Powstanie narodowy audytor infrastruktury krytycznej. Przyjęta w tym roku Dyrektywa ds. odporności podmiotów krytycznych (CER) Unii Europejskiej zobowiązuje kraje członkowskie do utworzenia instytucji na kształt RCB 2.0. lub RCB PLUS. Będzie ona miała kompetencje do przeprowadzania kontroli i karania w sytuacji, gdy ochrona IK nie jest traktowana poważnie i zagraża funkcjonowaniu ciągłości działania Rzeczypospolitej Polskiej.
ekspert RCB
O zmianach, jakie czekają instytucje IK, z dr Karoliną Wojtasik, ekspertem RCB w dziedzinie ochrony obiektów, infrastruktury krytycznej oraz terroryzmu rozmawia Michalina Nowak.
Zacznijmy trochę przewrotnie od toczącej się dyskusji o likwidacji Rządowego Centrum Bezpieczeństwa. Co się wtedy stanie? Kto przejmie zadania RCB? Jak widzi pani kwestię ochrony IK po rozwiązaniu RCB?
To nie tyle „dyskusja o likwidacji RCB”, ile wciąż zapis w aktualnym na luty 2023 r. projekcie ustawy o ochronie ludności i stanie klęski żywiołowej przygotowanym przez MSWiA. Odpowiadając kolokwialnie na pytanie, „co wtedy?”, wtedy, jak w mitologii, będzie chaos. Ale zanim z chaosu wyłoni się cokolwiek, zanim powstaną rozporządzenia szczegółowe precyzujące tryb pracy i kompetencje nowego tworu czy tworów, będziemy tracić cenny czas. Tym bardziej cenny, że infrastruktura krytyczna jest dziś celem różnej formy ataków w ramach tzw. działań hybrydowych ze strony Federacji Rosyjskiej na skalę nienotowaną w naszej historii. To czas, którego absolutnie nie możemy zmarnować, zwłaszcza w aktualnej sytuacji geopolitycznej. Jak pokazują doświadczenia Ukrainy, infrastruktura krytyczna była celem wrogich działań na długo, zanim zaczęły się ataki kinetyczne (zbrojne). Dlatego dziś niezwykle ważne jest budowanie sprawnego systemu ochrony IK.
17 stycznia weszła w życie dyrektywa CER (Critical Entities Resilience) w sprawie odporności podmiotów krytycznych. W dokumencie zapisano m.in. obowiązek powołania „właściwej władzy”, która będzie miała za zadanie dopilnować jej wdrożenia. Nie chodzi tylko o akceptację planów odpornościowych, ale też o zlecanie, prowadzenie audytów oraz karanie w przypadku naruszenia przepisów. Kto ma to robić? Rządowe Centrum Bezpieczeństwa nie ma obecnie takich uprawnień…
Dyrektywa CER daje ramy prawne na stworzenie swoistego RCB 2.0 lub – jak kto woli – RCB PLUS z kompetencjami do audytu i karania w sytuacji, gdy ochrona IK nie jest traktowana poważnie i zagraża funkcjonowaniu ciągłości działania RP. I zgadza się, na razie takich uprawnień RCB nie ma, a czas ucieka. Potrzebujemy infrastruktury krytycznej, żeby sprawnie funkcjonować jako nowoczesne społeczeństwo. A RCB potrzebuje bata na tych, którzy ochrony IK nie traktują wystarczająco poważnie. Centralnego podmiotu koordynującego ochronę IK nie zbudujemy w miesiąc, bo takie zespoły specjalistów tworzy się latami.
Dyrektywa CER daje ramy prawne na stworzenie swoistego RCB 2.0 lub – jak kto woli – RCB PLUS z kompetencjami do audytu i karania w sytuacji, gdy ochrona IK nie jest traktowana poważnie i zagraża funkcjonowaniu ciągłości działania Rzeczypospolitej Polskiej.
Zatem dyrektywa CER jest szansą na wzmocnienie RCB?
Jest szansą nie tylko na wzmocnienie RCB, lecz także na sprawny system ochrony IK, który oprze się agresorowi i będzie odpowiedzią na wyzwania przyszłości. W tej trudnej sytuacji geopolitycznej możemy stanowić wzór do naśladowania dla innych państw regionu i tym samym możemy dać impuls do zmian ich wewnętrznych procedur ochrony IK, jest jeszcze na to czas. To może być polski wkład w budowanie odporności całej Unii Europejskiej na zagrożenia hybrydowe. Widzę tego ogromną szansę.
No właśnie, budowanie odporności to jeden z kluczowych elementów przygotowywania się na kryzys bez względu na to, czego miałby on dotyczyć. Robimy to?
Staramy się, odkąd istnieje pojęcie infrastruktury krytycznej i funkcjonuje RCB. Niestety dotychczas ramy prawne nie pozwalały na wiele czynności w zakresie audytu i kontroli. Wspomniana dyrektywa CER nie bez powodu ma słowo „odporność” w tytule. Jedyny organ realizujący elementy kontroli i nadzoru w Polsce wobec obiektów, które kwalifikują się do IK systemu transportu, jest Urząd Lotnictwa Cywilnego prowadzący kontrole systemu bezpieczeństwa w lotnictwie cywilnym. Niestety nie mamy w kraju instytucji, która ma prawo robić choćby stres-testy czy testy penetracyjne ochrony fizycznej obiektów IK. Pewne ograniczone uprawnienia w tym zakresie w obszarze cyber od 2016 r. posiada ABW.
Niestety nie mamy w kraju instytucji, która
ma prawo robić choćby stres-testy czy testy penetracyjne ochrony fizycznej obiektów IK.
RCB prowadzi nadzór nad ochroną krajowej i europejskiej infrastruktury krytycznej. Jednocześnie przygotowuje Narodowy Plan Ochrony Infrastruktury Krytycznej, sporządza jednolity wykaz IK oraz pełni funkcję krajowego punktu kontaktowego. Operatorzy IK mają obowiązek przygotować plan ochrony IK zatwierdzany przez dyrektora RCB. Na czym w takim razie polega wspomniany nadzór?
Celem wszystkich wymienionych czynności jest doprowadzenie do takiej sytuacji, że polskie społeczeństwo będzie w stanie sprawnie funkcjonować, a administracja państwowa zachowa ciągłość działania. Chodzi o to, żeby obywatele mogli żyć, pracować, wykonywać codzienne czynności, a w sytuacjach kryzysowych odczuli ich skutki w stopniu minimalnym. To wszystko jest możliwe dzięki sprawnie działającym systemom IK.
Pod każdym z wymienionych wyżej pojęć kryją się setki czynności, które składają się na element wspomnianego nadzoru, choćby NPOIK, czyli Narodowy Plan Ochrony Infrastruktury Krytycznej, którego celem jest stworzenie warunków do poprawy bezpieczeństwa IK. NPOIK podlega aktualizacji przynajmniej raz na dwa lata, bo świat nie stoi w miejscu, a rozwój technologiczny sprawia, że pojawiają się nowe zagrożenia, które trzeba w NPOIK uwzględnić.
Na przykład?
Na przykład bezzałogowe statki powietrzne. Drony mogą nie tylko zostać użyte w różnych formach sabotażu, lecz także prowadzić rozpoznanie, filmować obiekt, zrobić zdjęcia kluczowych instalacji. Na takie zagrożenia RCB reaguje na bieżąco.
Co powinien zawierać plan ochrony IK?
To w sposób szczegółowy reguluje rozporządzenie (Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie planów ochrony infrastruktury krytycznej). Zgodnie z tym rozporządzeniem operatorzy obiektów infrastruktury krytycznej sporządzają plan ochrony IK w terminie 9 miesięcy od daty otrzymania od Dyrektora RCB informacji o ujęciu w wykazie IK. Plan ochrony IK zawiera kilka rodzajów informacji: dane ogólne (nazwę, lokalizację, NIP, REGON, dane osoby odpowiedzialnej za utrzymywanie kontaktu z podmiotami właściwymi w zakresie ochrony IK), dane IK (charakterystykę i podstawowe parametry techniczne, szczegółową mapę, informacje o funkcjonalnych połączeniach z innymi obiektami, instalacjami, usługami) oraz ocenę ryzyka z przewidywanym scenariuszem rozwoju wydarzeń. W planie opisuje się również zależności obiektu IK od innych systemów czy też zasoby własne, które można wykorzystać w celu ochrony IK.
Kolejna grupa informacji to warianty działania:
- w sytuacji zagrożenia lub zakłócenia funkcjonowania IK;
- zapewnienia ciągłości funkcjonowania IK;
- odtwarzania IK;
- zasady współpracy z właściwymi miejscowo centrami zarządzania kryzysowego i organami administracji publicznej.
Dokument jest więc złożony i procedury w nim zawarte są kluczowe dla zapewnienia bezpieczeństwa IK. Jeśli wcześniej istniały, plan jest dokumentem, który je spaja, jeśli ich nie było, operator jest zobligowany je wprowadzić. Ale od czasu ogłoszenia wspomnianego rozporządzenia zmieniono niektóre przepisy ustawy o zarządzaniu kryzysowym.
Co w takim razie będzie kluczowe dla przedsiębiorcy?
Dla przedsiębiorcy kluczowy będzie zapis (art. 6 pkt 5b) mówiący o tym, że jeśli operator IK jest równocześnie dostawcą usługi kluczowej, to w planie ochrony IK uwzględnia dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych, czyli nie uzgodni planu ochrony IK, jeśli nie dopełnił obowiązków w zakresie cyberbezpieczeństwa. Poza tym praktyka jest taka, że do planu ochrony IK dołącza się szereg innych funkcjonujących w przedsiębiorstwie planów bezpieczeństwa, np. plan ochrony fizycznej, załącznik AT do planu ochrony, plany bezpieczeństwa technicznego/procesowego. Tym sposobem plan ochrony IK pokazuje całościowo, jak operator IK wywiązuje się z obowiązku zapewnienia ochrony: fizycznej, technologicznej, osobowej, prawnej, teleinformatycznej i planów ciągłości działania, które niekiedy określa się mianem sześciopaku. Z reguły tego typu dokumenty mają kilkaset stron.
Czy w jakikolwiek sposób sprawdzane jest wdrażanie założeń w planach ochrony IK?
Plan ochrony jest konsultowany z wieloma instytucjami, które wypowiadają się wg swojej właściwości w kwestii realizacji celu nadrzędnego, jakim jest ochrona IK. Jeśli mają uwagi, plan jest korygowany. RCB nie jest więc jedyną instytucją, która sprawdza, jak jest wykonywana ochrona IK. Tymi podmiotami są właściwi terytorialnie: wojewoda, komendant wojewódzki Państwowej Straży Pożarnej, komendant wojewódzki policji, dyrektor regionalnego zarządu gospodarki wodnej, wojewódzki inspektor nadzoru budowlanego, wojewódzki lekarz weterynarii, państwowy wojewódzki inspektor sanitarny, dyrektor urzędu morskiego, minister lub kierownik urzędu centralnego, w którego właściwości znajduje się system, do którego została zaliczona dana infrastruktura krytyczna.
W NPOIK jest zapis mówiący, że zatwierdzony plan ochrony IK jest podstawowym dokumentem potwierdzającym spełnienie przez operatora obowiązku ochrony IK, a plan jest ilustracją nakładu pracy włożonej w przygotowanie i wdrożenie ochrony IK. Poprawnie przeprowadzony proces planowania podnosi zdolność organizacji do identyfikacji i zmniejszania podatności, przeciwdziałania zagrożeniom, reakcji na nie oraz minimalizacji skutków ich wystąpienia. Tak jak wspomniałam, do prowadzenia audytu, kontroli czy nadawania sankcji RCB obecnie nie ma uprawnień. Przyjęta w tym roku w Unii Europejskiej Dyrektywa ds. odporność podmiotów krytycznych zobowiązuje kraje członkowskie do utworzenia narodowego audytora IK, de facto w przypadku Polski takiego RCB 2.0./RCB PLUS.
Czy przedsiębiorcy, którzy są właścicielami obiektów IK lub nimi zarządzają, współpracują z RCB?
Obliguje ich do tego ustawa, ponadto RCB daje dostęp do unikatowej wiedzy. Coroczne Krajowe Forum Ochrony IK gromadzi specjalistów z zakresu różnych aspektów ochrony IK. Podczas zeszłorocznego forum poruszano wątek zagrożenia ze strony dronów, rozpoznania informacyjnego prowadzonego przez wrogie służby wobec obiektów IK w Europie Wschodniej, zagrożeń dla systemu transportu kolejowego w warunkach wojny hybrydowej itp. RCB oferuje standardy organizowania ochrony w różnych aspektach bezpieczeństwa IK. Jeśli operator IK poważnie traktuje ochronę i bezpieczeństwo IK, to RCB jest jego naturalnym partnerem.
A w jaki sposób do kwestii bezpieczeństwa IK podchodzą zarządzający tymi obiektami?
Bezpieczeństwo IK to zagadnienie bardzo złożone i wielowątkowe. Operatorzy IK, czyli właściciele oraz posiadacze samoistni i zależni obiektów, instalacji, urządzeń i usług IK, są różni tak, jak obiekty, którymi zarządzają, dlatego niemożliwe jest udzielenie jednoznacznej odpowiedzi na to pytanie. NPOIK zakłada, że będzie on realizowany na zasadach współodpowiedzialności, współpracy i zaufania. Jakkolwiek to, jak jest zapewniana ochrona IK w przedsiębiorstwie, zależy w dużym stopniu od podejścia i poziomu świadomości zarządzających danym operatorem IK.
Nakłady na szeroko rozumiane bezpieczeństwo najczęściej nie są widoczne gołym okiem tak, jak spektakularne inwestycje, nie można się nimi pochwalić np. przed wyborami samorządowymi. W dobie kryzysu ekonomicznego, inflacji i rosnących rachunków priorytetem jest przetrwanie, ewentualnie najpilniejsze naprawy, wtedy myślenie o bezpieczeństwie schodzi na dalszy plan, bo są pilniejsze wydatki.
Kolejna kwestia to świadomość. IK jest niezbędna do funkcjonowania społeczeństwa i zapewnienia ciągłości na szczeblach zarówno centralnym, jak i lokalnym administracji państwowej – to czujemy podskórnie i nie wymaga wyjaśnienia. Jednakże praktyka w wielu przedsiębiorstwach jest taka, że status IK traktuje się jako kolejny przykry obowiązek. Wyznacza osobę odpowiedzialną za kontakt z RCB i zespół sporządzający plan bądź zleca tę czynność na zewnątrz. A ochrona IK powinna być traktowana holistycznie, czyli powinna być wpisana w DNA przedsiębiorstwa i realizowana w każdym dziale. Ochrona osobowa, ochrona prawna, ochrona teleinformatyczna (i pozostałe elementy ochrony IK) powinny być realizowane w każdym dziale. Bardzo często takie podejście nie przebija się na zarząd operatora IK bądź tam, gdzie zapadają kluczowe decyzje.
Sytuacji nie ułatwia fakt, że jedno przedsiębiorstwo może mieć jednocześnie status IK, podlegać tzw. obowiązkowej ochronie i szczególnej ochronie, a także być dostawcą usług kluczowych…
Tak, a za każdym z tych terminów idą konkretne obowiązki do spełnienia i wymogi. Trudno się nie pogubić. Kiedyś na konferencji podszedł do mnie przedstawiciel przedsiębiorstwa z miasta na prawach powiatu i zapytał, czy oni są IK, bo im się wydaje, że mogliby być, ale nie mają pewności i nie bardzo wiedzą, gdzie to sprawdzić. I to pokazuje, że często zwyczajnie brakuje wiedzy i świadomości. I najważniejsze, nie ma sankcji karnych dla przedsiębiorstw, które nie realizują NPOIK, np. w kwestii braku zatwierdzonego planu ochrony IK. Bywa też tak, że pierwsze pytanie przełożonego brzmi: ile wynosi kara za brak planu i czy to jest egzekwowane.
Niestety, podczas mojej pracy badawczej nad systemami IK oraz pracy zawodowej wielokrotnie pojawiły się niepokojące praktyki nadwerężające bezpieczeństwo tego typu obiektów. Jedną z nich jest rozpoczynanie cięć kosztów funkcjonowania IK od oszczędności na jego ochronie fizycznej. To tylko pozorna oszczędność. Przywołana przeze mnie unijna dyrektywa CER raz na zawsze te praktyki ukróci. Dlatego wszystkim nam powinno zależeć na tym, by weszła ona w życie jeszcze w tej kadencji Sejmu.
Podczas mojej pracy badawczej nad systemami IK oraz pracy zawodowej wielokrotnie pojawiły się niepokojące praktyki nadwerężające bezpieczeństwo obiektów infrastruktury krytycznej. Jedną z nich jest rozpoczynanie cięć kosztów ich funkcjonowania od oszczędności na ochronie fizycznej. To tylko pozorna oszczędność. Przywołana przeze mnie unijna dyrektywa CER raz na zawsze te praktyki ukróci.
W przypadku cyberbezpieczeństwa niedotrzymanie obowiązków operatora usług kluczowych oznacza spore kary finansowe, w przypadku IK dotychczas ich nie było. Jakkolwiek w razie poważnej awarii czy sytuacji kryzysowej warto pamiętać, że to będzie pierwsze pytanie prokuratury czy instytucji nadzorującej: czy spełniono wymogi i zastosowano obowiązujące procedury. A wielu przedsiębiorców o tym zapomina.
Czy jest przewidziane dofinansowanie ochrony IK ze środków publicznych? Jakie są potrzeby w tym zakresie?
Zgodnie z wymienioną już tu ustawą o zarządzaniu kryzysowym obowiązki w zakresie ochrony IK spoczywają na właścicielach oraz posiadaczach samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, czyli operatorach IK. O tym, czy dany obiekt znajduje się w wykazie infrastruktury krytycznej, decyduje ostatecznie Dyrektor RCB we współpracy z właściwym ministrem, który nadzoruje dany system Operatora IK.
Przedsiębiorca może też wystąpić z wnioskiem na piśmie do właściwego ministra odpowiedzialnego za system IK lub do dyrektora RCB o dokonanie oceny czy posiadane/zarządzane przez niego obiekty spełniają wymagania określone dla IK. Dyrektor RCB informuje następnie właściciela lub posiadacza IK, że jego obiekty zostały umieszczone w wykazie. Od tego momentu na właścicielu lub posiadaczu IK spoczywają szczególne obowiązki wynikające z ustawy, o których mówiłam wcześniej. Przynajmniej tak to wyglądało dotychczas.
I w tym momencie wracamy do dyrektywy CER, ponieważ zakłada ona, że podmioty krytyczne będą mogły liczyć na wsparcie finansowe od państwa, jeśli będzie to uzasadnione bezpieczeństwem publicznym. I ten rodzaj wsparcia nie będzie traktowany jako niedozwolona pomoc publiczna, co otwiera pole do przeznaczenia publicznych środków na ochronę IK i bezpośrednio angażuje państwo w zapewnienie podstawowych usług obywatelom.
Polecamy też lekturę artykułów:
Infrastruktura naprawdę krytyczna
Nieoczekiwana lekcja hiszpańskiego
