Infrastruktura (nie?)krytyczna
Jacek Grzechowiak
Infrastruktura krytyczna to pojęcie dość powszechne. Należą do niej obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców.
Kwestie te reguluje to ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Przepisy prawa w tym zakresie wskazują kierunek wynikający z potrzeby uregulowania tej tematyki na poziomie państwowym. Infrastruktura krytyczna jest definiowana w różny sposób w różnych krajach, niemniej jest związana z krytycznym wpływem na społeczeństwo i ekonomię państwa. W gospodarkach rozwiniętych są nią nie tylko systemy i obiekty, ale także zasoby wirtualne. Takie podejścia jest też bliższe biznesowi, którego zasoby nie muszą mieć waloru materialnego, ważne, by miały krytyczne znaczenie przede wszystkim dla ciągłości biznesu.
W przedsiębiorstwach infrastruktura krytyczna jest postrzegana jako ta część zasobów, której uszkodzenie lub zniszczenie może doprowadzić do kryzysu organizacji. Z reguły wyróżnia się jej zasadnicze komponenty Safety – Mission – Business – Security. Ponieważ poruszamy się w obszarze security, a jednocześnie security jest procesem wspierającym zasadniczą działalność przedsiębiorstwa, ograniczę się do tego aspektu.
Truizmem jest twierdzenie, iż wszystkie obszary działalności security mają wpływ na biznes i infrastrukturę krytyczną. Spójrzmy więc na przykładowe możliwości wpływu ochrony (security) na infrastrukturę krytyczną, widzianą przez pryzmat poszczególnych jej komponentów.
Safety
Zespół pracowników ochrony jest rozlokowany w całym obiekcie, ma więc możliwość obserwowania zjawisk, które mogą mieć wpływ na bezpieczeństwo operacji. W zakładach produkcyjnych obecnie to właściwie standard. Pracownicy ochrony ujawniają dużą część zjawisk mogących spowodować incydent w bezpieczeństwie. Przykładowo wyciekający olej silnikowy, zeskakiwanie z naczepy (bez użycia drabinki) czy jazda z niezabezpieczonym lub niewłaściwie zabezpieczonym ładunkiem są dziś ujawniane właśnie przez pracowników ochrony i dzięki nim nie dochodzi do wypadków przy pracy.
Innym obszarem jest bezpieczeństwo w wymiarze przeciwpożarowym i (lub) przeciwwybuchowym. W zakładach przemysłowych może przebywać dzisiaj wiele osób z zewnątrz, np. pracownicy agencji pracy tymczasowej czy podwykonawcy. Wiedza tych osób oraz ich podejście do kwestii bezpieczeństwa ppoż. i przeciwwybuchowego są różne. Wynika to z kilku powodów. Pierwszym jest słaba znajomość obiektu, w którym wykonują pracę, nie mogą więc mieć wystarczającej wiedzy o newralgicznym charakterze miejsc, w których przebywają. Nie zawsze widać np. infrastrukturę gazową czy hydrauliczną, podatną na zagrożenia pożarowe w stopniu ponadprzeciętnym. Każdy wie, że palenie jest zabronione, ale życie pokazuje, że mimo takich – wydawałoby się oczywistych – wymogów nie wszyscy stosują się do tego zakazu, nie bacząc, że stoją np. przy żółtej rurze gazowej. Rola ochrony jest ważna, a właściwe postawienie zadań pracownikom ochrony przynosi dobre efekty. Pracownicy ochrony są lepiej przygotowani do obcowania z uzbrojeniem i tam, gdzie ryzyko pojawienia się niewybuchów jest ponadprzeciętne, to właśnie oni bardzo często ujawniają przedmioty niebezpieczne.
Duża rotacja personelu, niska świadomość bądź nieidentyfikowanie się pracowników tymczasowych z zakładem, w którym wykonują swoje obowiązki, potęgują ryzyko zagrożeń.
Mission
Systemy z tej grupy koncentrują się na zapewnieniu ciągłości i ukończenia określonego procesu. Procesy natomiast są determinowane charakterem organizacji, a ich podatność na zakłócenia jest wielowymiarowa. I tutaj ochrona ma także swoją rolę do odegrania. Jedną z częstszych przyczyn nieukończenia procesu jest brak, uszkodzenie lub zniszczenie zasobu krytycznego. Zasób nawet niewielkiej wartości materialnej może z czasem nabrać znaczenia krytycznego. Typowym przykładem zasobu krytycznego mogą być kule używane w młynach przemysłowych do mielenia kamienia, które się zużywają. Takich przykładów jest wiele w każdej branży. Z mojego ponad 20-letniego doświadczenia w branży ochrony wiem, że wszystkie mają co najmniej jeden zasób wspólny. Są nim klucze. Klucze, które giną, są kradzione albo wręcz przeciwnie są w nadmiarze i nikt ich nie kontroluje. W efekcie nie można np. otworzyć na czas pomieszczenia lub obiektu i mamy problem. Wyobraźmy sobie duży sklep otwierany z opóźnieniem – straty łatwo obliczyć. Jeśli jednak będzie częściej otwierany z opóźnieniem, straty będą dotyczyły nie tylko jednego dnia, a klienci odejdą do konkurencji. Nadmiar kluczy, zwłaszcza niekontrolowany, także może prowadzić do problemu. Przytoczę historię sprzed wielu lat, która wydarzyła się w jednym z wielkopolskich przedsiębiorstw. Istotne, ale drogie urządzenie parametryzujące kilka obrabiarek znajdowało się w pomieszczeniu zamykanym na klucz. Ponieważ sprzęt musiał być dostępny dla kilku osób na każdej zmianie, było więc ponad 30 kluczy. Zdarzyło się, że gdy był potrzebny, żadnego nie było na miejscu. Banalne? Niekoniecznie – postój trwał 4 godziny, trzeba było skontaktować się z wieloma osobami, ponieważ ktoś (nie wiedziano kto) zmienił zamek.
Innym przykładem, z którego „krytycznym znaczeniem” wielu z nas miało do czynienia, jest system obsługi bagażu na lotnisku. Uszkodzenie systemu powoduje, że pasażerowie, którzy wylądowali, nie mogą odebrać swoich walizek, a bagaż tranzytowy nie może zostać skierowany we właściwe miejsce. Również w przypadku takich systemów ochrona ma swoją rolę do odegrania, przede wszystkim w zakresie zabezpieczenia przed nieuprawnionym dostępem do elementów systemu. Lotniska z zasady są dobrze zabezpieczone, ale podobnie funkcjonują linie kompletacji zamówień w centrach logistycznych, a one bardzo rzadko są traktowane jako infrastruktura krytyczna.
W identyfikowaniu infrastruktury krytycznej kluczowe znaczenie ma cecha zasobu, jaką jest krytyczny wpływ na ciągłość działania firmy. Nie jej wartość czy innowacyjność, ale właśnie ta cecha, to ona bowiem może spowodować przestoje. A skoro tak, to identyfikując zasoby krytyczne, powinniśmy przede wszystkim patrzeć na ich wpływ na ciągłość biznesu. Bywając w różnych miejscach, dość często spotykam mienie, które ze względu na wiek jest już niewiele warte, księgowo ma wartość zerową, a mimo to, patrząc przez pryzmat ciągłości biznesu, ma ono wartość wyjątkową. Kilka miesięcy temu miałem okazję zobaczyć urządzenie iPAQ, którego nie widziałem już chyba dziesięć lat. Jego dzisiejsza wartość jest zerowa, jednak steruje ono istotnym procesem produkcyjnym i gdyby zginęło, pojawiłby się poważy problem – miejsce, w którym się znajduje, to dzisiaj zasób krytyczny. Firma na szczęście jest tego świadoma i ma zarówno plan zarządzania kryzysowego, jak i plan modernizacji. Wkrótce ten element procesu nie będzie już infrastrukturą krytyczną. Przykład ten skłania mnie do ciągłego szukania „bezcennego mienia bez wartości”.
Business
Systemy biznesowe są skierowane na uniknięcie nadmiernych wydatków lub strat. Obecnie są to przede wszystkim systemy IT. Serwerownie główne i zapasowe, powszechnie traktowane jako zasoby krytyczne, z reguły są chronione zarówno fizycznie, technicznie, jak i proceduralnie. Jednak łańcuch jest tylko tak mocny, jak jego najsłabsze ogniwo. I tu pojawia się sporo takich potencjalnie słabych ogniw, poczynając od haseł przyklejonych do monitora, a kończąc na wydrukach zostawianych w drukarkach po zakończeniu pracy. Mimo powszechnej informatyzacji papier jest ciągle obecny w życiu biznesowym. Wiele firm nadal przyjmuje zamówienia faksem, ponieważ klienci takie urządzenia wciąż użytkują. Infrastruktura krytyczna może się wówczas sprowadzać do kilku kartek, o ile (1) zawierają odpowiednie informacje, a (2) w ich sąsiedztwie jest osoba, która takie zamówienia po prostu wrzuci do kosza. W efekcie takie informacje, jak cena i rabat (1) mogą się znaleźć w posiadaniu konkurencji, a zamówienia złożone po zakończeniu pracy (2) mogą zniknąć, stwarzając poważy problem biznesowy.
W tym kontekście właściwe zdefiniowanie i ochrona infrastruktury krytycznej łączy się z przeciwdziałaniem szpiegostwu. To zagrożenie jest wciąż aktualne. Jako przykład może posłużyć ujawniona w lutym 2014 r. kradzież informacji poufnych z jednego ze znanych zakładów przetwórstwa mięsnego w województwie wielkopolskim. W wyniku przeprowadzonego postępowania wyjaśniającego stwierdzono, iż osoba pracująca w tej firmie przekazywała konkurencyjnemu przedsiębiorstwu informacje dotyczące produkcji, sprzedaży i kontrahentów. Szczególnego znaczenia nabiera w tym aspekcie ochrona wszelkich miejsc dostępu do systemów controllingu finansowego i ERP (Enterprise Resource Planning – planowanie zasobów przedsiębiorstwa), gromadzących informacje, które należy zakwalifikować jako zasób krytyczny.
Systemy biznesowe o znaczeniu krytycznym to także takie, które mają wpływ na zarządzanie własnością intelektualną i reputację firmy. W pierwszym przypadku mamy szerokie spektrum, poczynając od miejsc prowadzenia spotkań biznesowych, które coraz częściej są traktowane jako infrastruktura krytyczna właśnie z powodu „niekontrolowanego ulotu informacji”. Ich ochrona najczęściej sprowadza się do okresowego sprawdzania pomieszczeń pod kątem ewentualnych podsłuchów. W tym przypadku zasobem krytycznym jest jednak przede wszystkim człowiek, którego należy odpowiednio wyedukować, a także archiwa (informatyczne i tradycyjne).
Z perspektywy wizerunku firmy spektrum zasobów krytycznych jest równie szerokie, ponownie poczynając od miejsc dyskutowania newralgicznych projektów. Impreza integracyjna jednej z dużych firm wywołała przed laty szeroką dyskusję na temat zachowań zarządu i zmusiła PR oraz sam zarząd do zajmowania się tematem wizerunku przez wiele miesięcy. Można polemizować, czy miejsce organizacji imprezy integracyjnej należy traktować jako infrastrukturę krytyczną, czy też nie. Jedno jest pewne – jeśli z tego miejsca mogą wydostać się informacje, które zmuszą firmę do poniesienia dużych nakładów na poprawę wizerunku, a jednocześnie podważą zaufanie kontrahentów, to szef bezpieczeństwa ma tu dużo do zrobienia.
SECURITY
W systemach zabezpieczeń zawsze są przetwarzane dane wrażliwe. Z tego powodu dostęp do urządzeń powinien być szczególnie ograniczany, a bezpieczeństwo transmisji sygnału, jego rejestracji oraz zasilanie zasadnicze i awaryjne odgrywają kluczową rolę. Traktowanie ich jako infrastruktury krytycznej jest oczywiste. To samo dotyczy dostępu do materiału zarejestrowanego. Powinien być kontrolowany i limitowany, a uprawienia do kopiowania nadawane rozważnie. Oczywiście nie zabezpieczy to nas np. przed skopiowaniem za pomocą telefonu komórkowego, ale jeśli dobór personelu będzie właściwy, ryzyko takich incydentów znacznie spadnie. Bardzo ważną sprawą w systemach zabezpieczeń jest pozostawianie w nich kodów fabrycznych. Ciekawym przykładem jest tu portal niebezpiecznik.pl, który co prawda pokazuje sejf hotelowy, ale co do zasady problem dotyczy wszystkich systemów.
Ostatnią sprawą jest traktowanie wiedzy pracowników ochrony jako zasób krytyczny. Wiedzy nie tylko na temat regulacji prawnych, ale także – a może przede wszystkim – umiejętności posługiwania się systemami zabezpieczeń i znajomości taktyki ochrony. W tym upatruję największych wyzwań. Ponownie posłużę się metaforą o najsłabszym ogniwie łańcucha – dobrze wykonana praca w zakresie identyfikacji zasobów krytycznych, połączona z dobrym ich zabezpieczeniem może zostać zniweczona niskim poziomem wiedzy zespołu ochrony.