Wojna w Ukrainie, której rezultaty mają dalekosiężne konsekwencje dla bezpieczeństwa na świecie, spowodowała, że Polska stoi przed koniecznością wzmocnienia ochrony swojej infrastruktury krytycznej. Pilnie potrzebne są rozwiązania wspierające opracowane przez państwa Europy.
Janusz Syrówka
Sytuacja na wschodzie naszego kraju oznacza konieczność zmierzenia się takimi wyzwaniami jak sabotaż, szpiegostwo, ataki cybernetyczne i być może konieczność zmierzenia się utratą pracowników, którzy zostaną zmobilizowani do obrony kraju. Skuteczna ochrona wymaga szerokiego zaangażowania finansowego, organizacyjnego, a także pełnego wsparcia ze strony zarządu i pracowników firm energetycznych.
O co chodzi – czyli cały ten strach
Konflikt w Ukrainie pokazuje skutki tak zwanych działań kinetycznych, czyli potocznie mówiąc, wojny pełnoskalowej i tym wszystkim, co taka wojna ze sobą niesie: atakami bombowymi, wjazdem czołgów itp. Jak realne jest widmo takiej wojny w przypadku Polski – nie wiem. Jest wielu ekspertów, którzy w tej dziedzinie są bardziej kompetentni. Mam jednak wrażenie, że w odniesieniu do konfliktu w Ukrainie łatwo wpaść w pułapkę tego, że szykujemy się do wojny, która już była. Obawiam się, że przed nami trudne lata nacechowane niejednoznacznością.
Destabilizacja przed nami
Wspólnym mianownikiem działań, jakich moim zdaniem możemy się spodziewać, jest destabilizacja, lęk i podsycanie niepokojów społecznych. Jest wiele metod, aby to osiągnąć. Do tej pory doświadczaliśmy głównie działań dla uproszczenia nazywanych cyberatakami oraz kampanii dezinformacyjnych w mediach społecznościowych. Prawdopodobnie na tym się nie skończy.
Działania w strefie wirtualnej mogą zostać uzupełnione o przedsięwzięcia w rzeczywistości fizycznej. Ich cechą wspólną będzie jednak to, że sprawcy bądź inspiratorzy pozostaną trudni do zidentyfikowania. Idealną platformą do prowadzenia takich działań będzie zapewne radykalizujący się wszelkich maści aktywizm: od ekologów, przez rolników, po ruchy o podłożu politycznym.
Infrastruktura krytyczna jako atrakcyjny cel
Infrastruktura krytyczna to zawsze atrakcyjny cel ataków. Pozbawianie ludności dostępu do towarów i usług z perspektywy atakującego wywołuje pożądane skutki. Takie działania powodują wymierne straty, sieją niepokój w społeczeństwie i podważają zaufanie do państwa, które może wydawać się bezbronne i nieudolne wobec zagrożeń. Umiejętne podsycanie zagrożenia prędzej czy później sprowokuje do zwiększenia wysiłków na rzecz podniesienia bezpieczeństwa.
To oczywiście dobrze, ale pamiętajmy, że w czasie pokoju źródłem zagrożeń są głównie siły natury i poważne awarie. Rozszerzając katalog zagrożeń, automatycznie zwiększamy koszty prowadzenia działalności. To wiąże się z pogorszeniem konkurencyjności względem tych, którzy takich środków nie muszą podejmować. Pojawia się więc kolejne wyzwanie, jak nie dać się wmanewrować w spiralę obciążeń i wydatków, które będą podsycane strachem, a nie chłodną oceną ryzyka.
Działania na rzecz bezpieczeństwa jako obciążenie
Zabezpieczenie obiektów infrastruktury krytycznej wiąże się z wysokimi kosztami finansowymi i organizacyjnymi, co dla wielu przedsiębiorstw stanowi znaczne obciążenie. Pomimo to zaniedbanie tych działań może przynieść jeszcze większe straty w przypadku wystąpienia kryzysu. Przez ostatnie lata, które w naszej części świata były względnie spokojne, forsowana była teza, że bezpieczeństwo działalności powinno podlegać takim samym prawidłom jak pozostałe procesy.
Powodowało to szukanie tzw. wartości dodanej, i to w krótkiej perspektywie czasowej. Pojawiły się nawet nowe określenia struktur bezpieczeństwa, takie jak loss prevention, profit conservation i tym podobne. W tle krążyła też teza o „bezszwowej” integracji procesów biznesowych z procesami bezpieczeństwa. Takie podejście do kwestii bezpieczeństwa może doprowadzić do całkowitej utraty kontaktu z realiami. To oczywiście bardzo ciekawe pomysły i nie do końca pozbawione sensu. Musimy jednak spojrzeć prawdzie w oczy i otwarcie powiedzieć – kwestie bezpieczeństwa przeszkadzają w biznesie.
Problem w tym, że tę prawdę należy zaakceptować, a nie wypierać jej. Nie można udawać, że wprowadzenie środków bezpieczeństwa czyni życie łatwiejszym. Dzieje się tak zarówno w organizacjach, jak i innych obszarach życia. Montujemy w naszych domach drzwi antywłamaniowe, instalujemy alarmy, które bardzo często są dość uciążliwe. Lecąc na wakacje, poddajemy się na lotnisku drobiazgowej, niewygodnej, a często nawet upokarzającej kontroli bezpieczeństwa. Nikt z nas nie mówi, że to ma się opłacać tu i teraz, i natychmiast zwrócić. Nawet, jeśli tak tego nie nazywamy, prowadzimy kalkulację ryzyka i akceptujemy te środki jako niezbędne do zapewnienia poczucia bezpieczeństwa.
Realizujemy potrzebę bycia bezpiecznym jako najważniejszą po zaspokojeniu potrzeb fizjologicznych. Wszystko to doskonale działa do momentu, gdy nie wchodzimy w nasze role w organizacji – pracowników menedżerów, prezesów. Tutaj wymiar bezpieczeństwa w magiczny sposób się zniekształca.
Bezpieczeństwo w firmie kosztuje
W firmie jest tak samo jak w prywatnym życiu. Bezpieczeństwo kosztuje, przeszkadza, wymaga uwagi, ćwiczenia, doskonalenia. Tak jak w życiu możemy w tej dziedzinie nie podejmować żadnych działań, licząc na szczęście. Wyobrażam sobie organizację, która uzna, że nic z bezpieczeństwem robić nie trzeba. Jeśli to jest świadoma decyzja najwyższego kierownictwa, niech tak będzie. W przypadku infrastruktury krytycznej takie podejście jest nie do przyjęcia. Tu nie chodzi tylko o ochronę zasobów firmy i jej kondycji finansowej w razie wystąpienia kryzysu.
Odpowiedzialność dostawców infrastruktury krytycznej
Infrastruktura krytyczna wspiera dostawy kluczowych produktów i usług dla społeczeństwa. Od jej bezpieczeństwa niejednokrotne zależy fizyczne przetrwanie ludzi. W Polsce konieczne jest przyspieszenie procesu identyfikacji infrastruktury krytycznej i większe zaangażowanie państwa w tym zakresie. Potrzebne są przepisy skuteczniej egzekwujące stosowanie właściwych środków zabezpieczeń.
Nie chodzi tylko o to, aby państwo stało się żandarmem siłą wymuszającym właściwy poziom ochrony. Państwo powinno wykazać, że zabezpieczenie infrastruktury krytycznej to kwestia przetrwania jako państwa, a operatorzy infrastruktury są bardzo ważni, ale z pewnością nie jedyni w całym łańcuchu działań niezbędnym do jej właściwego zabezpieczenia i odtworzenia.
Konieczność zaangażowania wszystkich pracowników
Wracając do poziomu firmy należącej do IK, odporność musimy budować poprzez zaangażowanie wszystkich pracowników. Można to robić na różne sposoby. Pamiętajmy jednak o tym, że wyzwaniem jest zaangażowanie ludzi w zadania, które nie muszą być dla nich atrakcyjne. Pracownicy funkcjonują w oparciu o wyznaczone cele, które sprowadzają się do skutecznego zarabiania pieniędzy. Każda inicjatywa, która ich od tego celu oddala, będzie przyjmowana z niechęcią, np. dodatkowe ćwiczenia, aktualizacja planów kryzysowych itp.
Obawiam się, że w kwestiach „twardego” bezpieczeństwa, czyli takiego, jakie tyczy się IK, rozwiązania bazujące na budowaniu zaangażowania poprzez ruch oddolny się nie sprawdzą. W takich przypadkach niezbędne będzie wyraźne wyrażenie woli najwyższego kierownictwa i jego własny przykład pokazujący zaangażowanie.
Rewizja polityk i budowanie kompetencji
Organizacje muszą zrewidować polityki zarządzania ciągłością działania i zarządzania kryzysowego, co obejmuje aktualizację procedur i budowanie kompetencji, z naciskiem na system zarządzania ciągłością działania. Brzmi to podręcznikowo, ale nie ma nic wspólnego z prostym zadaniem. Dzieje się tak z dwóch powodów: digitalizacji i skali komplikacji. Przy praktycznie pełnej digitalizacji procesów biznesowych skala zależności, które wpływają na utrzymanie ciągłości działania, staje się ogromna.
Skuteczne zarządzanie ciągłością działania wymaga odpowiedniej perspektywy, wiedzy, a także odpowiednich narzędzi wspierających. W tak zwanych czasach pokoju łatwo można było zbudować poczucie dobrze spełnionego obowiązku. Powstawały plany, których nie sposób było poddać próbie ognia. Dzisiaj nie ma z tym problemu. Wystarczy tylko powierzchownie sięgnąć do doświadczeń ukraińskich, aby bez obawy o posądzenia o fantastyczne scenariusze przetestować nasze plany awaryjne. To niestety może dać szybką odpowiedź, na co jesteśmy gotowi: na wojnę czy na defiladę?
Wypracowanie systemu samodoskonalenia
W obliczu dynamicznego środowiska zagrożeń pojawiają się oczekiwania do sprawdzenia, przetestowania wszystkiego tu i teraz. Idea sama w sobie słuszna, ale tylko z pozoru. Testowanie ma prowadzić do doskonalenia. Jeśli nasze doskonalenie ma polegać na bezrefleksyjnym testowaniu, to cała para pójdzie w gwizdek. Testy i ćwiczenia mają sens tylko wtedy, gdy zbudujemy przestrzeń do przepracowania ich rezultatów. Musi to być proces od początku do końca przemyślany i zaczynać się od pytania: co testujemy? Liczba przeprowadzonych ćwiczeń dobrze wygląda w statystykach. Gdybyśmy zestawili te dane z liczbą skutecznie wdrożonych wniosków po ćwiczeniach, to już pewnie tak miło by nie było.
Wracamy do „niefajności” bezpieczeństwa – testy/ćwiczenia zabierają czas, pokazują, że coś nie działa (czyli jest źle). Żeby to naprawić, trzeba znowu poświęcić czas i bardzo często pieniądze. W taki sposób można także przedstawiać system samodoskonalenia w obszarze bezpieczeństwa i obawiam się, że nie jest to takie rzadkie zjawisko.
Wyzwania
Ochrona infrastruktury krytycznej w Polsce to skomplikowany obszar. Rola państwa jest w nim niezwykle istotna chociażby dla jej efektywnej identyfikacji i określenia zasad funkcjonowania w punktach styku – podmiot IK i państwo. Państwo powinno być bardziej konkretne w określaniu wymogów i zdecydowane w ich egzekwowaniu. Jednak największe obciążenie na rzecz zabezpieczenia tejże infrastruktury spadnie na firmy, które tę infrastrukturę mają. Pomimo ogromnego wysiłku, jaki należy włożyć, jest jeszcze dużo większe wyzwanie do podjęcia – zmiana sposobu myślenia.
Sytuacje kryzysowe, a w pewnym sensie już się w takiej znajdujemy, cechują się tym, że czujemy się niepewnie i nie wiemy, co zrobić. Jakkolwiek by to nie zabrzmiało, jest to stan, który trzeba zaakceptować. Jak zatem skutecznie reagować? Stworzyć atmosferę myślenia poza schematami i dać sobie pozwolenie na popełnianie błędów.
Przeciwieństwem tego stanu rzeczy jest rozpaczliwe czepianie się obszarów, które znamy, i choć ta wiedza jest nie na temat, to daje fałszywe poczucie bezpieczeństwa. Dokładając do tego atmosferę szukania winnych, możemy bez większego problemu roztrwonić coś, na co teraz nie możemy sobie pozwolić. Tym czymś jest czas. ⦁
|
 |
