Trudna sytuacja energetyczna Ukrainy, po systematycznym ostrzale przez Rosjan ukraińskich elektrowni, elektrociepłowni, stacji transformatorowych i linii energetycznych, dowodzi znaczenia infrastruktury krytycznej. I potwierdza konieczność jej chronienia. Jak to robimy w Polsce?
Ochrona infrastruktury krytycznej, z definicji zawsze potrzebna, w sytuacji wojny za naszą wschodnią granicą nabiera szczególnego znaczenia.
O to, jak owa infrastruktura jest w Polsce zabezpieczana, zwłaszcza ta energetyczna: elektrownie, paliwowa sieć przesyłowa, telekomunikacja czy systemy cyfrowe, i o to, jakie nowe wyzwania pojawiają się w tej dziedzinie, zapytaliśmy Witolda Skomrę, pełniącego obowiązki szefa Wydziału Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa.
Według definicji infrastruktura krytyczna (IK), kojarzona dziś głównie z bombardowanymi przez rosyjskie wojska elektrowniami, elektrociepłowniami czy ujęciami i przepompowniami wody, obejmuje o wiele więcej różnego rodzaju obiektów, urządzeń, instalacji oraz usług, służących zapewnieniu sprawnego funkcjonowania administracji publicznej i społeczeństwa.
Kluczowe, obok systemów zaopatrywania w energię, surowce energetyczne i paliwa, w żywność i wodę, są także łączności, sieci teleinformatyczne i finansowe, instytucje ochrony zdrowia, transport, jednostki ratownicze oraz te pozostałe, które zapewniają ciągłość działania administracji publicznej, produkcji przemysłowej, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych (w tym rurociągi substancji niebezpiecznych).
Dodajmy: nie każdy obiekt, nawet z tych strategicznych, należy do infrastruktury krytycznej. O jego włączeniu do tego katalogu decydują szczegółowe kryteria zapisane w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej.
– Jeżeli obiekt się w nim znajduje, operator jest zobowiązany opracować plan jego ochrony – precyzuje Witold Skomra.
I dodaje, że bezpieczeństwo każdego obiektu infrastruktury krytycznej traktujemy w sześciu wymiarach. To bezpieczeństwo fizyczne, osobowe, techniczne, teleinformatyczne (w znaczeniu IT związane z ochroną przesyłanych danych i QT – dotyczące ochrony systemów sterowania). A także bezpieczeństwo prawne i ochrona planów ciągłości działania, czyli gotowość do podtrzymania kluczowych procesów, nawet jeżeli dojdzie do „zakłócenia”.
– Operator musi brać pod uwagę, że jego poczynania eliminujące zagrożenia bądź przeciwdziałające im mogą okazać się nieskuteczne. Powinien być na taką ewentualność przygotowany i wiedzieć, co robić w takiej sytuacji. Ten ostatni, szósty filar bezpieczeństwa nazywamy żartobliwie „zaplanuj sobie przyszłą katastrofę”… – wyjaśnia szef wydziału Rządowego Centrum Bezpieczeństwa.
Rozproszona infrastruktura telekomunikacyjna, kluczowa dla funkcjonowania współczesnej administracji i gospodarki, jest wrażliwa i podatna na atak hakerski, ale także terrorystyczny. Fot. AdobeStockWymowa „zasady sześciu wymiarów bezpieczeństwa” – to autorski pomysł RCB – jest jednoznaczna: albo analizujesz i zapewniasz funkcjonowanie wszystkich, albo obiekt nie jest bezpieczny…
Przez wiele lat podstawowym rodzajem ochrony obiektów było bezpieczeństwo fizyczne, czyli de facto strażnicy i patrole. Teraz coraz większe znaczenie ma ochrona osobowa, czyli zatrudnianie właściwych osób na właściwych stanowiskach; techniczna – umożliwiająca dostęp do obiektów tylko osób do tego upoważnionych, a przede wszystkim: zabezpieczenie teleinformatyczne.
– Dziś działania ochronne wykonywane jedynie przez osoby fizyczne to kompletne nieporozumienie… Kluczowym elementem jest cyberbezpieczeństwo. O wiele bardziej zagrażają nam hakerzy niż grupy dywersyjne, drony czy rakiety – uważa Witold Skomra.
Podkreśla, że szkody w organizacjach, firmach i obiektach infrastruktury krytycznej powstają dziś głównie w wyniku działania osób, które dostały się tam z zewnątrz. To mogą być na przykład pracownicy firm remontujących, a więc ci, którzy zatrudnieni są legalnie i pracują „w środku”.
W Polsce w 2021 r. odnotowano niemal 55 tys. przestępstw mających związek z naruszeniem bezpieczeństwa informacji w sieci. Według badania PwC, w 2022 r. nastąpi wzrost liczby takich zdarzeń. Cyfryzacja infrastruktury krytycznej oraz rozwijanie łączności czyni te systemy szczególnie podatnymi na hakerskie ataki. Jak się chronić przed tą zmorą?
– Po pierwsze: nie da się skutecznie ochronić przed cyberatakami. Gdyby zastosować jakieś nadzwyczajne rozwiązania, mogłoby się okazać, że koszt ich wprowadzenia byłby nieadekwatny do wartości ochranianego zasobu. Nie możemy wydać 10 tys. zł, by ocalić coś, co warte jest 100 zł... W tym kontekście trzeba też pamiętać, że formy cyberataku i narzędzia hakerów zmieniają się jak w kalejdoskopie. Niektórym operatorom wydaje się, że jeśli 5 lat temu zastosowali jakąś metodę ochronną, uważaną wówczas za nowoczesną, to problemu z ochroną sieci już mieć nie będą… Koledzy z wojsk cybernetycznych mówią, że żadna broń tak szybko nie rdzewieje, jak ta stosowana na froncie cybernetycznym – wyjaśnia ekspert.
RCB pracuje nad zabezpieczeniami ograniczającymi możliwość takich ataków, wykorzystując najnowsze rozwiązania.
– Właśnie budujemy rządową chmurę publiczną. Zatrudnimy ekspertów, którzy będą ją chronić na najwyższym możliwym poziomie i podzielimy się zasobami z podmiotami, które finansowo nie wytrzymają wymagań ochrony danych – mówi ekspert.
Nieprzewidywalne, niewyjaśnione, niekiedy tragiczne wydarzenia związane z wojną za naszą wschodnią granicą wyczuliły decydentów i służby na zagrożenia dla infrastruktury, w tym dla rurociągów. Fot. AdobeStockA jak chroni się tak zwaną infrastrukturę rozległą, taką jak rurociągi do przesyłu gazu czy ropy? W każdym systemie robi się to trochę inaczej.
Uszkodzenia lokalizuje się na podstawie pomiaru przepływu paliw i ciśnienia w rurociągu.
– Pomiary te bardzo precyzyjnie wskazują, że coś się stało i z dokładnością do kilku kilometrów wskazują, gdzie doszło do awarii. Posługując się tymi danymi, interweniują specjalistyczne zespoły, które lokalizują miejsce wycieku i usuwają usterkę.
Jak chroniona jest infrastruktura podmorska, której zabezpieczenie, jak okazało się po uszkodzeniu rurociągu Nord Stream, jednak nie jest dostateczne?
– Tam jest trudniej… Owszem, ciśnienia możemy pomierzyć, przepływy też, ale instalacje leżą głęboko i ciągną się przez wiele kilometrów, więc trudno szybko ustalić, w którym miejscu coś się stało… Inną, istotną niedogodnością jest to, że taka podmorska infrastruktura nie leży w całości na terytorium RP – wskazuje nasz rozmówca.
Podwodne urządzenia monitorowane są za pomocą rozmieszczonych na dnie sonarów przez marynarkę wojenną, lotnictwo i satelity. To dzięki obrazom przesyłanym z tych ostatnich udało się ustalić, że wokół miejsca eksplozji, która uszkodziła Nord Stream, pływały rosyjskie jednostki nawodne i podwodne…
Będziemy też musieli zadbać o bezpieczeństwo kluczowego dla Polski gazociągu Baltic Pipe, którym od niedawna do naszego kraju płynie gaz z Norwegii. Na razie jeszcze nie ma planu jego ochrony.
– Procedowane są zmiany w ustawie o ochronie żeglugi morskiej i portów morskich. Chcemy do niej wprowadzić zapisy umożliwiające wykorzystanie sił zbrojnych do ochrony podmorskiej infrastruktury krytycznej. Przy czym na tym nie koniec: będą potrzebne dalsze regulacje dotyczące choćby wód międzynarodowych. Doradzam w tych sprawach na forum Komisji Europejskiej i Parlamentu Europejskiego, gdzie trwają również uzgodnienia, na jakich warunkach NATO mogłoby objąć monitoringiem podmorską infrastrukturę krytyczną – mówi Skomra.
Wyjaśnia też, że ma na myśli zarówno satelity, która pozwalają ustalić, kto i po co pływa w pobliżu obiektów infrastruktury krytycznej, jak i okręty, które patrolowałyby określony rejon i reagowały na niepożądane działania.
– Ponieważ są to ustalenia, które czyni się na poziomie tak wysokim, że Polska nie może samodzielnie sobie z nimi poradzić, prowadzimy rozmowy na ten temat z Unią Europejską i NATO – tłumaczy ekspert.
Podkreśla, że na podstawie wniosków wynikających z przebiegu wojny w Ukrainie zidentyfikować można także całkiem nowe wyzwania. Jedno z ważniejszych wymaga przerzucenia głównego ciężaru ochrony z obiektów na usługi. Co to znaczy w praktyce?
– Jesteśmy teraz skupieni na pewnych elementach ciągu technologicznego, który ochraniamy. Według ustawy ochronie podlegają ujęcia wody, stacje jej uzdatniania czy oczyszczalnie ścieków. O rurach biegnących pomiędzy tymi instalacjami żaden przepis nie wspomina… Ani my, ani inne kraje Unii Europejskiej nie stworzyły mechanizmów, aby ochronę tych obiektów zaczynać już u odbiorcy. Jeśli chcę mieć w domu gaz, prąd i wodę, to wszyscy, którzy mogliby zakłócić mi dostawy tych usług kluczowych, powinni być objęci wymogami prawnymi. Przejście z toku myślenia – „ochraniamy ważny obiekt” na myślenie – „mamy ochraniać kluczową usługę” to dziś ważny problem – mówi Witold Skomra.
Kończą się prace nad nową dyrektywą Unii Europejskiej, nazywaną CER, która rozszerzy unijne ramy prawne UE służące wzmocnieniu odporności podmiotów obsługujących infrastrukturę krytyczną.
Znajdzie się tam nowa regulacja: ten, kto dostarcza kluczową usługę, bez której nie „przeżywają” podmioty zajmujące się ważną dla państwa działalnością, nie może całkowicie zaprzestać świadczenia tej usługi.
Wspólnota zakłada też, że standardy bezpieczeństwa dla tych usług określi rząd, zapewniając przynajmniej minimalną ich dostępność. Jeżeli dostawca im się nie podporządkuje – będzie płacił kary.
Kraje członkowskie, ze względu na bezpieczeństwo publiczne, powinny też przygotować środki finansowe na wsparcie podmiotu krytycznego w trudnych sytuacjach. W praktyce oznacza to, że gdy biznesmen oświadczy, że nie dostarczy gazu, bo go na to nie stać, rząd legalnie będzie mógł dotować jego działalność, a kluczowa usługa nadal będzie realizowana – ze względu na interes publiczny.
Problem w tym, że wiedza na ten temat jest bardzo specjalistyczna, nie przebija się łatwo do tak zwanego mainstreamu i nie daje profitów politycznych. Nie wydaje się zatem, aby politycy chcieli się szczególnie aktywnie angażować w działania w tym obszarze. Chyba że na terytorium Polski znów spadnie rakieta – kończy Witold Skomra.
Tekst pochodzi z Magazynu Gospodarczego Nowy Przemysł nr 04/2022.
Oglądasz archiwalną wersję strony Europejskiego Kongresu Gospodarczego.
Co możesz zrobić:
Przejdź do strony bieżącej edycji lub Kontynuuj przeglądanie
