NIK o (nie)bezpieczeństwie obiektów infrastruktury krytycznej
W latach 2015-2016 Najwyższa Izba Kontroli przeprowadziła kontrolę prawidłowości zabezpieczeń obiektów infrastruktury krytycznej (IK) istotnych dla funkcjonowania państwa. Kontrolę przeprowadzono w wybranych podmiotach odpowiedzialnych za ochronę infrastruktury krytycznej, czyli w Rządowym Centrum Bezpieczeństwa, siedzibach trzech wojewodów oraz 15 samorządach szczebli powiatowego i gminnego.
Na podstawie wyników kontroli NIK wskazała nieprawidłowości ujawnione wśród operatorów infrastruktury krytycznej. Stwierdzono, że:
• nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej;
• część terenów, na których znajdowały się obiekty infrastruktury krytycznej, nie była właściwie zabezpieczona przed dostępem osób nieuprawnionych, brakowało również monitoringu wizyjnego;
• wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie zostały objęte systemem kontroli dostępu, bramy wjazdowe nie zostały wyposażone w zapory zabezpieczające przed wtargnięciem;
• w dużej liczbie skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono rozwiązań w razie wystąpienia sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej;
• we wszystkich skontrolowanych podmiotach nie wyodrębniono personelu kluczowego ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej;
• w większości podmioty te nie określały procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi na rzecz operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług oraz zachowania poufności wykonywanych prac.
Ponadto wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.
Brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej i osobowej powodował wystąpienie niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej czy też związanych z prawidłową eksploatacją instalacji infrastruktury krytycznej. Jako przykład podano zaginięcie z obiektów IK dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie życia i zdrowia osób przebywających w pobliżu. Przyczyną tego incydentu był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK.
Kolejnym wydarzeniem było uszkodzenie połączenia transgranicznego – kabla prądu stałego 450 kV łączącego Polskę z jednym z krajów europejskich, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne państwa. Z kolei brak przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK spowodował skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego.
Niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu umożliwiał w tym przypadku łatwe zatrucie ujęć wody dla setek tysięcy ludzi.
Zastrzeżenia NIK budziła również niewłaściwa realizacja zadań z zakresu ochrony IK przez skontrolowanych wojewodów oraz jednostki samorządu terytorialnego. Stwierdzono wiele przypadków niewywiązywania się przez wojewodów z obowiązku przekazywania organom gmin informacji o znajdującej się na ich terenach infrastrukturze krytycznej.
W konsekwencji w trzech objętych kontrolą gminach, w związku z brakiem informacji o lokalizacji na ich terenie obiektów IK, nie podjęto żadnych działań w zakresie ochrony IK określonych w ustawie o zarządzaniu kryzysowym. Znaczna liczba skontrolowanych starostów (prezydentów) oraz wójtów (burmistrzów) nie wykonywała zadań w zakresie ochrony IK wynikających z ustawy o zarządzaniu kryzysowym. Nie gromadzili oni i nie przetwarzali informacji dotyczących zagrożeń IK, nie opracowywali i nie wdrażali procedur na wypadek wystąpienia takich zagrożeń i rozwiązań w razie zniszczenia lub zakłócenia funkcjonowania IK. Często nie aktualizowano również powiatowych i gminnych planów zarządzania kryzysowego w zakresie dostosowania ich zapisów do wymogów dotyczących ochrony IK określonych w ustawie o zarządzaniu kryzysowym.
NIK zauważyła również, że w badanym okresie nie było ścisłej współpracy starostów (prezydentów) i wójtów (burmistrzów) z operatorami IK w zakresie ochrony IK. O zdarzeniach mogących mieć wpływ na bezpieczeństwo IK starostwa i gminy dowiadywały się głównie ze środków masowego przekazu.
W związku ze stwierdzonymi nieprawidłowościami NIK sformułowała wnioski pokontrolne do skontrolowanych podmiotów odpowiedzialnych za ochronę IK oraz wojewodów i organów z zaleceniem usunięcia stwierdzonych uchybień i realizowania zadań w zakresie ochrony IK zgodnie z przepisami prawa.
www.nik.gov.pl
Czy wiesz że?
NIK kontroluje wszystkie urzędy, instytucje i przedsiębiorstwa, w których wydawane są publiczne pieniądze. Izba sprawdza, czy jednostki te wykonują swoje zadania na rzecz obywateli w sposób najbardziej efektywny i oszczędny.