Sergiusz Parszowski
Coraz więcej mówi się o bezpieczeństwie infrastruktury krytycznej. To dobry symptom, bo choć odgrywa ona kluczową rolę w funkcjonowaniu państwa i życiu jego obywateli, to w wielu przypadkach poziom jej ochrony jest daleki od założeń.
Po upływie niespełna dziesięciu lat od wejścia w życie ustawy o zarządzaniu kryzysowym trudno wprawdzie oczekiwać pełnej dojrzałości systemu, ale okres wczesnego dzieciństwa ma on już za sobą. Jakie zatem wyzwania dla bezpieczeństwa infrastruktury krytycznej można wskazać na najbliższe lata?
Żyjemy w erze współzależności
To jedno z podstawowych i zarazem głównych wyzwań dla bezpieczeństwa infrastruktury krytycznej. I chociaż jest ono dość ogólne, to w praktyce pociąga daleko idące konsekwencje. Jeszcze niedawno o współzależności mówiono głównie w kontekście rynków finansowych i ich międzynarodowych powiązań. Obecnie coraz większego znaczenia nabierają współzależności infrastrukturalne oraz uzależnienie nieprzerwanego działania poszczególnych systemów od pracy innych. W rzeczywistości jest to właśnie jedno z podstawowych kryteriów odróżniających infrastrukturę krytyczną od infrastruktury niemającej aż takiego znaczenia. Współzależności zwiększają potencjalne skutki przyszłych incydentów, a także utrudniają przywrócenie normalnego funkcjonowania systemów i realizacji usług.
Jako przykłady zdarzeń potwierdzających głęboką współzależność kluczowej infrastruktury mogą posłużyć przypadki awarii w systemie elektroenergetycznym, jaka miała miejsce w Szczecinie w 2008 r. (nie działała większość usług powszechnych), oraz pożar mostu Łazienkowskiego w Warszawie w 2015 r. (następstwem było także odcięcie komunikacji telefonicznej Urzędu Miejskiego w Białymstoku). Wymienione przykłady świadczą o tym, jak ważne jest odpowiednie zidentyfikowanie współzależności występujących pomiędzy systemami oraz prawidłowe określenie priorytetów w zakresie odtwarzania infrastruktury krytycznej.
Wzmocnienie układu immunologicznego
Wyzwaniem jest również rozwój i wzmocnienie mechanizmów odpornościowych. Nie chodzi tylko o to, by za wszelką cenę zapobiegać zagrożeniom, wszak coraz częściej jest to niemożliwe. W takich sytuacjach ważne jest budowanie właściwej odporności, zapewnienie organizacji lub infrastrukturze zdolności przetrwania nawet w niesprzyjających warunkach. Jeżeli nie jesteśmy w stanie czemuś zapobiec, musimy się na to odpowiednio przygotować. Jednym z pozytywnych przykładów działań w tym kierunku jest budowa odporności miast (tzw. urban resilience) polegająca na adaptacji przestrzeni i infrastruktury miejskiej do zmian klimatu.
Według raportu Europejskiej Agencji Środowiska (EEA) Urban adaptation to climate change in Europe 2016. Transforming cities in a changing climate wyróżnia się trzy sposoby adaptacji do zmian klimatycznych: stawianie czoła (coping), stopniową adaptację (incremental adaptation) oraz adaptację przez transformację (transformational adaptation). W pierwszym przypadku (coping) podejmowane działania ograniczają się do reagowania na skutki zagrożeń po ich wystąpieniu, w drugim przypadku (incremental adaptation) korzystamy głównie z tradycyjnych rozwiązań stanowiących przede wszystkim fizyczną barierę ochronną (ogrodzenia, wały, izolacja), natomiast w przypadku adaptacji poprzez transformację (transformational adaptation) staramy się eliminować źródła wrażliwości (np. rozwiązaniem na porywiste wiatry będzie rezygnacja z budowy linii napowietrznych).
Właściwa identyfikacja zagrożeń
Od tego wszystko się zaczyna. Jakiekolwiek działania ukierunkowane na poprawę bezpieczeństwa i zapewnienie ciągłości działania infrastruktury krytycznej muszą zostać poprzedzone rzetelną oceną ryzyka. Jeżeli chcemy czemuś zapobiegać, musimy wiedzieć dokładnie, przed czym należy się bronić. Co więcej, zidentyfikowane zagrożenia trzeba odpowiednio zhierarchizować. Czy zajmowanie się określonym zagrożeniem tylko dlatego, że jest w danym momencie na topie i poświęca się mu większość publikacji oraz wydarzeń branżowych, jest uzasadnione? Czy zagrożenie terrorystyczne lub cyberbezpieczeństwo to zagadnienia, którym powinniśmy poświęcić większość czasu i zaangażowania?
Wiele organizacji na co dzień boryka się z bardziej prozaicznymi problemami, takimi jak dewastacje i kradzieże elementów infrastruktury technicznej czy też przypadki nieprzestrzegania obowiązujących zasad i procedur przez personel wykonawczy. Niska kultura bezpieczeństwa już wielokrotnie była przyczyną zatrzymania procesów technologicznych oraz przerwania dostaw lub świadczenia usług. Właściwa identyfikacja i pomiar zagrożeń dla określonych systemów (obiektów, urządzeń, instalacji) nie jest zadaniem łatwym i wymaga zaangażowania wielu niezależnych podmiotów. Sprawę komplikuje fakt, że poszczególni operatorzy infrastruktury krytycznej, a także organy administracji publicznej stosują różne metodyki oceny zagrożeń, co stanowi dodatkowe ograniczenie.
Współpraca na linii państwo – biznes
Znaczna część infrastruktury krytycznej jest własnością podmiotów prywatnych. Zapewnienie jej bezpieczeństwa nie jest zatem możliwe bez ścisłej współpracy administracji publicznej ze środowiskiem biznesowym. Nałożony na właścicieli infrastruktury krytycznej obowiązek zapewnienia jej odpowiedniej ochrony jest jak najbardziej słuszny, lecz nie można zapominać, że to przede wszystkim państwo dysponuje aparatem oraz instrumentarium pozwalającym skutecznie przeciwdziałać niektórym zagrożeniom.
Najwyższa Izba Kontrola przeprowadziła w latach 2015–2016 kontrolę, w której wykazała brak ścisłej współpracy wójtów (burmistrzów) i starostów (prezydentów) z operatorami infrastruktury krytycznej. W niektórych przypadkach gminy w ogóle nie wiedziały o lokalizacji na ich terenie obiektów IK lub posiadały taką wiedzę jedynie ze źródeł nieoficjalnych. W konsekwencji część skontrolowanych jednostek samorządu terytorialnego nie wywiązywała się z obowiązków w obszarze ochrony infrastruktury krytycznej, a wynikających z ustawy o zarządzaniu kryzysowym. Według ustaleń kontrolerów nie gromadzono i nie przetwarzano informacji dotyczących zagrożeń dla IK, nie opracowywano i nie wdrażano procedur na wypadek wystąpienia takich zagrożeń oraz rozwiązań na wypadek zniszczenia lub zakłócenia funkcjonowania IK.
Współpraca państwa z podmiotami prywatnymi, jako cecha charakterystyczna skutecznego zarządzania w sytuacjach kryzysowych, musi uwzględniać nakładanie obowiązków na operatorów IK, a także rozwijać mechanizmy współpracy partnerskiej w zakresie wymiany doświadczeń oraz stanowienia standardów i zestawów dobrych praktyk.
Współpraca na linii biznes – biznes
Współpraca w zakresie ochrony infrastruktury krytycznej musi również przebiegać na linii biznes – biznes. Konieczna jest współpraca zarówno pomiędzy podmiotami z tego samego obszaru infrastruktury krytycznej, jak i podmiotów, pomiędzy którymi występują silne współzależności. Nie będzie to możliwe bez wzajemnego zaufania i zrozumienia, że leży to we wspólnym interesie podmiotów, które na co dzień ze sobą konkurują. Istnieje także wiele bardziej obiektywnych przeszkód dla swobodnego dzielenia się informacjami pomiędzy firmami. Ze względu na potrzebę ochrony tajemnicy przedsiębiorstwa oraz utrzymania przewagi konkurencyjnej, konsekwencje prawne, obawy przed stratami reputacyjnymi lub spadkami kursów akcji podmioty prywatne nigdy nie będą chętne do całkowitego dzielenia się informacjami. Zbudowanie wzajemnego zaufania pomiędzy przedsiębiorcami oraz przekonania o korzyściach wynikających z podejmowanej współpracy zajmie zapewne wiele lat.
Nadal nierozwiązany pozostaje spór, czy współpraca pomiędzy przedsiębiorcami powinna przebiegać na zasadzie dobrowolności, czy może konieczne jest wprowadzenie mechanizmów czyniących współpracę obligatoryjną.
Integracja systemów
W wielu obiektach infrastruktury krytycznej wykorzystuje się sprzęt oraz systemy różnej generacji i różnych technologii. Co więcej, poszczególne systemy zazwyczaj działają niezależnie od siebie i nie wymieniają między sobą informacji.
Jak już podkreślono, tak jak zbyt głęboka współzależność może być problemem dla bezpieczeństwa, tak nie mniejszym kłopotem może być również brak jakiejkolwiek integracji pomiędzy systemami. Jest to szczególnie widoczne w przypadku największych obiektów, gdzie równolegle funkcjonują różne systemy alarmowe, zabezpieczenia mechaniczne, systemy bezpieczeństwa informacji, ochrona fizyczna, systemy automatyki budynkowej, systemy łączności i komunikacji, systemy automatyki przemysłowej, systemy pozycjonowania, systemy radarowe oraz inne urządzenia i systemy dostarczające w każdej sekundzie ogromne ilości danych. Jeżeli dodać do tego informacje pochodzące z zewnętrznych baz danych, źródeł medialnych, serwisów internetowych, to określenie „szum informacyjny” jest z pewnością bardzo łagodne.
W konsekwencji wdrożenie kolejnych systemów, które z założenia powinny usprawnić i ułatwić zarządzanie, przysparza dodatkowej pracy i wymaga ogromnego zaangażowania personelu. Zintegrowanie systemów staje się dziś koniecznością, przynajmniej na poziomie wymiany informacji i monitorowania zdarzeń w czasie rzeczywistym.
Przygotowanie społeczeństwa
Ostatnim wyzwaniem związanym z zapewnieniem bezpieczeństwa infrastrukturze krytycznej jest przygotowanie społeczeństwa. Należy zwrócić uwagę na dwa elementy. Konieczne jest ciągłe szkolenie i kształtowanie właściwych postaw pracowników, przy równoczesnym monitorowaniu i wykrywaniu nieodpowiedzialnych zachowań pracowników. O konieczności budowy w każdej organizacji odpowiedniej kultury bezpieczeństwa raczej nie trzeba przekonywać. Jednocześnie konieczne jest przygotowanie społeczeństwa na sytuacje, kiedy w wyniku wystąpienia zakłóceń w działaniu poszczególnych elementów lub systemów infrastruktury krytycznej świadczenie określonych usług (np. dostawy mediów, łączność i komunikacja) nie będzie możliwe przez określony czas. Dotyczy to również instytucji publicznych i przedsiębiorstw prywatnych, które świadome podobnych zagrożeń muszą przygotowywać się na tego typu scenariusze. W tym obszarze jest dużo do zrobienia.
Obecnie mieszkańcy miast nie muszą myśleć o zapewnieniu dostaw podstawowych mediów – wszystkie są dostarczane przez dedykowane systemy. Oprócz oczywistych korzyści, powoduje to jednak wzrost wrażliwości społeczeństwa na wszelkie zakłócenia w tych systemach. By zauważyć brak przygotowania do takich sytuacji, wystarczy spojrzeć na zachowania ludzi w czasie chwilowych utrudnień w funkcjonowaniu komunikacji publicznej lub okresowych przerw w działaniu systemu elektroenergetycznego.
Podsumowanie
Przedstawione wyzwania dotyczące bezpieczeństwa infrastruktury krytycznej wskazują priorytety działalności na najbliższe lata. Nie jest to katalog zamknięty i w zależności od sektora lub specyfiki systemów mogą one podlegać pewnym modyfikacjom i przewartościowaniom. Jednocześnie trzeba mieć świadomość występowania bardziej przyziemnych problemów, z którymi na co dzień zmagają się osoby odpowiedzialne za bezpieczeństwo infrastruktury krytycznej.
Ostatnie kontrole i raporty potwierdzają, że potrzeba wielu lat intensywnej pracy, by można było mówić o dojrzałości systemu ochrony infrastruktury krytycznej.
Sergiusz Parszowski, niezależny ekspert i doradca do spraw bezpieczeństwa. Audytor systemów bezpieczeństwa. Doświadczony trener i szkoleniowiec. Autor publikacji dotyczących ochrony osób i mienia oraz bezpieczeństwa i porządku publicznego.
