Raport: Jak jesteśmy chronieni?
Nad bezpieczeństwem obywateli w Polsce stale czuwają służby – policja, wojsko, straż pożarna, medyczne i inne. W nadzwyczajnych sytuacjach zapewniają je także wytyczne infrastruktury krytycznej, czyli systemy cybernetyczne oraz rzeczywiste, które mają gwarantować minimalne funkcjonowanie państwa i gospodarki w czasie kryzysu. Znaleźliśmy się właśnie w momencie, kiedy „w razie kryzysu” jest bardziej prawdopodobne niż kiedykolwiek. Jak wygląda stan gotowości na kryzys? Sprawdzamy!
Adela Prochyra
Stare chińskie przysłowie, będące de facto przekleństwem „Obyś żył w ciekawych czasach” ziszcza się na naszych oczach. Kwestie (potencjalnie) niebezpieczne nie są związane z konkretnym obszarem. Dotyczą różnych sfer rzeczywistości. Po wielu latach pokoju Polska musi liczyć się z ryzykiem wojny – już nie tylko w najbliższym sąsiedztwie, ale także na własnym terytorium. A to dopiero początek. Powiązane z rosyjską agresją, a także całkiem od niej niezależne cyberataki to drugie zagrożenie, z którym należy się stale liczyć. Trzecim, być może najpoważniejszym problemem, który nie ujawnił się jeszcze w pełnej skali, są zmiany klimatyczne. Ocieplenie klimatu ma wpływ na cały ekosystem, a jego skutki będą dotkliwie odczuwalne przez obywateli i kraje. Od lat przestrzegają przed nim naukowcy, namawiając liderów państw i korporacji do podjęcia bardzo zdecydowanych działań na rzecz ochrony środowiska naturalnego. Te z kolei bywają źle przyjmowane przez grupy społeczne, jak miało to miejsce niedawno w przypadku europejskich rolników protestujących m.in. przeciwko założeniom Zielonego Ładu.
Skutki dla codziennego funkcjonowania miast i wsi mogą być różne: awarie sieci energetycznych, awarie wodociągów, utrata danych lub upublicznienie i/lub wykorzystanie danych niejawnych, blackout. Mogą być one zarówno spowodowane przez katastrofy naturalne, jak i wywołane działalnością człowieka, w tym przez zagrożenia terrorystyczne czy zdarzenia techniczne. Przyczyna to jedno – bardziej interesujący jest dla obywatela stan gotowości na potencjalne zdarzenia. Wiele danych w tym zakresie jest niejawnych, dlatego w raporcie znalazły się jedynie wybrane zagadnienia. Mamy pełną świadomość, że obszarów kluczowych dla bezpieczeństwa jest więcej.
Dlatego w tym kontekście zwłaszcza trafne wydaje się inne łacińskie przysłowie: „Jeśli chcesz pokoju, szykuj się do wojny”. Do zagrożenia należy więc przygotować się z wyprzedzeniem, a ten obowiązek spoczywa na państwach w sposób szczególny. Właśnie temu ma służyć m.in. infrastruktura krytyczna (IK). Ten termin określa obiekty, urządzenia, usługi i instalacje kluczowe dla bezpieczeństwa państwa, administracji, gospodarki i społeczeństwa. Należy jednak pamiętać, że nie wszystkie strategiczne obiekty są automatycznie częścią infrastruktury krytycznej. Istnieje szereg szczegółowych kryteriów, które decydują o tym, czy dany obiekt zostanie zaklasyfikowany jako IK. Kryteria te są zawarte w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej.
O dziwo, myślenie w tych kategoriach pojawiło się późno, bo dopiero w latach 90. XX wieku, po gigantycznych awariach sieci energetycznych w USA i Kanadzie. Ich bardzo poważne i rozległe skutki uświadomiły rządom potrzebę ochrony kluczowych elementów infrastruktury. To doprowadziło do opracowania strategii ochrony IK w Unii Europejskiej. W roku 2004 Rada Europejska wezwała do przygotowania ogólnej strategii ochrony infrastruktury krytycznej, a Komisja Europejska ogłosiła propozycje usprawnienia systemów zapobiegania i reagowania na ataki na IK. W roku 2005 opublikowano Zieloną Księgę inicjującą konsultacje w sprawie programu ochrony IK, a Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych wezwała do utworzenia Europejskiego Programu Ochrony Infrastruktury Krytycznej (EPOIK). Odpowiedzialność za ochronę IK spoczywa na państwach członkowskich UE, właścicielach, operatorach i użytkownikach IK. W Polsce prace nad Narodowym Programem Ochrony Infrastruktury Krytycznej (NPOIK) rozpoczęto w 2007 r. Programów i strategii na rzecz zapewnienia bezpieczeństwa jest w Polsce kilka i wzajemnie się one uzupełniają (patrz: ramka).
Ochrona w praktyce
Głośnym echem odbił się raport Naczelnej Izby Kontroli, z którego wynika, że jako kraj jesteśmy nieprzygotowani do zapewnienia obywatelom bezpieczeństwa w razie ataku lub klęski żywiołowej. Według danych miejsca w schronach i ukryciach w razie ataku lub katastrof naturalnych wystarczy dla 4% ludności Polski (1 428 369 osób).
W raporcie NIK wskazano również, że wiele schronów jest wykorzystywanych na inne cele, np. jako magazyny lub garaże. Napisano w nim: „Polska należy do krajów o najniższym poziomie zabezpieczenia potrzeb obywateli pod tym względem”. Kontrola NIK wykazała, że aż sześć z 32 skontrolowanych gmin nie zapewniło żadnego miejsca schronienia swoim mieszkańcom, a obywatele nie są informowani, gdzie powinni szukać schronienia w razie zagrożenia. Stan techniczny schronów i ukryć również jest alarmujący. 68% schronów i ponad połowa ukryć nie spełnia wymaganych norm. Oznacza to, że w razie potrzeby te miejsca nie zapewnią odpowiedniej ochrony. Obywatele (ponad 80% badanych) nie wiedzą, gdzie znajduje się miejsce schronienia w pobliżu miejsca ich zamieszkania. W sytuacji realnego zagrożenia nie do końca pomoże aplikacja www.schrony.straz.gov.pl, która powstała na potrzeby… inwentaryzacji w Państwowej Straży Pożarnej. Wskaże ona bowiem wszystkie znajdujące się w okolicy miejsca schronienia, ale nie pokieruje do tego, gdzie faktycznie są miejsca. PSP nie jest w stanie wziąć odpowiedzialności za ocenę stanu poszczególnych obiektów ani za to, czy obiekty te zabezpieczą ludzi podczas konfliktu zbrojnego.
Wytyczne szefa obrony cywilnej z 2018 r. mówią, że miasta i gminy powinny zapewnić miejsce doraźnego schronienia co najmniej 25% zameldowanej ludności na danym obszarze administracyjnym, i uwzględniać plany ewakuacji III stopnia pozostałej części. Spośród poddanych kontroli samorządów tylko 31% spełniało te wymagania. Ciekawie prezentuje się na tym tle Warszawa, która w 2022 r. nie posiadała budowli ochronnych (schronów i ukryć) w rozumieniu wytycznych SOC, a jedynie „potencjalne miejsca ukrycia dla mieszkańców stolicy na wypadek zewnętrznego zagrożenia państwa”. Taki tytuł nosi dokument, przygotowany przez urząd miasta, w którym można znaleźć lokalizację tego typu miejsc w poszczególnych dzielnicach. Nie jest jednak znany ich stan techniczny ani faktyczne przygotowanie na wypadek zagrożenia. Miasto zakłada, że mogłoby w nich znaleźć ok. 64% mieszkańców Warszawy. Brakuje też budowli przeznaczonych na miejsca do kierowania obroną cywilną.
Druga istotna bolączka wynika z tego, że w wyniku zmiany Ustawy o obronie Ojczyzny w marcu 2022 r. ochrona cywilna przestała istnieć. Od tego czasu na jej czele stał szef Państwowej Straży Pożarnej. Zwrot akcji nastąpił w marcu 2024 r., kiedy to Minister Obrony Narodowej poinformował, że na czele obrony cywilnej stanie szef MSWiA Marcin Kierwiński. Projekt stosownej ustawy ma niebawem trafić do konsultacji społecznych, a sam akt prawny – jak podkreślają rządzący – ma być jednym z najważniejszych procedowanych w tej kadencji Sejmu. Jednocześnie Lewica zapowiedziała złożenie projektu małej ustawy schronowej, która miałaby uprościć Prawo budowlane właśnie w kontekście budowy schronów przydomowych. Ma ona też wprowadzić procedury dotyczące systemu alarmowania ludności w sytuacji kryzysowej, przebiegu dróg ewakuacyjnych, zapasów leków i żywności. Brak regulacji prawnych to jedno. Eksperci podkreślają też niski poziom edukacji społeczeństwa w tym zakresie (dla porównania: w Finlandii wiedzę tę wprowadza się już w przedszkolach) i bardzo niskie nakłady z budżetu – na ten cel przeznacza się zaledwie 0,1% PKB Polski.
Bezpieczeństwo energetyczne
Jednym z filarów bezpieczeństwa współczesnego państwa jest stabilny i niezawodny dostęp do energii elektrycznej. Napędza ona wszystkie dziedziny życia, od infrastruktury krytycznej po gospodarstwa domowe. Polska konsekwentnie dywersyfikuje źródła pozyskiwania energii i rozbudowuje nowoczesną infrastrukturę. Przy coraz gorszej rentowności kopalń i rosnącej świadomości klimatycznej pozycja polskiego węgla jako gwaranta naszego bezpieczeństwa energetycznego może być nie do obrony. Bezpieczeństwo energetyczne to możliwość nie tylko zaspokojenia potrzeb gospodarki i obywateli, ale także utrzymania ciągłości dostaw energii w razie wyjątkowych zdarzeń. Jak wygląda to w praktyce?
Okazuje się, że groźny dla bezpieczeństwa obywateli może być… upał. Już teraz elektrownie muszą liczyć się ze wzmożonym zapotrzebowaniem na energię właśnie w gorących okresach, a nie padło jeszcze ostatnie słowo w sprawie temperatur w naszym kraju. 15 sierpnia 2023 r. południe Polski znalazło się na skraju blackoutu. Elektrownia w Jaworznie pracowała tego dnia na rezerwie mocy (zaledwie 627 MW ponad zapotrzebowanie). Tauron, operator, wyjaśnił, że tamtego dnia miała miejsce wysoka generacja z OZE, dlatego rano blok węglowy 910 MW został odstawiony do rezerwy. Miał wznowić pracę wieczorem, ale kiedy ilość energii słonecznej malała, a zapotrzebowanie rosło, elektrownia węglowa musiała szybko wznowić pracę. Moment rozruchu jest newralgiczny, bywa, że dochodzi wówczas do awarii. Właśnie tak jak 15 sierpnia. Polskie Sieci Elektroenergetyczne w trybie awaryjnym importowały więc dużą ilość energii na zasadzie międzysystemowej pomocy międzyoperatorskiej – 2,6 GWh z Niemiec, ze Szwecji (przez Litwę) i Słowacji. Po cenach, oczywiście, zawyżonych. Co nie zadziałało w protokole krajowym, że doszło do takiej sytuacji?
Procedura zwyczajowo wygląda następująco: w sytuacji, gdy planowana nadwyżka energii jest niższa niż 9% (to minimum bezpieczeństwa pracy systemu energetycznego) ponad zapotrzebowanie, ogłaszany jest tzw. okres przywołania na rynku mocy, czyli stan gotowości dla wszystkich elektrowni, które mają podpisane umowy z PSE. Kiedy rezerwa mocy wynosi mniej niż 5% prognozowanego zapotrzebowania na energię, takie ogłoszenie zapotrzebowania jest obowiązkowe. Wówczas wszystkie jednostki objęte umową mocową mają obowiązek wystawić do dyspozycji operatora tyle mocy, ile zadeklarowały w umowie. Elektrownia, która zgłasza zapotrzebowanie, powinna to zrobić z co najmniej 8-godzinnym wyprzedzeniem. W Jaworznie ten okres nie został zachowany, a złożyło się na to kilka czynników – godzina awarii była późna, a inne bloki, które mogłyby przejąć jej funkcję, miały zaplanowane remonty.
Cyberbezpieczeństwo
Szef Wydziału Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa dr Witold Skomra podczas panelu Łączność i komunikacja kluczem do budowy sprawnego systemu ochrony ludności na Kongresie Odporności 24 mówił wprost: „Cyberataki trwają od dłuższego czasu i są liczne. My już jesteśmy na wojnie”. Przykład? Ataki bierne oparte na analizie ulotu elektromagnetycznego w celu pozyskania informacji – są one szczególnie problematyczne, bo nie wiadomo, czy zostaliśmy zaatakowani – lub aktywne za pomocą wysokoenergetycznych impulsów elektromagnetycznych. Cel jednego i drugiego jest ten sam: zaburzyć łączność. Obecnie w Polsce każda służba na swój system łączności – nie istnieje żaden uniwersalny system dla wszystkich. A zagrożeń z roku na rok przybywa. Nie pomagają obecny system certyfikacji oraz brak ogólnokrajowego systemu komunikacji krytycznej. Także prywatne sieci nie są przygotowane na kryzys, w tym np. całkiem realny 24-godzinny blackout.
Wyjaśniamy |
Ulot elektromagnetyczny to rodzaj ataku polegający na podsłuchu informacji poufnych za pomocą fal elektromagnetycznych emitowanych przez urządzenia elektryczne. Atak ten jest możliwy, ponieważ każde urządzenie elektryczne podczas pracy generuje fale elektromagnetyczne, które mogą zawierać informacje poufne, takie jak dane logowania, hasła, a nawet rozmowy telefoniczne. Atakujący może odebrać te fale elektromagnetyczne za pomocą specjalistycznego, choć łatwo dostępnego i niedrogiego sprzętu, a następnie zdekodować je, aby uzyskać dostęp do informacji poufnych. Ulot elektromagnetyczny może być przeprowadzony z dużej odległości, co utrudnia jego wykrycie i zapobieganie mu. |
Innego rodzaju zagrożeniem jest brak łączności, kiedy w jednym miejscu zgromadzi się duża grupa ludzi, którą można porównać do rodzaju żywego DDoS. Polkomtel zagospodarowuje tę lukę i uruchamia pierwszą ogólnopolską sieć łączności krytycznej w technologii LTE. Działa ona w wydzielonym paśmie 420 MHz, pod nazwą PLUS MCX (Mission Critical X-Services), zapewniając niezawodną komunikację dla służb mundurowych, organów zarządzania kryzysowego, energetyki, przemysłu i innych kluczowych sektorów. Sieć Polkomtela została wpisana jako system dyspozytorski, a zatem wyjęto ją spod wymogów Unii Europejskiej dotyczących równości, dzięki czemu ma własne systemy zasilania zapewniające dłuższą pracę. Obecnie prace są zaawansowane w 40%, a projekt ma zostać zrealizowany do końca br. Wiadomo jeszcze jedno – pasmo jest opłacone przez operatora do 2036 r., a w nim zabezpieczonych jest ok. 400 pozwoleń radiowych na stacje bazowe.
Podobne rozwiązania to m.in. FirstNet w USA, Rakel w Szwecji, Astrid w Belgii, ESN w Wielkiej Brytanii. Nad analogicznym rozwiązaniem pracuje PGE – LTE 450, jednak sieć ma ruszyć do 2025 r. Niezależnie od systemu w przypadku zagrożenia powinna obowiązywać zasada „pracy w ciszy radiowej”, ponieważ każdy system może paść od naporu liczby użytkowników, jak podsumował płk Piotr Turek z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni.
Stan przygotowań na dziś
O bezpieczeństwie państwa i jego obywateli decyduje wiele czynników, które w niniejszym raporcie nie zostały wymienione. Nie wynika to z zaniedbania, ale z dużej złożoności tej struktury. Poza podanymi przykładami jest jeszcze wiele istotnych obszarów, które nie kojarzą się może bezpośrednio z bezpieczeństwem, ale mają na nie ogromny wpływ. Na przykład zabezpieczenie farmaceutyczne, które obecnie opiera się na komponentach z Chin – aż 80% dostarczanych jest do Unii z Państwa Środka.
Dokumenty państwowe organizujące system bezpieczeństwa narodowego |
• Narodowy Program Ochrony Infrastruktury Krytycznej – publikowany co roku na stronie Rządowego Centrum Bezpieczeństwa • Strategia bezpieczeństwa narodowego Rzeczypospolitej Polskiej – obecnie obowiązuje z 2020 r., podpisana przez prezydenta RP Andrzeja Dudę • Strategia rozwoju systemu bezpieczeństwa RP • międzynarodowe porozumienia, których RP jest stroną |
Jeżeli chodzi o kluczowe elementy bezpieczeństwa, na pewno w ostatnich miesiącach znacznie zwiększyła się jego świadomość zarówno społeczeństwa, jak i rządzących. Świadczy o tym chociażby przyspieszenie ustawodawcze, jakie można było zaobserwować od początku tego roku. Ministerstwo Cyfryzacji powołało na stałe zespół doradczy PL/AI Sztuczna inteligencja dla Polski, który składa się z naukowców, przedsiębiorców i programistów z dużymi sukcesami na koncie. Mają oni rekomendować zastosowania sztucznej inteligencji dla usprawnienia różnych obszarów w państwie. Oprócz wspomnianych ustaw – o obronie narodowej i małej ustawy schronowej – planowane są też prace nad rozwijaniem Rządowego Centrum Bezpieczeństwa i przywrócenie łączności między różnymi wyspecjalizowanymi służbami oraz instytucjami państwa na rzecz szybkiego reagowania w razie zagrożenia. A skoro mówimy o planach, oznacza to, że niektóre mechanizmy nie są jeszcze wypracowane i należycie sprawdzone. Istniejące mechanizmy, jak pokazuje przykład elektrowni w Jaworznie, także bywają zawodne. MON zapewnia jednak, że prace nad konkretnymi rozwiązaniami wynikającymi z przyjętej ustawy o obronie cywilnej i ochronie ludności mają rozpocząć się jeszcze przed wakacjami.
Dużą zmianą na rzecz proaktywego zarządzania ryzykiem bezpośrednio w przedsiębiorstwach będzie wejście w życie dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej, tzw. NIS2 (więcej na ten temat w nr 2/2024 “a&s Polska” na s. 32). ⦁