egzekwowania. Muszę tu wyraźnie podkreślić, że mówimy o przypadku, gdy usługę kluczową dla polskich obywateli realizuje firma zarejestrowana np. w Belgii przy wykorzystaniu infrastruktury zlokalizowanej we Francji. Polska nie jest w stanie samodzielnie wyegzekwować wymaganego poziomu ochrony takiej usługi. Teraz się to zmieni. W każdym z krajów członkowskich przewiduje się powołanie organu, która ma wyegzekwować ten sam poziom bezpieczeństwa. Mówimy tutaj o kompetencjach takich, jakie ma dzisiaj np. Komisja Nadzoru Finansowego. Wspomniałem o KNF nie bez przyczyny, dlatego że jednym z sektorów usług krytycznych jest bankowość. Bankowość rękami i nogami broniła się przed regulacją, uznając, że ten sektor był jako pierwszy uregulowany w kwestii bezpieczeństwa. I to jest prawda, poziom ochrony bankowości jest dużo wyższy niż w przypadku pozostałych. Ale w bankowości zaszło sporo zmian. W placówkach nie ma kuloodpornych szyb czy kilkunastu ochroniarzy. Wszystko co nie dotyczy bezpośrednio działalności bankowej zostało zlecone innym podmiotom, które już regulacjom bankowym nie podlegają. W efekcie wdrożenia dyrektywy CER to nie banki, lecz usługi bankowe będą traktowane jako usługi kluczowe. Nie chodzi o podkręcenie śruby samym bankom, chodzi o bezpieczeństwo usługi rozumianej jako realizowanie wszystkich niezbędnych procesów. Bez względu czy te procesy realizuje bank, czy firma ochroniarska. To jest kolejna zmiana w myśleniu.
Na czym polega?
Dzisiaj chronimy obiekty infrastruktury krytycznej: elektrownia, port, po prostu obiekt. W myśl dyrektywy mamy chronić kluczowe usługi. Elektrownia nie działa sama dla siebie. Efektem ostatecznym (czyli usługą) jest prąd w gniazdku. Żeby on się tam znalazł, potrzebujemy elektrowni, przesyłu, rozdziału i kogoś kto to rozlicza. Potrzebujemy jednoczesnego działania wszystkich czterech elementów. I aby mieć pewność jak te elementy ze sobą współpracują trzeba zbadać współzależności, sprawdzić poziom odporności każdego elementu i pilnować by wszystkie procesy składowe działały w sposób ciągły. Unia Europejska mówi: najpierw ustalmy minimalny standard usług kluczowych, każdy kraj może dołożyć swoje, ale minimum ma być wspólne. Następnie, wskażmy kto zapewnia te usługi, ponieważ rzadko kiedy robi to jeden operator. W kolejnym kroku sprawdzamy, czy i w jakim stopniu każdy z operatorów może tę usługę zakłócić. I na samym końcu, przy pomocy czego usługa jest realizowana. Reasumując, zaczynaliśmy od obiektu, a teraz mamy usługę, operatora, stopień zakłócenia i na końcu infrastrukturę, przy pomocy której usługa jest realizowana i która to infrastruktura powinna być chroniona. To jest odwrócenie myślenia, choć na samym końcu dalej mamy infrastrukturę krytyczną, która wymaga ochrony.
Tak, na przykład przed nurkami, którzy szukają bursztynu…
Szczerze mówiąc, zadziwia mnie determinacja tych ludzi. Nie wiem, czy pamięta Pan atak na autobus w Burgas z wycieczką z Izraela w roku 2012. Gdy później badano tę historię, nawiasem mówiąc mówiono o udziale służb wywiadowczych jednego z krajów, okazało się, że testowanie reakcji służb było prowadzone w całej Europie, również w Polsce. Chodziło o zdarzenia pozornie przypadkowe, np. turysta zostawia plecak w autobusie na lotnisku. Są to sytuacje, które właściwie nie pozwalają na interwencję. Dopiero później okazało się, że prawdopodobnie jakieś służby przygotowywały miejsce ataku. Z jakichś powodów uznano, że Burgas jest lepszym miejscem niż Warszawa. Żartujemy sobie z tych nurków, ale nie wiemy czy chodziło o testowanie służb czy coś innego. Jawność ich działania sugeruje właśnie testowanie, a nie rozpoznanie czy atak na infrastrukturę krytyczną. Wiemy za mało, aby rozstrzygać. Nie po to jednak wprowadzamy podwyższone stopnie alarmowe, aby nie zauważać takich zdarzeń.
W całej Europie jest coraz więcej takich zdarzeń, a UE i NATO pogłębiają współpracę. Jaka będzie rola RCB w tym zakresie?
Kilka dni temu Rada Europejska przedstawiła rekomendacje szefów rządów europejskich odnośnie zasad podnoszenia standardów ochrony infrastruktury krytycznej do czasu wejścia dyrektywy CER. Nie będziemy czekać z działaniami półtora roku ryzykując kolejny atak jak na Nord Stream. Bezpieczeństwo infrastruktury krytycznej trzeba podnieść już. Zalecenie zakłada współpracę Unii i NATO. Taki pomysł do niedawna nie śnił się filozofom. Sama obecność przedstawicieli Sojuszu w instytucjach brukselskich była w przeszłości sensacją, miałem takie zdarzenie sześć-siedem lat temu. Tymczasem teraz Unia Europejska i NATO wchodzą we współpracę systemową. Skoro mamy chronić infrastrukturę, przede wszystkim energetyczną, mamy przeprowadzić w tym roku testy warunków skrajnych (stress testy) w całej Europie, przynajmniej w energetyce. Mamy przy tym uwzględnić infrastrukturę podmorską i towarzyszącą jej infrastrukturę software. Musimy to zrobić międzynarodowo i w sposób skoordynowany z NATO. I mamy na to czas do końca roku. Z tego względu RCB będzie ważnym punktem. Jesteśmy skrzynką kontaktową NATO w obszarach niemilitarnych opisanych w Systemie Reagowania Kryzysowego NATO (NCRS). NCRS to system reagowania kryzysowego Sojuszu. Według sojuszu kryzys to wszystko to, co nie wiąże się z deklaracją wojny. Nawet jeżeli latają już rakiety, ale nie został ogłoszony artykuł piąty o obronie kolektywnej, to mamy nadal kryzys, a nie wojnę. Stan wojny jednego kraju członkowskiego bez deklaracji artykułu piątego to nadal kryzys na poziomie NATO. Patrząc na to co dzieje się na świecie i fakt, że nikt nikomu nie wypowiada wojny, mam przekonanie, że wszystkie konflikty będą prowadzone z odniesieniem do artykułu trzeciego o zdolności do samoobrony czy czwartego o uzgodnionym, wspólnym działaniu. Żaden przeciwnik nie pozwoli sobie na agresję, która skłoniłaby NATO do uruchomienia artykułu piątego. Będzie prowadził działania w szarej strefie, to będzie taka prawie wojna. Dlatego testowanie procedur cywilnych z wykorzystaniem systemu reagowania kryzysowego NATO jest tak ważne.
Na przykład dojdzie do wybuchu infrastruktury energetycznej…
Na przykład jakiś poławiacz bursztynu wysadzi jakąś infrastrukturę. Utknie gdzieś jakiś statek. Przecież statki toną. Pech zechce, że jakiś kuter rybacki stanie na szlaku dostaw surowców. Wystarczy przytoczyć szereg przykładów przecinania kabli z Norwegii na Spitsbergen. Podejrzenie z reguły pada na rosyjskie kutry rybackie, które dziwnym trafem regularnie przerywają kable telekomunikacyjne. Zakamuflowane ataki w formie wojny hybrydowej, w której przeciwnik udaje że to nie jego sprawstwo, są największym wyzwaniem. Zidentyfikowany sprawca to załatwiony problem. Bez sprawców mamy trudność. Nie wiemy, jak ocenić sytuację, nie wiemy zatem jak reagować, więc nasza reakcja jest opóźniona. Ludzie zaczynają tworzyć własne interpretacje, pojawiają się kosmiczne teorie. Nawet jeśli wiemy o co chodzi, ale nie mamy dowodów, to jak powiedzieć kto wysadził Nord Stream 1 i 2. Wprawdzie rozpoznanie satelitarne pokazuje które statki wyłączyły wówczas transpondery. Czyli to pewnie któryś z nich. Wtedy pojawia się pytanie czy na pewno zrobił to ktoś z wyłączonym transponderem, bo przecież to mógł być ktoś także z włączonym lokalizatorem. Dlatego tak ważny jest utrzymywany poprzez RCB kontakt w zakresie zagrożeń niemilitarnych. RCB zajmuje się także zarządzaniem kryzysowym i ochroną infrastruktury krytycznej. Powszechne zarządzanie kryzysowe w definicjach w Polsce i całej Unii mówiło dotąd o usuwaniu skutków. Dzisiaj zajmujemy się zapobieganiem przyszłym zdarzeniom. Dyrektywa CER ma zapobiegać przyczynom i budować odporność. Usuwanie skutków po zdarzeniu będzie się zajmować konwencjonalne zarządzanie kryzysowe. Na końcu dzwonimy do straży pożarnej, jak zawsze (śmiech). Co konkretnie zmienia w tym zakresie CER? Wspomina o zapewnieniu odporności danego obiektu. To oznacza, że będzie lepiej przygotowany na wszystkie zdarzenia, nie tylko na te, które wcześniej przewidywaliśmy.
W tej sytuacji trwa dyskusja o likwidacji RCB. Co wówczas?
Jeśli RCB zostanie zlikwidowane dzisiaj, to jutro trzeba będzie je budować od nowa, no chyba, że wychodzimy z Unii Europejskiej. Zarządzanie ryzykiem jest wymogiem przekazania środków podstawowych. Jeśli Polska nie będzie nim zarządzać, to Unia może nam odciąć środki operacyjne. Na koniec 2023 roku będziemy rozliczani z planów zarządzania ryzykiem. Natomiast ja ich jeszcze nie widziałem. Jeżeli szybko nie wdrożymy zarządzania ryzykiem, to w przyszłym roku Komisja będzie miała kilka możliwości pociągnięcia nas do odpowiedzialności finansowej. Zarządzanie ryzykiem i odpornością staje się podstawą wydatkowania środków w krajach członkowskich. Jeżeli nie będziemy mogli zbadać efektywności naszych działań, to nie będziemy mogli ocenić, czy dany projekt z tego obszaru pomaga czy szkodzi. Jeżeli nie potrafimy czegoś zmierzyć, to nie będziemy potrafili tym zarządzać. Takie podejście nie jest łatwe, bo jak zmierzyć skuteczność policji? Ilością wypadków na drodze? A może ilością i szybkością posiadanych samochodów? A z punktu widzenia państwa jako całości – w które obszary bezpieczeństwa zamieramy inwestować i jakie będą wskaźniki efektu? Chcemy wydać kilka miliardów euro na drogi? Wspaniale, ale jaki będzie efekt? Zmniejszenie ilości wypadków? Doskonały pomysł. A o ile? To wszystko trzeba zmierzyć lub oszacować i wprowadzić do planu zarządzania ryzykiem i tym zajmuje się RCB. Unia Europejska chce teraz mierzyć bezpieczeństwo, a nie reagować post factum. Różne ciała na poziomie krajowym i międzynarodowym muszą działać w tym zakresie, a jednym z nich jest Critical Entity Resilence Group, która rozpoczęła pracę natychmiast po wejściu w życie dyrektywy CER. Grupa ma doradzać Komisji Europejskiej w celu wypracowania wspólnych standardów bezpieczeństwa w obszarze usług kluczowych, podmiotów krytycznych i infrastruktury krytycznej. Jest to zadanie realizowane przez RCB, którego nie bierze pod uwagę projekt ustawy o ochronie ludności i obronie cywilnej autorstwa resortu spraw wewnętrznych. Nie uwzględnia też między – i ponad resortowej koordynacji w kraju i zagranicą.
Prosiłbym o przykłady.
Po wprowadzeniu embargo na gaz, ropę i paliwa z Rosji musieliśmy zmienić kierunki dostaw tych surowców. Nagle najważniejszymi, z punktu widzenia bezpieczeństwa dostaw, stały się nie te obiekty, które my chronimy, ale takie które są zlokalizowane poza granicami kraju. Przykładem jest Baltic Pipe. Poza nami to Duńczycy zapewniają nam bezpieczeństwo, a my musimy się z nimi kontaktować by ustalić standardy, a także zaplanować co zrobimy, kiedy jakiś trawler z Rosji postanowi się zatrzymać nad tym gazociągiem na kilka tygodni. Być może reagować trzeba będzie z udziałem NATO. Warto także spojrzeć na powiązania procesów realizowanych np. przez Orlen w wykorzystaniem instalacji zlokalizowanych w Czechach i na Litwie. Może się okazać, że są to krytyczne instalacje z punktu widzenia naszego, ale również tych wymienionych krajów. Musimy także koordynować różnice w podejściach do tego co jest dla kogo krytyczne. Do tego potrzebne są organy odpowiedzialne za koordynację, narzędzia do wymiany informacji i spotkania bilateralne takich odpowiedzialnych urzędów w każdym kraju. W tym oczywiście spotkania i wymiana informacji prowadzone w formule niejawnej. Potrzebne jest ciało koordynujące bezpieczeństwo energetyczne (i nie tylko energetyczne) Polski z innymi krajami z użyciem wspólnej infrastruktury. Chodzi generalnie o działania między-, ponadresortowe i ponadkrajowe. Obowiązek posiadania takiego organu został przyjęty dyrektywą CER i z całą pewnością Komisja Europejska go wyegzekwuje. Dlatego po likwidacji RCB trzeba będzie zaraz stworzyć nowe, tyle że o szerszych kompetencjach.
Po co jest zatem reforma?
To nie pytanie do mnie.
Rozmawiał Wojciech Jakóbik