Standardy i dobre praktyki ochrony infrastruktury krytycznej
Rządowe Centrum Bezpieczeństwa (RCB) to państwowa jednostka budżetowa, podlegająca bezpośrednio Prezesowi Rady Ministrów. Pełni funkcję krajowego centrum zarządzania kryzysowego. Jednym z jej zadań było przygotowanie Narodowego Programu Ochrony Infrastruktury Krytycznej.
Zadanie to zostało powierzone RCB na mocy uchwały z 2013 r. Program jest aktualizowany i obecnie ze strony RCB można pobrać jego najnowszą wersję, opublikowaną w 2023 r. Dla menedżerów security to lektura wręcz obowiązkowa. Poza programem warto zapoznać się z załącznikami. Szczególnej uwadze polecamy Załącznik nr 1. Publikujemy fragmenty rozdziału drugiego, dotyczącego zapewnienia bezpieczeństwa osobowego. Ze względu na wagę dokumentu, poza nielicznymi, niezbędnymi skrótami oznaczonymi jako (…), nie dokonaliśmy żadnych zmian redakcyjnych.
Zapewnienie bezpieczeństwa osobowego
Zapewnienie bezpieczeństwa osobowego to zespół przedsięwzięć i procedur mających na celu minimalizację ryzyka związanego z osobami, które przez autoryzowany dostęp do obiektów, urządzeń, instalacji i usług infrastruktury krytycznej mogą spowodować zakłócenia w jej funkcjonowaniu.
Członkowie personelu związanego z obiektami, urządzeniami, instalacjami i usługami infrastruktury krytycznej oraz osoby czasowo przebywające w obrębie IK (usługodawcy, dostawcy, goście) mogą stanowić potencjalne zagrożenie dla jej funkcjonowania. Pozycja zajmowana w strukturze operatora IK determinuje poziom dostępu fizycznego do kolejnych stref bezpieczeństwa oraz dostęp do informacji wrażliwych, niekoniecznie niejawnych. Oba te przywileje mogą być nielegalnie wykorzystane i służyć zakłóceniu funkcjonowania IK lub działaniu na jej niekorzyść (dotyczy to także usługodawców, dostawców i gości).
Należy pamiętać, że wiele aspektów zapewnienia bezpieczeństwa osobowego jest nierozerwalnie związanych z innymi elementami systemu bezpieczeństwa IK, takimi jak zapewnienie bezpieczeństwa fizycznego czy teleinformatycznego. Dopiero komplementarność wszystkich elementów zapewni satysfakcjonujący poziom zapewnienia bezpieczeństwa IK przed zagrożeniami wewnętrznymi, np. rozczarowanymi pracownikami, prowokacjami, konkurencją czy przestępczością zorganizowaną.
Dla usystematyzowania informacji tekst został podzielony na roz-działy odpowiadające kolejnym etapom działania z osobami mogącymi mieć negatywny wpływ na funkcjonowanie IK.
Postępowanie w trakcie zatrudniania
Podstawą skuteczności zapewnienia bezpieczeństwa osobowego jest zebranie jak największej liczby informacji, możliwych do uzyskania w świetle obowiązującego prawa, o potencjalnym pracowniku już w procesie rekrutacji. Aby zoptymalizować czas, siły i środki wykorzystywane w postępowaniu rekrutacyjnym, należy przede wszystkim dokładnie sporządzić profil kandydata, a precyzyjne określenie zakresu obowiązków pozwoli ustalić poziom dostępu do stref, pomieszczeń, depozytorów itp., jaki będzie mu przyznany, oraz jakimi informacjami wrażliwymi będzie dysponował.
Warto przeprowadzić ocenę ryzyka zakłócenia funkcjonowania IK, związanego z nielegalnym wykorzystaniem informacji lub praw dostępu dla różnych stanowisk w strukturze organizacji. Ocena ta będzie stanowić podstawę decyzji o szczegółowości postępowania sprawdzającego w procesie zatrudniania. Pozwoli także na lepsze określenie kryteriów, jakim powinien odpowiadać kandydat. Taką ocenę można wprowadzić i zakomunikować w formie skoordynowanej polityki zatrudniania w organizacji.
Ustalenie tożsamości
Warunkiem koniecznym do dalszego procedowania jest weryfikacja tożsamości kandydata. Nie należy podejmować dalszych czynności, jeśli istnieją jakiekolwiek zastrzeżenia co do jej poprawności! (…)
Sprawdzenie tożsamości powinno odbywać się przede wszystkim na podstawie przedstawionych oryginalnych dokumentów, zawierających imiona, nazwisko, datę urodzenia, adres, podpis posiadacza oraz zdjęcie. Należy sprawdzić, czy okazywany dokument jest wydany przez właściwy organ i ma aktualną datę ważności. Obowiązkowo należy wymagać dokumentów trudnych do podrobienia, takich jak: paszport, dowód osobisty czy prawo jazdy. Koniecznie należy weryfikować autentyczność przedstawianych przez kandydata dokumentów. Pracownicy dokonujący takiej weryfikacji muszą posiadać odpowiednią wiedzę i umiejętności w celu przeprowadzenia takich sprawdzeń.
Kwalifikacje
Sprawdzenie kwalifikacji kandydata powinno opierać się o weryfikację informacji zawartych w dokumentach rekrutacyjnych (CV, formularze, świadectwa pracy itp.). Pozwoli to ocenić wiarygodność i uczciwość kandydata oraz zdobyć informacje, które chciałby ukryć. Podobnie jak w przypadku ustalenia tożsamości wszelkie dokumenty powinny być oryginalne. Weryfikacja prawdziwości przekazanych dokumentów powinna odbyć się podczas osobistego stawiennictwa kandydata w toku postępowania rekrutacyjnego po etapie preselekcji. (…)
W przypadku rekrutacji na kluczowe stanowiska, połączone z dostępem do informacji niejawnych, postępowanie sprawdzające przeprowadzają właściwe służby ochrony państwa. Nie należy jednak zaniedbywać wewnętrznego procesu weryfikacji kandydata. Ułatwieniem w tym zakresie są obowiązujące przepisy prawa ujęte m.in. w ustawie o zarządzaniu kryzysowym, pozwalające żądać od pracownika (lub kandydata do pracy) przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym.
Postępowanie w stosunku do zatrudnionych
Priorytetem w zapewnieniu bezpieczeństwa osobowego jest dokładne sprawdzenie pracownika (np. analiza złożonych dokumentów i weryfikacja ich autentyczności) jeszcze przed jego zatrudnieniem, nie wolno zaniedbywać jednak zasad bezpieczeństwa w stosunku do już zatrudnionych w organizacji. W trakcie zatrudnienia, w przypadku zmiany stanowiska pracy należy zweryfikować nadane osobie uprawnienia i dostosować je do obecnie zajmowanego stanowiska. Wszelkie uprawnienia, które posiadał pracownik w związku z poprzednio zajmowanym stanowiskiem, powinny zostać cofnięte. Kluczowe znaczenie ma w tym przypadku informacja z działu kadr o zmianie stanowiska do pozostałych komórek organizacyjnych, w tym odpowiedzialnych za bezpieczeństwo. Wskazane jest także okresowe weryfikowanie niezbędności uprawnień przyznanych wszystkim osobom – pracownikom i podwykonawcom zewnętrznym.
Niestandardowe zachowania
Obserwacja zachowań pracowników jest jednym ze sposobów wykrycia potencjalnego zagrożenia wewnętrznego. Należy jednak podkreślić, że nie chodzi o wścibskość lub inwigilację, a jedynie o ocenę możliwości wystąpienia takiego zagrożenia.
Zespół powinien być uwrażliwiony na zmiany zachowania i informować o tych, które mogą świadczyć o rozluźnieniu związku pracownika z organizacją lub jego problemach osobistych, takich jak:
- nadużywanie alkoholu,
- wypowiadanie poglądów aprobujących działania grup ekstremistycznych,
- zmiana wyznania, przynależności politycznej, społecznej,
- niewytłumaczalne zmiany w życiu osobistym,
- brak zainteresowania wykonywaną pracą, rozczarowanie,
- znamiona silnego stresu: agresja, choleryczne zachowanie,
- zmiana godzin pracy, przyzwyczajeń,
- niestandardowe zainteresowanie systemami bezpieczeństwa,
- brak przestrzegania procedur bezpieczeństwa,
- nieobecności nieusprawiedliwione.
Powyższa lista niestandardowych zachowań nie jest kompletna i nie może być jedynym kryterium do podjęcia kroków dyscyplinarnych. Może natomiast, razem z innymi przesłankami, stanowić podstawę do udzielenia danej osobie pomocy lub kontroli jej działalności w organizacji. Szczególnie wystąpienie szeregu przesłanek musi wzbudzić zainteresowanie osób odpowiedzialnych w organizacji za bezpieczeństwo.
Dostęp
Jednym z podstawowych sposobów na zapewnienie bezpieczeństwa osobowego IK jest ograniczanie dostępu pracowników organizacji do wrażliwych miejsc lub zasobów znajdujących się na terenie organizacji i w sieciach teleinformatycznych. Dostęp powinien być przyznawany tylko w zakresie i czasie potrzebnym do wykonywania swoich obowiązków służbowych. Próba dotarcia do zastrzeżonych stref, sieci lub zasobów może świadczyć o potencjalnym zagrożeniu ze strony pracownika.
Osoby odpowiedzialne za bezpieczeństwo w ustalonych odstępach czasu powinny:
- weryfikować prawa dostępu i w razie potrzeby je ograniczać,
- kontrolować, analizować i raportować wszelkie próby nieautoryzowanego dostępu do miejsc (pomieszczeń) oraz sieci i zasobów teleinformatycznych.
Pracownicy organizacji powinni być uczuleni na próby nieautoryzowanego dostępu wszelkich osób do zastrzeżonych miejsc oraz informować odpowiedzialne osoby o zauważonych tego typu próbach.
Identyfikacja wizualna
Identyfikacja wizualna pracowników organizacji oraz podwykonawców i gości jest najprostszym sposobem określenia przynależności do organizacji oraz potencjalnych uprawnień.
Każda osoba znajdująca się w obiekcie należącym do IK powinna nosić w widocznym miejscu identyfikator z fotografią twarzy posiadacza. Identyfikator nie powinien jednak zawierać (ze względów bezpieczeństwa, np. po zgubieniu) informacji o przydzielonych mu prawach dostępu. Powinien być oznaczony odpowiednim dla strefy (budynku) kolorem w celu szybkiego rozpoznania każdego nielegalnie przebywającego w danym obszarze pracownika i podjęcia odpowiednich kroków. Tam, gdzie ma to uzasadnienie, należy wprowadzić dodatkowo odzież służbową lub inny sposób identyfikacji przez elementy ubioru (kolorowe kamizelki, kaski itp.). Wprowadzając odzież służbową, należy pamiętać, że nie może to być jedyny sposób identyfikacji wizualnej zezwalający na dostęp do obiektu (osoba nosząca uniform z logo firmy niekoniecznie musi być tą, za którą się podaje).
Nie należy nosić identyfikatorów w widocznych miejscach poza obiektami IK. Utrudni to osobom niepowołanym poznanie wyglądu graficznego identyfikatorów. Osobom spoza organizacji nie należy również zezwalać na wynoszenie identyfikatorów poza obiekt.
Ochrona kluczowego personelu
W każdej organizacji są osoby posiadające newralgiczną (unikalną) wiedzę na temat jej funkcjonowania oraz doświadczenie i „pamięć instytucjonalną”. Są one szczególnie cenne dla organizacji, a jednocześnie stanowią potencjalnie największe zagrożenie na wypadek działania na niekorzyść organizacji. W celu ochrony informacji mających istotne znaczenie dla pracodawcy są z nimi zawierane odrębne umowy o zakazie konkurencji w czasie trwania i po ustaniu stosunku pracy. Takie osoby powinny mieć zapewnione przez pracodawcę satysfakcjonujące warunki pracy, obejmujące wynagrodzenie, czas pracy i prestiż. Pracodawca powinien zapewnić także możliwość sukcesywnego podnoszenia kompetencji oraz wsparcie podmiotów zewnętrznych. Ochrona kluczowego personelu oznacza także bardziej restrykcyjne wymogi kontrolne w stosunku do tych osób. Należy także podjąć kroki dające możliwość zastępstwa o podobnych kwalifikacjach oraz uprawnieniach.
Usługodawcy, podwykonawcy
Pracownicy podmiotów wykonujący pracę na zlecenie operatora IK powinni zostać zweryfikowani w podobny sposób jak w przypadku rekrutacji, a dodatkowo należy sprawdzić, czy dany podwykonawca jest członkiem rozpoznawalnego i uznanego stowarzyszenia, posiada odpowiednie licencje, spełnia standardy jakości, posiada stabilność finansową itp.
Cenne są rekomendacje personalne, referencje od operatorów z tego samego systemu i przykłady już wykonanych prac, ale nawet gdy są one bardzo dobre, należy podać do wiadomości podwykonawcy, że są one weryfikowane.
Po ustaleniu zakresu usługi i ocenie ryzyka zakłócenia funkcjonowania IK powinno się ustalić poziom dostępów, przeprowadzić szkolenie informujące o występujących zagrożeniach i obowiązujących procedurach i dopiero wtedy wydać przepustki lub ustanowić prawa dostępu do sieci. Wszelkie prace mogące mieć negatywny wpływ na IK muszą być wykonywane pod nadzorem stałej kadry IK.
Postępowanie z odchodzącymi z pracy
Każdy z pracowników odchodzących z organizacji jest w posiadaniu mniej lub bardziej wrażliwej wiedzy, która może być wykorzystana ze stratą dla organizacji. Dlatego w każdym przypadku konieczna jest indywidualna ocena ryzyka związanego z możliwością ujawnienia informacji. Szacowanie powinno być oparte o kilka wytycznych. Pierwszym jest zajmowane stanowisko implikujące poziom dostępu do informacji. Drugim – powód odejścia z zakładu pracy (dobrowolny, dyscyplinarny, redukcja zatrudnienia, wygaśnięcie umowy). Dalej należy sprawdzić najbliższe plany pracownika, czy np. nowym miejscem zatrudnienia nie będzie firma konkurencyjna.
Postępowanie w okresie wypowiedzenia będzie wynikało z przeprowadzonej oceny ryzyka i będzie w głównej mierze oparte o ograniczenie dostępu w zależności od poziomu ryzyka, chyba że zwolnienie ma charakter natychmiastowy, wtedy należy odebrać pełny dostęp, a cały proces opuszczania miejsca pracy przeprowadzić pod nadzorem. Nie oznacza to jednak, że pracownikowi odchodzącemu dobrowolnie, na emeryturę należy pozostawić w okresie wypowiedzenia pełny dostęp. Decyzje w tym zakresie podejmuje w konkretnych sytuacjach pracodawca. Istnieje możliwość zwolnienia pracownika z obowiązku świadczenia pracy w okresie wypowiedzenia.
Opuszczający stanowisko pracownik powinien zwrócić:
- odzież firmową, w tym umundurowanie (jeśli występuje),
- identyfikatory, przepustki,
- służbowe telefony komórkowe,
- służbowe karty kredytowe,
- służbowe wizytówki,
- klucze do pomieszczeń, generatory kodów jednorazowych,
- dokumenty należące do organizacji,
- przenośne dyski danych, komputery.
Jednocześnie osoby odpowiedzialne za przyznawanie dostępu (fizycznego i teleinformatycznego) powinny:
- zablokować uprawnienia dostępu do systemów, w tym dezaktywować identyfikatory, karty dostępu, hasła,
- zmienić kody dostępu do drzwi, depozytorów,
- anulować karty kredytowe,
- przekazać pracownikom ochrony odpowiednio wcześniej informację o cofnięciu uprawnień pracownikowi.
W przypadku śmierci pracownika należy zastosować podobne czynności. Warto sprawdzić, czy jest się w posiadaniu aktualnego kontaktu do rodziny, dzięki któremu będzie możliwe natychmiastowe odzyskanie ww. przedmiotów.
Należy rozważyć zmianę uprawnień dostępu (haseł, identyfikatorów, kart) do zasobów, danych, miejsc (stref), które odchodzący pracownik dzielił z innymi w ramach pracy zespołowej.
Aby podnieść świadomość operatorów IK o zagrożeniach wewnętrznych, warto stworzyć na poziomie systemu IK (sektora) bazę danych informacji o zagrożeniach wewnętrznych i incydentach z udziałem pracowników, podwykonawców lub gości oraz mechanizm bezpiecznej wymiany tych informacji. Baza prowadzona na poziomie centralnym mogłaby zawierać informacje zebrane z poziomu sektorowego. Anonimowe przykłady mogą pomóc w przeprowadzeniu dokładniejszej oceny ryzyka i wdrożeniu efektywniejszych środków ochrony.
Bardzo duże znaczenie dla skutecznego procesu zapewnienia bezpieczeństwa osobowego ma profilaktyka przeciwdziałania nadużyciom. Działania operatora takie jak promowanie etyki zawodowej, polityka uczciwości we wszystkich działaniach firmy, etyczny przykład kierownictwa oraz skuteczne mechanizmy kontrolne skutecznie zmniejszają ryzyko popełnienia świadomego działania niepożądanego przez pracownika.
Najważniejsze rekomendacje dotyczące zapewnienia bezpieczeństwa osobowego:
1. Oceń ryzyko zakłócenia funkcjonowania IK dla konkretnych stanowisk w strukturze organizacji.
2. Poświęć dużo czasu na sprawdzenie wiarygodności i kompetencji nowego pracownika.
3. Uświadamiaj organizację, że zagrożeniem może być każdy pracownik.
4. Zidentyfikuj i stwórz odpowiednie warunki kluczowemu personelowi.
5. Informuj (dział kadr) pozostałe komórki organizacyjne, w tym odpowiedzialne za bezpieczeństwo o zmianie przez pracowników zajmowanych przez nich stanowisk.
6. Nie zwlekaj z odebraniem praw dostępu pracownikom odchodzącym z organizacji.
Rekomendujemy uważną lekturę programu opracowanego przez RCB. Każdy menedżer ds. bezpieczeństwa powinien zapoznać się z całym załącznikiem, szczególnie z działami dotyczącymi zapewnienia bezpieczeństwa fizycznego, teleinformatycznego oraz planami ciągłości działania i odbudowy. Polecamy także lekturę wywiadu z dr Karoliną Wojtasik Rewolucja w IK. Powstanie RC 2.0 (a&s Polska 2/2023), który rzuca światło na kwestię ochrony infrastruktury krytycznej w naszym kraju. ⦁