Zagrożenia bezpieczeństwa IK
Andrzej Kozłowski
Każdego dnia jesteśmy bombardowani przez media informacjami o różnych zagrożeniach, ale niewiele
osób zwraca na nie uwagę, wychodząc z założenia,
że dopóki nas to nie dotyka, dopóty nie ma potrzeby się tym przejmować. Nawet jeśli skutki tych zagrożeń odczujemy bezpośrednio, to gdy emocje opadną,
i tak o nich zapominamy.
Lekceważącą postawę wobec zagrożeń kreują nawet osoby wysoko postawione w strukturach organizacji, odpowiedzialne za bezpieczeństwo infrastruktury krytycznej (IK). Wynika ono często z koncentrowania się na realizacji założonych celów ekonomicznych (lub własnych), ale również braku podstawowej wiedzy z zakresu ochrony infrastruktury krytycznej oraz świadomości możliwych skutków ich nieodpowiedzialności.
Na całym świecie występuje stan ciągłego zagrożenia bezpieczeństwa, któremu ludzie starają się przeciwstawić. Aby ich działania były skuteczne, potrzebna jest wiedza na temat przyczyn powstawania tych zagrożeń, możliwych skutków ich wystąpienia, struktury i natury niebezpiecznych zjawisk oraz ich wczesnej i skutecznej identyfikacji. Dzięki niej możliwe jest opracowanie odpowiednich procedur postępowania na wypadek zagrożenia, które będą w stanie zminimalizować prawdopodobieństwo jego wystąpienia, złagodzą jego przebieg oraz ograniczą skutki. Dlatego podmioty zainteresowane utrzymaniem stabilnego poziomu bezpieczeństwa, a zwłaszcza podmioty o strategicznym znaczeniu dla bezpieczeństwa państwa i jego obywateli powinny korzystać z wiedzy o możliwych zagrożeniach do budowania indywidualnych systemów zarządzania bezpieczeństwem IK.
Obecnie największym wyzwaniem dla osób zajmujących się zapewnieniem bezpieczeństwa IK jest przeciwdziałanie zagrożeniom cywilizacyjnym, zwłaszcza tym, które zostały wywołane przez człowieka i postęp techniczny. To one są najczęstszymi przyczynami awarii i katastrof. Zazwyczaj wynikają z błędów projektowych i różnych wad (materiału, wykonania, montażu), a także niewłaściwej eksploatacji urządzeń i ich nadmiernego zużycia.
Skutki awarii są często nieprzewidywalne, mogą obejmować zasięgiem tereny zarówno lokalne, jak i oddalone o setki kilometrów. Szczególnie niebezpieczne są awarie elektrowni i elektrociepłowni, które mogą doprowadzić do blackoutu1), oraz awarie zakładów, w których znajdują się niebezpieczne środki chemiczne mogące skazić środowisko naturalne. Przyczyną skażeń mogą być zamierzone działania ludzi, a więc akty przemocy o charakterze terrorystycznym, których celem jest wywołanie przerażenia w społeczeństwie. Szczególnie niebezpieczne są akty terroryzmu zbiorowego o podłożu politycznym, których ofiarami są zazwyczaj przypadkowe osoby. Terroryści do ataków wykorzystują wszelkie możliwe środki, które mogą wywołać nie tylko skutek śmiertelny, ale także choroby zakaźne, skażenie środowiska, zniszczenie budynków, urządzeń technicznych, linii komunikacyjnych oraz infrastruktury gospodarczej i przemysłowej.
Zagrożenie bezpieczeństwa IK stanowią również procesy migracyjne ludności z terenów słabiej rozwiniętych lub dotkniętych działaniami wojennymi do dużych aglomeracji, gdzie łatwiej o pracę. Efektem jest uzależnienie się od „scentralizowanych dostaw: żywności, wody, gazu, energii elektrycznej oraz odprowadzania ścieków i wywozu odpadów”, a także duże prawdopodobieństwo wystąpienia poważnych awarii technicznych, zagrażających mieszkańcom aglomeracji i środowisku naturalnemu. Skutki niewłaściwej urbanizacji aglomeracji miejskich można zaobserwować właściwie w każdym dużym mieście. Są nimi nasilające się korki na ulicach, zanieczyszczenie powietrza, nadmierne zużycie wody, powstawanie ogromnych ilości śmieci i innych odpadów oraz ubożenie terenów zielonych.
We współczesnym świecie przedsiębiorstwa i społeczeństwo są coraz bardziej narażone na akty przemocy, konieczne jest zatem zastosowanie odpowiednich środków zaradczych w obrębie jednostek ważnych dla bezpieczeństwa państwa i obywateli. Należy przygotować pracowników tych jednostek na wypadek wystąpienia takich sytuacji, jak napad, włamanie, wzięcie zakładników, podłożenie ładunku wybuchowego, skażenie terenu środkami biologicznymi, chemicznymi, promieniotwórczymi. Trzeba przede wszystkim dokonać analizy i oceny możliwości pojawienia się tego typu zagrożeń, następnie opracować i wdrożyć procedury postępowania w celu zminimalizowania ryzyka wystąpienia tego typu przestępstw oraz złagodzenia konsekwencji ich ewentualnego zaistnienia. Środkami zaradczymi może być zastosowanie ochrony fizycznej i technicznej na różnych poziomach, a także działania informacyjne, szkolenia i treningi.
Olbrzymim zagrożeniem dla obiektów IK jest obecnie globalny rozwój sieci internetowej, powodujący przenikanie niepożądanych zjawisk ze świata wirtualnego do realnego.
Rozwój ten doprowadził do powstania nowego rodzaju zagrożeń związanych z cyberprzestępczością. W związku z tym działania przedsiębiorstw IK powinny opierać się na czynnych i systematycznie aktualizowanych zasadach bezpieczeństwa, mających na celu zapewnienie ochrony personelu, majątku, działalności operacyjnej i ich wyników.
Wartością, która powinna podlegać szczególnej ochronie, jest wiedza pracowników na tematy związane z funkcjonowaniem przedsiębiorstwa. Bardzo ważna jest przy tym ochrona przepływu informacji, zwłaszcza przetwarzanych w systemach informatycznych.
Pracownicy przedsiębiorstw IK powinni mieć świadomość dużego prawdopodobieństwa zagrożenia związanego z próbami pozyskania przez agentów obcego wywiadu i ugrupowania terrorystyczne informacji o stanie ochrony i organizacji ich jednostek, systemach zabezpieczeń technicznych, stosowanej technologii oraz systemach operacyjnych odpowiedzialnych za produkcję. Cyberprzestępcom do zainfekowania systemów operacyjnych wystarczy zwykły laptop z dostępem do sieci online. Natomiast walka z cyberterroryzmem jest bardzo trudna ze względu na brak jakichkolwiek granic w cyberprzestrzeni.
Każdy pracownik powinien wiedzieć, że aby przedsiębiorstwo mogło skutecznie prowadzić działalność w wymiarze wewnętrznym, a także kontaktach z klientami i kontrahentami, musi posiadać odpowiedni system wsparcia informatycznego, który niestety może być narażony na ataki hakerów.
Pracownicy w trakcie korzystania z systemów i łączności informatycznej muszą zatem przestrzegać wymogów operacyjnych związanych z ochroną: informacji przed nieupoważnionym dostępem i manipulacją, danych o działalności przedsiębiorstwa, systemów sterowania odpowiedzialnych za utrzymanie ruchu urządzeń technologicznych, systemów finansowych i administracyjnych.
Przedsiębiorstwa powinny posiadać szczegółowe instrukcje i procedury postępowania zapobiegające możliwości wystąpienia tego typu ryzyka oraz wykształcić wśród pracowników zachowania ukierunkowane na stworzenie kultury bezpieczeństwa informatycznego.
Kolejnym zagrożeniem związanym z postępem technicznym i cywilizacyjnym jest możliwość użycia do ataku terrorystycznego bezzałogowych statków, aparatów powietrznych zwanych potocznie dronami. Urządzenia te są dostępne prawie w każdym kraju za niewielkie pieniądze, a ich unikalne cechy użytkowe sprawiają, że są chętnie wykorzystywane do działań przestępczych. W rękach terrorystów mogą się stać bardzo niebezpieczną bronią umożliwiającą inwigilację terenu oraz przenoszenie i zrzut niebezpiecznego ładunku w dowolne miejsce.
Drony są tym bardziej groźne, że ich wykrycie przez obecnie stosowane systemy ochrony obwodowej jest właściwie niemożliwe. Co prawda istnieją systemy antydronowe, ale nie dają one pełnej gwarancji bezpiecznego unieszkodliwienia drona, zanim osiągnie on zakładany cel (najczęściej ze względu na ograniczony zasięg ich działania). Jeśli nawet uda się przejąć kontrolę nad sterowaniem drona i sprowadzić go na ziemię, to pozostaje jeszcze kwestia dezaktywowania ładunku, o którym nie ma żadnych informacji (a możliwość zastosowanych mechanizmów aktywacji i środków rażenia jest ograniczona jedynie pomysłowością konstruktora).
Skuteczne zarządzanie bezpieczeństwem obiektów IK jest coraz trudniejsze, wymaga bowiem specjalistycznej wiedzy z różnych obszarów działalności człowieka. Jest ona niezbędna do identyfikacji i prognozowania ewentualnych stanów zagrożeń, przygotowania adekwatnych scenariuszy postępowania na takie sytuacje oraz sporządzenia i uzgodnienia planów ochrony, a także planów obrony cywilnej tych obiektów.
Aby zapobiegać i przeciwdziałać zagrożeniom związanym z przestępczą działalnością człowieka nie należy zapominać o bezpośredniej ochronie fizycznej obiektów, ani o ich odpowiednim zabezpieczeniu technicznym. Chodzi o inwestycje w zabezpieczenia budowlane oraz elektroniczne systemy sygnalizacji włamania i napadu, kontroli dostępu, ochrony obwodowej, telewizji dozorowej, zabezpieczeń informatycznych, dźwiękowego ostrzegania czy ochrony przeciwpożarowej.
Zastosowanie najnowocześniejszej techniki nie daje jednak pewności, że uda się zapobiec aktom zagrażającym bezpieczeństwu. Zwiększa się natomiast szansa ich wykrycia i ograniczenia skutków, m.in. dzięki identyfikacji osoby, śledzeniu rejonów przemieszczania się, zasygnalizowaniu przedostania się do wydzielonej strefy lub próby włamania do systemu informatycznego lub identyfikacji przeszukiwanych lub kopiowanych obszarów z danymi. Nawet najprostsze zabezpieczenie mechaniczne (np. zamek z zasuwą), budowlane (krata, płot, ściana itp.) lub interwencja pracownika ochrony może skutecznie podnieść poziom bezpieczeństwa.
1) Blackout – utrata napięcia w sieci elektroenergetycznej na znacznym obszarze w wyniku nałożenia się kilku zdarzeń losowych (awarie sieci, wyłączenia elektrowni, ekstremalne warunki atmosferyczne), gdzie dochodzi do przekroczenia krytycznych wartości parametrów technicznych (częstotliwość, napięcie) oraz odłączenia od sieci elektrowni, co skutkuje utratą napięcia na całym obszarze objętym zakłóceniem.
Andrzej Kozłowski
Specjalista ds. bezpieczeństwa w Biurze Bezpieczeństwa PGNiG TERMIKA SA. Ekspert od zarządzania kryzysowego i organizacji ochrony w obiektach energetycznych. Autor książki „Zarządzanie bezpieczeństwem w obiektach energetycznych” i publikacji o zagrożeniach bezpieczeństwa energetycznego.