Infrastruktura krytyczna to wszelkiego rodzaju, systemy, usługi, instalacje i budynki, które są ze sobą funkcjonalnie powiązane i stanowią ważny element dla bezpieczeństwa państwa i jego obywateli. Poprawne funkcjonowanie infrastruktury krytycznej daje także gwarancję sprawnego funkcjonowania administracji publicznej oraz wielu kluczowych instytucji i przedsiębiorstw w szczególności odpowiedzialnych za dostarczanie energii, wody, paliwa, żywności czy ochrony zdrowia.
Zatem ochrona infrastruktury krytycznej i dzięki temu zapewnienie jej poprawnego funkcjonowania to bardzo ważne zadanie do zrealizowania. Zadanie to powierza się organom administracji rządowej jak i samorządowej. Funkcjonowanie infrastruktury krytycznej może zostać naruszone na skutek klęsk żywiołowych, terroryzmu czy innej działalności przestępczej.
Każde naruszenie infrastruktury kry
tycznej to zagrożenie dla bezpieczeństwa Polski i jej obywateli. Przykładem, dobrze opisującym uszkodzenie jednego z systemów infrastruktury krytycznej jest awaria, która wydarzyła się w 1997 r. w Nowym Jorku. W wyniku tej awarii na czas 25 godzin przestała funkcjonować sieć energetyczna. To wystarczyło do tego aby w mieście wybuchło ponad 1000 pożarów i obrabowano ponad 1,7 tyś. sklepów. Przykład ten daje jasno do zrozumienia, że prawidłowa ochrona infrastruktury krytycznej to priorytet, którego w żaden sposób nie można zaniechać. Ewentualne uszkodzenia infrastruktury krytycznej powinny być możliwie jak najkrótsze, łatwe do usunięcia i nie powinny wywoływać dodatkowych strat dla obywateli i gospodarki. Ochrona infrastruktury krytycznej powinna zapewniać działania zapobiegające zagrożeniom ryzykom lub słabym punktom oraz ograniczać i neutralizować ich skutki. Ochrona powinna także dawać możliwość szybkiego odtworzenia infrastruktury w razie jej uszkodzenia.
Zgodnie z ustawą o zarządzaniu kryzysowym obowiązki w zakresie ochrony infrastruktury krytycznej spoczywają na właścicielach oraz posiadaczach samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej. O tym, czy dany obiekt znajduje się w wykazie infrastruktury krytycznej decyduje Dyrektor Rządowego Centrum Bezpieczeństwa (RCB) we współpracy z właściwymi ministrami, który informuje właściciela infrastruktury krytycznej o fakcie wciągnięcia jego obiektu na listę. Kwestie związane z ochroną obiektów infrastruktury krytycznej regulowane są także w innych aktach prawnych takich jak choćby: ustawie o działaniach antyterrorystycznych czy ustawie o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu. Pewne specjalne uprawnienia w zakresie zarządzania obiektami infrastruktury krytycznej zostały przydzielone także ministrowi właściwemu do spraw energii w spółkach kapitałowych lub grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej czy paliw gazowych, których mienie zostało ujęte w wykazie obiektów infrastruktury krytycznej (Dz. U. z 2016r. poz.2012). Tymi szczególnymi uprawnieniami jest prawo do wyrażenia sprzeciwu do podjętej przez zarząd czynności prawnej, której przedmiotem jest rozporządzenie składnikami mienia stanowiące zagrożenie do funkcjonowania infrastruktury krytycznej.
Poprawne wykonywanie obowiązków z zakresu ochrony infrastruktury krytycznej wymaga wdrożenia wielu procedur na różnych poziomach przedsiębiorstwa, przeprowadzenia wielu szkoleń a także weryfikacji przyjętych rozwiązań i ich aktualizacji. Wprowadzenie i egzekwowanie odpowiednich procedur umożliwi z jednej strony podjęcie właściwych działań w przypadkach realnego zagrożenia, a z drugiej pozwoli na uniknięcie ewentualnych zarzutów w trakcie kontroli ze strony organów państwowych.
Wracając jednak do RCB to należy podkreślić, że jest ono odpowiedzialne za stworzenie Narodowego Programu Ochrony Infrastruktury krytycznej, przy współpracy z ministrami i kierownikami urzędów centralnych właściwych w sprawach bezpieczeństwa narodowego. Celem Programu jest stworzenie warunków do poprawy bezpieczeństwa infrastruktury krytycznej, w szczególności w zakresie: zapobiegania zakłóceniom funkcjonowania infrastruktury krytycznej, reagowania w sytuacjach zniszczenia lub zakłócenia funkcjonowania infrastruktury krytycznej oraz odtwarzania infrastruktury krytycznej. Narodowy Program Ochrony Infrastruktury Krytycznej określa narodowe priorytety zapewniające sprawne działanie infrastruktury krytycznej, określa także ministrów kierujących działami administracji rządowej oraz kierowników urzędów centralnych odpowiedzialnych za systemy infrastruktury krytycznej. Ponadto program określa szczegółowe kryteria pozwalające określić czy dany obiekt, instalacja bądź system należą do infrastruktury krytycznej.
W ciągu ostatniego roku zauważono, że zwiększyła się liczba cyberataków na infrastrukturę krytyczną a cyberprzestępcy ciągle doskonalą swoje umiejętności i metody działania aby jak najłatwiej i jak najszybciej wydobyć z firmowych sieci cenne dane. Przykładem mogą być ataki typu „killware”, które kierowane są przeciwko systemom ochrony zdrowia i mają szkodliwy wpływ na zdrowie, a nawet życie ludzi – stąd ten termin. Ataki coraz częściej zakłócają pracę szpitali, rurociągów, oczyszczalni ścieków i oczywiście systemów IT.
W zakresie cyberbezpieczeństwa zakłada się, że organizacje będą nadal koncentrować się na przyjmowaniu modelu bezpieczeństwa typu zero-trust, który ogranicza dostęp do sieci tylko do osób, które go potrzebują. Model ten zakłada, że ryzyko może pochodzić z dowolnego miejsca i ogranicza możliwość nieautoryzowanego przemieszczania się w sieciach. Jednocześnie przewiduje się, że znaczna część rynku przesunie się w kierunku zarządzanych usług bezpieczeństwa. Powinno także rosnąć znaczenie analityków bezpieczeństwa, ponieważ efektywne wykrywanie i reagowanie na zagrożenia wymaga wiedzy z zakresu informatyki śledczej i reagowania na incydenty.
Dziś w dobie pandemii, właściciele infrastruktury krytycznej zmuszeni są do podejmowania nieszablonowych działań w zakresie bezpieczeństwa. Dlatego niezwykle istotne i przydatne okazuje się wsparcie ze strony doświadczonych partnerów z branży security. Dzięki temu operatorzy infrastruktury krytycznej mogą dobrać właściwe i bez nadmiernego generowania kosztów, środki ochrony technicznej.
Współpraca operatorów infrastruktury krytycznej z branżą security pozwala też osiągnąć zabezpieczenia przed bezzałogowymi statkami powietrznymi (BSP), które to coraz częściej stanowią zagrożenie dla obiektów, systemów czy instalacji infrastruktury krytycznej. Branża security prowadzi intensywne działania na rzecz wypracowania rozwiązań umożliwiających wczesną detekcję BSP i w przypadku, gdy stanowi on zagrożenie, jego skuteczne ale i bezpieczne wyeliminowanie. Należy jednak pamiętać, że każda jednostka organizacyjna działa w innym środowisku operacyjnym i otoczeniu zewnętrznym, w związku z tym wybrane rozwiązanie powinno być skuteczne, a przede wszystkim zgodne z obowiązującymi regulacjami prawnymi.
Na zakończenie pozostaje nam niestety „gorzka prawda” dotycząca nas jako ludzi. Jesteśmy bowiem najsłabszym ogniwem w zarządzaniu infrastrukturą krytyczną. Każdy z nas ma bowiem inną mentalność i sposób reagowania na różne sytuacje. Zatem każdy operator infrastruktury krytycznej może zareagować inaczej, może być mniej lub bardziej aktywny zawodowo, może być także mniej podatny na innowacje czy właściwą interpretację warunków technicznych w uregulowaniach prawnych. Efektem tego może być słabsza ochrona infrastruktury krytycznej – czego cały czas próbujemy unikać. Dlatego tak istotna jest ciągła współpraca organów rządowych, samorządowych, administracji publicznej i branży security aby zwiększać świadomość operatorów infrastruktury krytycznej z zakresu nowości i możliwości ochrony infrastruktury krytycznej.
Robert Gabrysiak
