Ochrona infrastruktury krytycznej. Rząd zmienia podejście
z Maciejem Pyznarem, szefem Wydziału Ochrony Infrastruktury Krytycznej w RCB, rozmawiają Marta Dynakowska i Mariusz Kucharski.
Ochrona infrastruktury krytycznej jest obowiązkiem jej właściciela. Przypomnijmy Czytelnikom jaką rolę w systemie ochrony IK pełni RCB? W jaki sposób wspiera operatorów IK?
– Rządowe Centrum Bezpieczeństwa, jako państwowa jednostka budżetowa, realizuje zadania określone w ustawie z dn. 26 kwietnia 2007 r. o zarządzaniu kryzysowym. W obszarze ochrony IK, RCB realizuje zadania planistyczne i programowe z zakresu ochrony infrastruktury krytycznej oraz europejskiej infrastruktury krytycznej, w tym opracowuje i aktualizuje załącznik funkcjonalny do Krajowego Planu Zarządzania Kryzysowego dotyczący ochrony IK. Współpracuje także, jako krajowy punkt kontaktowy, z instytucjami Unii Europejskiej i NATO oraz krajami członkowskimi w zakresie ochrony IK. Ponadto dyrektor RCB opracowuje, we współpracy z ministrami i kierownikami urzędów centralnych odpowiedzialnymi za systemy IK, Narodowy Program Ochrony Infrastruktury Krytycznej (w Programie zawarte są kryteria identyfikacji IK) i realizuje zadania w nim określone oraz (już samodzielnie) zatwierdza plany ochrony IK opracowane przez jej operatorów.
Z praktycznego punktu widzenia, RCB dba o to, by opisane wyżej zadania zostały zrealizowane najlepiej jak to możliwe. Wydział Ochrony Infrastruktury Krytycznej najwięcej czasu poświęca na wspieranie operatorów IK przy opracowaniu planów ochrony oraz organizację szkoleń i pomoc w rozwiązywaniu problemów przy współpracy z administracją.
W wywiadzie udzielonym nam przed rokiem zastępca dyrektora RCB Krzysztof Malesa zaznaczył, że jednym z ważniejszych zadań RCB w ramach ochrony IK jest przejście z systemu obiektowego do usługowego. Jakie są założenia i cele tego nowego podejścia?
– Podstawowym celem zmiany podejścia jest dostosowanie do zmian w środowisku bezpieczeństwa. Po szczycie NATO w Warszawie Polska, podobnie jak pozostałe państwa członkowskie, złożyła zobowiązanie do wzmocnienia odporności, które w znacznej części wpisuje się w obszar infrastruktury krytycznej i szeroko pojętego zarządzania kryzysowego. Z punktu widzenia NATO odporność państwa na zagrożenia jest funkcją m.in. zapewnienia ciągłości świadczenia podstawowych usług. Odradzające się w Europie zagrożenie terrorystyczne to kolejna zmiana w środowisku bezpieczeństwa, którą musimy brać pod uwagę. Nie możemy również pominąć regulacji unijnych, które odnoszą się do usług kluczowych (mam tu na myśli Dyrektywę Parlamentu i Rady UE w sprawie zapewnienia wysokiego bezpieczeństwa sieci i systemów teleinformatycznych tzw. Dyrektywę NIS). Poza koniecznością dostosowania się do zmian, co jest naturalnym zjawiskiem w procesach zarządczych, w trakcie naszej pracy zidentyfikowaliśmy rozwiązania, które nie do końca sprawdziły się w praktyce i wymagają korekty.
Doświadczenia z ubiegłorocznych, tragicznych wydarzeń w Polsce potwierdzają, że zapewnienie ciągłości dostaw podstawowych dóbr i usług dla obywateli i przedsiębiorców jest jednym z najważniejszych zadań państwa. Myśląc o ochronie obywateli powinniśmy się skupić na ochronie przed skutkami zaprzestania świadczenia usług podstawowych. Zmiana podejścia na usługowe ma więc przede wszystkim umożliwić objęcie ochroną tych zasobów, które są niezbędne do świadczenia usług, a które dotychczas nie były uwzględniane w ochronie IK.
Jakie to usługi?
– Przede wszystkim zamierzamy identyfikować usługi krytyczne jak w definicji IK – kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Z kolei operatorów identyfikujemy na trzech poziomach w zależności od kryteriów ilościowych i jakościowych zakłócenia tej usługi – proszę nie sugerować się nazwami, są robocze, nie chcieliśmy po prostu używać pojęcia „kategoria”. I tak na poziomie krajowym będzie to usługa, której zakłócenie świadczenia ma niekorzystny wpływ na bezpieczeństwo całego państwa, na poziomie regionalnym – usługa, której zakłócenie świadczenia ma niekorzystny wpływ na dany sektor/system IK lub kilka województw, zaś na poziomie lokalnym – usługa, której zakłócenie świadczenia ma niekorzystny wpływ na lokalną społeczność.
Konsekwencją takiego podziału będzie, w założeniu, przeniesienie części odpowiedzialności za IK na niższe poziomy administracji. Zatem na poziomie lokalnym za identyfikację operatorów IK, prowadzenie ich wykazu, zatwierdzanie planów ochrony usług krytycznych, współpracę z operatorami oraz zarządzanie kryzysowe na wypadek zakłócenia świadczenia danej usługi byłby odpowiedzialny wojewoda, natomiast na poziomie systemowym/regionalnym – ministrowie odpowiedzialni za systemy IK, a na poziomie krajowym – te zadania realizowałby dyrektor RCB.
Poza tym operatorzy usług krytycznych byliby odpowiedzialni za zapewnienie ich bezpieczeństwa i opracowanie planów ochrony tych usług, w tym wdrożenie BCMS (Business Continuity Management System – przyp. red.).
Chcemy także wprowadzić wymogi w zakresie zapewnienia bezpieczeństwa fizycznego, osobowego i teleinformatycznego na poziomie minimalnym i podwyższonym. Wymogi minimalne musiałby spełnić każdy operator usługi krytycznej, a podwyższone, w zależności od stopnia ryzyka, na poziomie krajowym.
Do obowiązków operatora IK należałoby cykliczne przeprowadzanie audytu wewnętrznego i przekazywanie jego wyników (w tym zaleceń poaudytowych) do właściwych organów. Organy mogłyby nakazywać usunięcie spostrzeżeń audytowych w określonym czasie. Obowiązkiem operatora byłoby również zgłaszanie zakłóceń w świadczeniu usług – progi zgłaszania określałby, we współpracy z dyrektorem RCB, organ właściwy dla danego poziomu IK.
W końcu chcemy dać właściwym organom możliwości kontroli po wystąpieniu zakłócenia świadczenia usługi lub w przypadku niezrealizowania zaleceń poaudytowych, a także możliwość karania za notoryczne uchylanie się od realizacji obowiązków. Niestety, po upływie 4 lat od przyjęcia pierwszego Programu i powiadomieniu operatorów o ujęciu ich infrastruktury w wykazie IK, wciąż zdarzają się przypadki niesporządzenia przez nich planu, i to pomimo ponagleń… Pamiętajmy również, że część z tych zmian będzie wymagała zmian w ustawie o zarządzaniu kryzysowym.
Jak zmieni się lista obiektów IK po zmianie podejścia z obiektowego na usługowe?
– Trudno jednoznacznie odpowiedzieć na to pytanie. Jako że wykaz będzie obejmował trzy poziomy, część usług (obiektów świadczących usługi krytycznej), które teraz znajdują się w wykazie przejdzie do innego poziomu, będzie to dotyczyć przede wszystkim usług świadczonych w systemie zaopatrzenia w wodę, które z reguły są świadczone lokalnie. Część obiektów „zwinie się” w jedną usługę (np. w systemach elektroenergetycznym czy łączności), pojawią się również nowe usługi. Jesteśmy jeszcze w trakcie opracowywania szczegółowych kryteriów, dlatego pytania o szacowaną liczbę usług będzie można formułować dopiero po zakończeniu tego procesu.
RCB opracowało NPOIK w roku 2013 i 2015. Kiedy można spodziewać się kolejnego?
– Kolejnego Programu można spodziewać się w połowie tego roku. Jako że NPOIK zawiera kryteria identyfikacji IK, opracowanie kryteriów determinuje czas wprowadzenia aktualizacji Programu.
Nad nowym podejściem do ochrony IK oraz o standardach jej ochrony dyskutowano podczas V Krajowego Forum Ochrony Obiektów Infrastruktury Krytycznej w grudniu ub.r. Jakie są konkluzje tego spotkania?
– Przedstawiając na Forum założenia zmian, spotkaliśmy się z przychylnym przyjęciem. Operatorzy również zauważają niedoskonałości systemu. W opinii uczestników kierunek zmian jest dobry, ale o ostatecznej akceptacji będziemy mogli mówić, gdy opracujemy szczegóły zaproponowanych rozwiązań, które jak wiadomo decydują również o skuteczności.
Program NPOIK przewiduje również organizację forów na szczeblu branżowym. Czy odbyły się takie spotkania z branżą security?
– Program przewiduje spotkania branżowe dla forów na poziomie wojewódzkim, ale w rozumieniu spotkania przedstawicieli wybranego systemu (sektora) IK. Oczywiście na fora organizatorzy mogą zapraszać przedstawicieli innych sektorów czy świata nauki, jeśli przyczyni się to do podniesienia poziomu wiedzy uczestników lub rozwiązania konkretnego problemu. Z mojej wiedzy wynika, że dotychczas nie odbyło się żadne spotkanie z udziałem przedstawicieli branży security.
O problemach związanych z zabezpieczeniem IK rozmawiali w maju ub.r. uczestnicy organizowanego przez nas śniadania ekspertów a&s Polska. Obok oferentów techniki zabezpieczającej i security managerów operatorów IK, obecni byli także przedstawiciele RCB. Po spotkaniu uczestnicy przyznali, że była to dobra okazja do wymiany doświadczeń w zakresie nowości technicznych, przepisów prawa i postrzegania bezpieczeństwa. W maju tego roku zorganizujemy podobne spotkanie – czy do tego czasu będą znane szczegóły dot. nowego NPOIK?
– Mam nadzieję. Jak powiedziałem wcześniej, intensywnie pracujemy nad kryteriami identyfikacji usług krytycznych oraz założeniami do zmiany ustawy o zarządzaniu kryzysowym. Jeśli będziemy mogli, na pewno w trakcie kolejnego spotkania przedstawiciel RCB podzieli się najświeższymi informacjami w tym zakresie.
Potrzebą krytyczną jest edukacja wszystkich stron systemu ochrony IK – w szczególności w dziedzinie cyberbezpieczeństwa. Jakie są zalecenia w tym zakresie?
– Podczas posiedzenia Międzyresortowego Zespołu ds. Zagrożeń Terrorystycznych, które odbyło się 14 marca, zostało przyjęte sprawozdanie Zespołu zadaniowego do spraw opracowania standardów zabezpieczeń antyterrorystycznych i reguł współdziałania dotyczących infrastruktury krytycznej oraz zasad dokonywania sprawdzenia zabezpieczeń obiektów infrastruktury krytycznej, zgodnie z przepisami ustawy o działaniach antyterrorystycznych. Jednym z wyników prac zespołu zadaniowego było opracowanie minimalnych wymagań w obszarach zapewnienia bezpieczeństwa fizycznego, osobowego i właśnie teleinformatycznego. W obszarze bezpieczeństwa teleinformatycznego dokument bazuje na rozpowszechnionych w Polsce normach PN-EN ISO serii 27000, wzbogaconych o komentarze i uwagi dotyczące praktycznego stosowania tych wymagań. Mam nadzieję, że dokument w niedługim czasie stanie się publicznie dostępny. Obecnie trwają prace nad propozycją jego wdrożenia. Biorąc to pod uwagę, w przypadku bezpieczeństwa teleinformatycznego zalecić mogę wdrożenie systemu lub wybranych elementów systemu zarządzania bezpieczeństwem informacji opisanego w tych normach.
Czy zaleca się stosowanie rozwiązań Internetu Rzeczy – z jednej strony oferujących nowe „inteligentne” funkcje, z drugiej zaś są podatne na ataki hakerskie?
– Jako RCB koncentrujemy się raczej na bezpieczeństwie świadczenia usług i pracy IK. Przy okazji wdrażania czy stosowania wszelkich nowych rozwiązań, wskazujemy na konieczność przeprowadzenia oceny wpływu danego rozwiązania właśnie na bezpieczeństwo świadczenia usługi i pracy IK. Wydaje się, że w tym obszarze producenci rozwiązań z zakresu Internetu Rzeczy mają jeszcze dużo do nadrobienia.
Kolejne kontrowersyjne narzędzie ochrony to drony. Z jednej strony zapewniają bezpieczeństwo (np. na dużych przestrzeniach), z drugiej jednak – mogą stanowić zewnętrzne zagrożenie. Jak RCB widzi ten problem?
– Dokładnie w ten sam sposób jak Państwo, czyli jako szansę i zagrożenie zarazem. W związku z tym, że otrzymujemy od operatorów informacje o pojawiających się próbach nieuprawnionego użycia dronów, staramy się pomóc w tym obszarze. Razem z Urzędem Lotnictwa Cywilnego, w ramach prac Międzyresortowego Zespołu ds. Zagrożeń Terrorystycznych, staramy się wyposażyć operatorów IK w narzędzia, przede wszystkim prawne, pozwalające na skuteczną reakcję na tego typu incydenty.
Dziękujemy za rozmowę.