IK2, czyli o krytycznej infrastrukturze infrastruktury krytycznej
Jacek Grzechowiak
Infrastruktura krytyczna jest miejscem, w którym ogniskuje się wiele zagrożeń, a większość z nich ma najwyższy poziom wpływu na organizację i społeczeństwo. Stąd obiekty IK podlegają tak dużemu zainteresowaniu, są wnikliwie obserwowane przez odpowiednie instytucje oraz podlegają większym, niż inne obiekty, obostrzeniom w zakresie ochrony.
Wiele krajów prowadzi aktywne działania w zakresie zarządzania bezpieczeństwem infrastruktury krytycznej, włączając w nie specjalistów z wielu dziedzin, reprezentujących różnych uczestników procesu zarządzania bezpieczeństwem. Ciekawym przykładem są w tym obszarze Niemcy. Zorganizowany tam system zapewnia podstawy do efektywnej współpracy między wszystkimi stronami zaangażowanymi w proces zarządzania bezpieczeństwem, postrzeganej jako część procesu zarządzania ryzykiem w dziedzinie ochrony ludności. System skupia zarówno rząd federalny, kraje związkowe, gminy, operatorów IK, jak i organizacje obywatelskie, np. straż pożarną1). Model ten jest swego rodzaju platformą, na której funkcjonują instytucje zarówno publiczne, jak i prywatne, dostawcy i odbiorcy usług ochrony, a także interesariusze, czyli przede wszystkim przedstawiciele społeczeństwa. Rozwiązania formalne i praktyczne tworzone w ramach prac tego gremium bazują zarówno na analizach, jak i danych scenariuszowych. Dzięki temu można głębiej analizować przyczyny i skutki incydentów w bezpieczeństwie infrastruktury krytycznej, przy większym zaangażowaniu społeczeństwa, zwłaszcza skupionego wokół struktur lokalnych. Rozwiązanie ma jeszcze jedną ważną zaletę, mianowicie tak szerokie gremium, głównie praktyków, daje dużo większą szansę na identyfikację słabych punktów systemu ochrony, zwłaszcza jeśli – przynajmniej pozornie – nie są one zlokalizowane w samym procesie bezpieczeństwa.
Jak wiadomo, łańcuch jest tak mocny, jak jego najsłabsze ogniwo. W związku z tym panuje powszechne przekonanie, że głównym celem działów, pionów bezpieczeństwa jest tworzenie jednakowo silnych ogniw tego łańcucha. Jednak dużo ważniejszym zadaniem jest zdefiniowanie wszystkich elementów systemu, także tych, a może nawet przede wszystkim tych, które są zlokalizowane poza strukturami i procesami bezpieczeństwa, a mają na nie choćby najmniejszy wpływ. To właśnie w tych miejscach z reguły łańcuch okazuje się bardzo słaby albo wręcz przerwany, dlatego szeroka reprezentacja różnych środowisk w procesach zarządzania bezpieczeństwem jest tak ważna i tak efektywna.
Model niemiecki od lat inspiruje mnie do szukania przysłowiowej dziury w całym i prowadzi wciąż do zaskakujących wniosków. Popatrzymy więc na te elementy, które mogą być krytycznymi elementami bezpieczeństwa infrastruktury krytycznej. Najpierw chciałbym poświęcić kilka słów źródłom incydentów i ich „nietypowemu” postrzeganiu. Artykuł musi być materiałem niewielkim, więc przedstawię tylko próbkę zagrożeń, jakie pojawiają się w tym obszarze, aby jedynie zainspirować innych do rozważań w tym zakresie.
Jak powszechnie wiadomo, źródła incydentów dzielimy na trzy kategorie:
- zagrożenia naturalne,
- błąd człowieka, awaria techniczna,
- zagrożenia kryminalne, terroryzm.
Bardzo często mamy jednak jeszcze czwartą przyczynę incydentów – miks, mieszankę wszystkich trzech przyczyn, w różnych proporcjach rzecz jasna. Taka mieszanka zawsze będzie groźniejsza od jej elementów składowych nie tylko dlatego, że będzie je łączyła, ale również z powodu konieczności tworzenia rozwiązań niekonwencjonalnych, zapewniających odpowiedź na kumulację jakże różnych czynników. A przy tym nawet jedno zagrożenie może mieć w praktyce różne oblicza.
Zagrożenia naturalne są najczęściej postrzeganie przez pryzmat stworzenia zagrożenia dla obiektu lub mienia przez siły natury, np. powódź i jej niszczący wymiar. To oczywisty, ale czy jedyny aspekt? Czy zagrożenia naturalne zawsze powinny być główną perspektywą? Spójrzmy szerzej – anomalie atmosferyczne zawsze powodowały problemy, jednak coraz częściej przybierają one charakter nadzwyczajny. Dokładnie tak, jak w roku 1997, kiedy na terenie południowo-zachodniej Polski odnotowano opady przekraczające w ciągu kilku dni nawet 10-krotnie miesięczną sumę, a gwałtownie wzbierająca fala opadów powodowała paraliż procesów, także procesów bezpieczeństwa. Spójrzmy zatem na tę przykładową powódź przez pryzmat trwałości systemu ochrony. Inspiracją do rozważania tej kwestii od lat są dla mnie wydarzenia, które miałem możliwość obserwować w różnych miejscach południowo-zachodniej Polski podczas powodzi tysiąclecia.
W sytuacji, gdy cała okolica ewakuuje się przed powodzią, trudno oczekiwać, że ochrona pozostanie na posterunkach. Faktycznie, trudno oczekiwać. Stan siły wyższej szybko przychodzi na myśl i jest komunikowany równie szybko, mimo że niekiedy jeszcze daleko do faktycznej siły wyższej. Działania zostają uruchomione, ale mienie pozostaje na terenie i niestety zaczyna być niechronione.
W takich sytuacjach powstają ponadprzeciętne zagrożenia, ponieważ w myśl maksymy „okazja czyni złodzieja” zawsze znajdą się tacy, którzy zechcą wykorzystać okazję. Powódź dla jednych jest tragedią, dla innych – jakkolwiek by to zabrzmiało – okazją. Pojawienie się złodziei, i to w dużej liczbie, ze specjalistycznym wyposażeniem nie jest niczym nadzwyczajnym. Ich kreatywność jest niesamowita. Jeśli złodziej nie ma narzędzi, znajdzie je, zrobi albo po prostu ukradnie. Jest przecież złodziejem, to dla niego norma. Musimy się z tym pogodzić. Takie są reguły tej walki, że złodzieje nie uznają żadnych reguł. Tak dzieje się u nas i w krajach sąsiednich. To samo zdarzało się i zdarza wciąż podczas huraganów w Stanach Zjednoczonych. Doświadczenia z Florydy i Kalifornii są bardzo ciekawym materiałem analitycznym. Na tyle poważnym, że przedstawiane przez rządowe agencje materiały nt. planów ewentualnościowych zawierają stosowne rekomendacje w tym zakresie2). Trzeba to mieć na względzie.
I tu właśnie jest ten drugi aspekt powodzi. Musi być ona rozpatrywana także w kontekście wstrzymania ochrony obiektu. A skoro tak, wstrzymanie ochrony powinno być jak najmniej dotkliwe. Przede wszystkim najkrótsze, ale także z zachowaniem możliwie największej liczby funkcji ochronnych. To właśnie tutaj pojawiają się kwestie zasilania awaryjnego, ale nie tylko sensu stricto, ale także jego odporności nawet na taki kryzys. A więc nie tylko liczba godzin podtrzymania napięcia systemów (z transmisją na zewnątrz – ta kwestia znacznie wykracza poza zakres tego artykułu), ale też lokalizacja elementów zasilania awaryjnego, odporność agregatów oraz linii napięciowych i sygnałowych na zalanie itd. Te sprawy powinny pojawić się już na etapie projektowania obiektu, wtedy będzie możliwe optymalne zbudowanie systemu. Później będzie znacznie drożej.
Kwestia zasilania systemów alarmowych jest bardzo ważna i – jak dowodzą choćby najświeższe incydenty – newralgiczna. Należy ją rozpatrywać szeroko, detalicznie, naprawdę szukając dziury w całym. Przykładem może być niedawne włamanie do Galerii „Zielone Sklepienie” w Dreźnie, gdzie sprawcy najpierw zneutralizowali zasilanie, które – jak wynika z doniesień medialnych – znajdowało się w strefie niechronionej3). Kwestia ta co do zasady dotyczy także innych elementów, przede wszystkim newralgicznych elementów zasilania w energię elektryczną, ale nie tylko, bo przecież głównym medium może być paliwo, gaz czy nawet woda. Urządzenie odcinające strategiczne medium bardzo często jest zlokalizowane na zewnątrz obiektu. I niestety zazwyczaj jest chronione słabiej, a nawet dużo słabiej, niż reszta obiektu. Plany ochrony bardzo często nie wspominają nic na ten temat (sic!). Nawet trwające obecnie prace nad nowelizacją ustawy o ochronie osób i mienia jakby nie dostrzegają tego problemu. A to jeden z najpoważniejszych błędów, jakie są dziś popełniane, na poziomie zarówno branży ochrony, zarządców obiektów, jak i administracji państwowej.
Najdalszy taki punkt odcięcia, jaki udało mi się znaleźć, był zlokalizowany trzy kilometry od obiektu, pod śmietnikiem na terenie obiektu zarządzanego przez zupełnie inną firmę. Dowiedziałem się o tym przypadkiem, od pewnego emeryta, który jako jedyny w okolicy pamiętał czasy budowy obiektu. Pewnie nie jestem rekordzistą w tym zakresie. Krytyczny element nie był znany. Po tej konkluzji z ust prezesa zarządu padło bardzo budujące pytanie: Czy to jedyny element, o którym nie wiemy? Dalej poszły działania. I o to chodzi w planach ewentualnościowych, w ćwiczeniach scenariuszowych, w audytach i w zarządzaniu bezpieczeństwem.
Kwestia zabezpieczenia newralgicznych dla bezpieczeństwa miejsc ma także znaczenie z punktu widzenia zagrożeń kryminalnych. Należy bowiem pamiętać, że zagrożenia kryminalne, w tym terrorystyczne, ale także zagrożenia wynikające z awarii wywołanych błędem człowieka lub awarii technicznej nie muszą mieć źródła w obiekcie, aby na niego oddziaływać. Mogą pojawić się w obiektach sąsiednich i być równie niebezpieczne, np. z powodu rozprzestrzeniającego się pożaru, spadających szczątków po eksplozji ładunku wybuchowego czy też utraty zasilania w wyniku uszkodzenia linii energetycznych poza terenem obiektu. Innym scenariuszem jest wystąpienie kilku zdarzeń w krótkim odstępie czasu, mogących powodować wykładniczy wzrost intensywności zagrożenia z powodu uniemożliwienia lub utrudnienia działań ratowniczych lub koncentracji zasobów ratowniczych w miejscu pierwszego – niekiedy pozornego – ataku4).
Dlatego zabezpieczenie najważniejszych miejsc czy zasobów nie może przesłaniać nam perspektywy całego obiektu, gdyż początek incydentu może być zupełnie gdzie indziej. Bardzo ważną funkcję pełnią ćwiczenia scenariuszowe. I, o pewnie nie będzie dla większości czytelników zaskakujące, im bardziej niekonwencjonalny (nieraz wręcz absurdalny) scenariusz, tym bardziej zaskakujące, niekiedy przykre wnioski z jego realizacji. Przypominam sobie jeden z projektów, w którym założyliśmy wejście „na plecach uprawnionych” do strefy newralgicznej. Klient stwierdził, że szkoda na to czasu, bo „ludzie są przeszkoleni”, bo „tam wchodzą tylko nieliczni” albo „właściwie to tylko kilka osób wie, gdzie to jest”. Umówiliśmy się więc, że zrealizujemy to jako wartość dodaną do projektu, w ramach doskonalenia własnych umiejętności. Wystarczyły trzy dni jazdy jednym autobusem z pracownikami obiektu, aby nasz audytor został uznany za „swojego” i wszedł do serwerowni bez przepustki. Bez żadnej przepustki. Wszedł więc na teren obiektu, następnie do budynku, wreszcie do samej serwerowni. Pokonał więc trzy poziomy zabezpieczeń. A test był wykonywany metodą „black box” – nasz zespół nie znał obiektu, nie znał lokalizacji serwerowni, nie znał zasad wydawania przepustek. Przypadek? Być może. Pozostała tylko dość uciążliwa świadomość, że przecież ten scenariusz miał być absurdalny…
Krytycznych elementów w obszarze bezpieczeństwa obiektów będących infrastrukturą krytyczną jest wiele. Działy bezpieczeństwa z reguły poświęcają sporo czasu na ich zdefiniowanie i opracowanie procesów zarządzania nimi. Jednak często brakuje wśród nich kilku elementów, wydawałoby się „poza wszelkimi podejrzeniami”. Chciałbym zwrócić uwagę na trzy najczęściej spotykane i jednocześnie najczęściej niedoceniane.
Jednym z najczęściej lekceważonych elementów jest umundurowanie i oznakowanie pracowników ochrony. Mundur jest krytycznym elementem z tego względu, iż osoby spoza zespołu ochronnego traktują osobę w mundurze ochrony jako uprawnioną do wejścia do wielu stref, do których oni sami nie mają uprawnień dostępowych. Ponadto obecność osób w mundurach ochrony w takich miejscach nie wzbudza podejrzeń. Teoretycznie sprawa jest oczywista, bo nawet uregulowana prawnie. Czy jednak na pewno jest ona oczywista?
Przyjrzałem się kilku obiektom – dość często pracownicy ochrony noszą po prostu ubiór z napisem „Ochrona”. Zdarzają się rozbieżności pomiędzy oznakowaniem firmy ochrony na umundurowaniu a danymi na legitymacji (na mundurze jest inna firma niż w legitymacji). Ale nikt się tym nie przejmuje, a weryfikacja tego w praktyce jest sporadyczna (jeśli w ogóle ktoś na to zwróci uwagę). Co więcej, zarządzanie mundurami także funkcjonuje sporadycznie, a na serwisach aukcyjnych można je kupić bez problemu. Przypadki użycia munduru do dokonania przestępstwa są odnotowywane, więc każdy zarządzający obiektem (nie tylko IK) powinien podchodzić do sprawy poważnie. Jeśli jednak „standardem” jest, że dane na mundurze i w Legitymacji Pracownika Ochrony lub Legitymacji Kwalifikowanego Pracownika Ochrony nie są spójne, to potencjalny intruz nie musi się specjalnie wysilać, aby stworzyć fałszywą legitymację. W efekcie problem z infiltracją obiektu, a nawet dokonaniem sabotażu staje się dużo poważniejszy.
Druga sprawa to zakres obowiązków pracownika ochrony, który coraz częściej staje się krytycznym elementem systemu bezpieczeństwa. Przykładem mogą być prośby zarządców nieruchomości o wykonywanie przez pracowników ochrony również innych czynności, takich jak dystrybucja korespondencji, sprzątanie, odśnieżanie, a nawet tankowanie pojazdów. Jest rzeczą oczywistą, że podejmowanie czynności niezwiązanych z ochroną powoduje, iż pracownik ochrony nie wykonuje zadań ochronnych. Równie oczywiste jest, że angażowanie do tych czynności pracownika ochrony całkowicie zmienia strukturę ochrony. Oczywiście in minus. Ponadto pracownik ochrony chodzący bez celu przez dłuższy czas w strefach, gdzie nie powinno go być, nie zwraca niczyjej uwagi. Znane informacje o incydentach wskazują na ważną rolę takich praktyk w ułatwianiu przeprowadzania incydentów.
Trzecim krytycznym elementem, na który chciałbym zwrócić uwagę, są klucze. Są tym elementem, który może zarówno umożliwić dostęp osobie nieuprawnionej, jak i uniemożliwić dostęp osobie upoważnionej. W obu przypadkach konsekwencje mogą być bardzo poważne. Pierwszy przypadek dotyczy gospodarowania kluczami, zwłaszcza w sytuacjach ich kopiowania, zwrotu przez osoby kończące pracę w organizacji czy ich utraty w wyniku zagubienia lub kradzieży. Obie sytuacje często mają nadawany niski priorytet, co w praktyce prowadzi do utraty kontroli nad kluczami, a tym samym nad prawami dostępu do budynków i pomieszczeń. Drugi przypadek jest najczęściej efektem niekontrolowanej wymiany zamków, której konsekwencją jest posiadanie przez zespół ochronny niewłaściwych kluczy. Problem pojawia się podczas awarii technicznych, alarmu systemu wykrywania i sygnalizacji pożarowej czy podczas samego pożaru, kiedy to brak dostępu do pomieszczeń uniemożliwia lub utrudnia usunięcie awarii, weryfikację alarmu pożarowego czy szybkie podjęcie akcji gaśniczej.
Ostatnie trzy elementy mogą być przykładem erozji systemu ochrony, a występując równolegle, bardzo często powodują nawet jego destrukcję.
1) Services for modern civil protection, Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bonn 2017, za: https://www.bbk.bund.de/EN/Publications/publications_node.html 2) Więcej: https://www.ready.gov/business/implementation/emergency 3) https://www.theguardian.com/world/2019/nov/25/thieves-steal-priceless-treasures-dresden-green-vault-museum 4) Protection of Critical Infrastructures – Baseline Protection Concept Recommendation for Companies, Das Bundesministerium des Innern, für Bau und Heimat, Berlin, za: https://www.bmi.bund.de/SharedDocs/downloads/EN/publikationen/Basisschutzkonzept_kritische_Infrastrukturen_en.pdf?__blob=publicationFile&v=1