Witold Skomra – Rządowe Centrum Bezpieczeństwa

Konieczność ochrony infrastruktury krytycznej wiąże się ze zjawiskiem stopniowego uzależniania się społeczeństwa od zdobyczy cywilizacji. Proces ten prowadzi niekiedy do sytuacji, gdy zakłócenie funkcjonowania IK jest traktowane jako zagrożenie o charakterze publicznym, przy czym granice pomiędzy zadaniami realizowanymi przez administrację publiczną i sektor prywatny mogą ulegać zatarciu. Podmioty biznesowe coraz częściej bazują na danych, procesach i aplikacjach dostarczanych przez administrację, zaś administracja nie jest w stanie realizować swoich zadań bez współudziału sektora prywatnego. Jednocześnie utrzymuje się podział odpowiedzialności za skutki braku usług, od których zależy komfort życia społecznego. Przedsiębiorcy odpowiadają za bezpośrednie skutki własnej działalności i ewentualnie ponoszą koszty związane z wypłatą kar umownych. Skutki społeczne braku podstawowych dóbr i usług, zwłaszcza, gdy wiążą się z naruszeniem bezpieczeństwa publicznego, obciążają administrację publiczną.

Podstawowe urządzenia i instytucje, niezbędne do funkcjonowania gospodarki i społeczeństwa, noszą encyklopedyczną nazwę „infrastruktura”, zaś ta infrastruktura, której dysfunkcja powoduje naruszenie bezpieczeństwa publicznego nosi nazwę infrastruktury krytycznej (w skrócie IK). Warto zwrócić uwagę, że pojęcie „infrastruktura” nie musi się odnosić do obiektu fizycznego. Według ustawy o zarządzaniu kryzysowym, infrastrukturą krytyczną mogą być zarówno obiekty, w tym obiekty budowlane, urządzenia, instalacje, ale także usługi, o ile mają kluczowe znaczenie dla bezpieczeństwa państwa i jego obywateli albo służą zapewnieniu sprawnego funkcjonowania organów administracji publicznej, instytucji i przedsiębiorców. Tak szeroki zakres potencjalnych obiektów IK i stosowanie przy ich opisie tak niejednoznacznych pojęć jak „poważny wpływ” czy „kluczowe znaczenie” powodują, że proces wyłaniania IK jest trudny i wielostopniowy. W myśl Narodowego Programu Ochrony Infrastruktury Krytycznej, wyłanianie obiektu IK odbywa się w trzech etapach. W pierwszym etapie ustala się, do którego systemu należy potencjalny obiekt IK i porównuje się jego cechy z kryteriami danego systemu (kryteria te są niejawne). W kroku drugim sprawdza się, czy dany obiekt pełni rolę, o której mowa w definicji IK. W trzecim kroku analizie podlegają potencjalne skutki dysfunkcji danego obiektu. O ile obiekt spełnia kryteria etapu pierwszego i drugiego, a jednocześnie potencjalne skutki jego dysfunkcji są nieakceptowane, uznaje się ten obiekt za infrastrukturę krytyczną.

Równolegle funkcjonuje odmienne podejście do wyłaniania infrastruktury o istotnym znaczeniu dla funkcjonowania społeczeństwa. W myśl ustawy o krajowym systemie cyberbezpieczeństwa, wyłania się nie obiekty IK, lecz operatorów usług kluczowych. W tym rozumieniu usługa kluczowa to taka, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej i jest wymieniona w wykazie usług kluczowych. Natomiast decyzję uznającą podmiot za operatora usługi kluczowej wydaje się o ile:

  • podmiot świadczy usługę kluczową;
  • świadczenie tej usługi zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Zasięg tej regulacji jest mocno ograniczony, gdyż odnosi się wyłącznie do usług ujętych w ustawie (bez możliwości dołączenia innych) i to tylko takich, które bazują na systemach informacyjnych. Ich zależność od innych czynników (np. od dostaw prądu) nie jest brana pod uwagę.

Opisany powyżej dualizm jest wynikiem funkcjonowania dwóch, niespójnych dyrektyw UE. Dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony[1] nakazuje podejście obiektowe, podczas gdy dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii[2] wprowadza podejście usługowe. Już sam fakt jednoczesnego funkcjonowania dwóch różnych podejść do wyłaniania IK wskazuje, że brak jest jednolitej metodyki w tej sprawie. Ponadto w obu przypadkach istnieje problem z jednoznacznym wskazaniem, które podmioty potencjalnie mogą spełniać kryteria zaliczające do IK lub usług kluczowych. Ustawa o zarządzaniu kryzysowym enigmatycznie wspomina, że wykaz obiektów sporządza dyrektor Rządowego Centrum Bezpieczeństwa we współpracy z odpowiednimi ministrami odpowiedzialnymi za poszczególne systemy (ustawa o ZK art. 5b, ust. 7 pkt. 1). Natomiast ustawa o krajowym systemie cyberbezpieczeństwa w załączniku nr 1 wymienia 6 obszarów, w których funkcjonujące podmioty powinny być brane pod uwagę jako potencjalni operatorzy usług kluczowych. Oba podejścia nie są wprost powiązane ani z funkcjami państwa, ani z potrzebami obywateli. Dlatego z góry można założyć, że istnieją obiekty i usługi o istotnym czy wręcz krytycznym znaczeniu, które nie zostały uwidocznione ani w wykazie obiektów IK, ani w wykazie operatorów usług kluczowych. Oba podejścia mają jeszcze jedno ograniczenie. Wyłanianie operatora usługi kluczowej i obiektu IK odbywa się w odniesieniu do jego roli w rozumieniu państwa jako całości. Pomija się natomiast operatorów, których działalność ma krytyczne znaczenie dla społeczności lokalnych.

Rozwiązaniem powyższych dylematów może być oparcie procesu wyłaniania IK o podejście usługowe. W tym podejściu dla każdego z 11 systemów wymienionych w ustawie sporządza się katalog usług krytycznych z podziałem na usługi lokalne i krajowe. Przy czym usługi krytyczne to usługi, do których dostęp zapewnia administracja publiczna, a których zakłócenie mogłoby skutkować naruszeniem bezpieczeństwa publicznego. Zapewnienie dostępu do usługi nie musi oznaczać, że administracja samodzielnie ją dostarcza. Równie dobrze może ją kupować od podmiotów biznesowych (np. usługi zdrowotne) albo zapewniać dostęp poprzez regulację danego rynku (np. dostęp do telefonu 112). Zapewnienie dostępu do usług krytycznych można powiązać z potrzebami, które można podzielić na potrzeby indywidualne (np. ratownictwo), grupowe (np. transport publiczny) i narodowe (np. rejestry państwowe)[3].

Dla każdej z usług należy sporządzić kryteria pozwalające ocenić przy jakich warunkach usługa ma znaczenie krytyczne i czy jest to usługa krytyczna dla społeczności lokalnej czy dla całego państwa. Dopiero po tym etapie można wskazać operatora lub operatorów usługi krytycznej. Określenie „operatorów” zostało użyte celowo, gdyż często działalność kilku podmiotów jednocześnie pozwala na utrzymanie jednej usługi.

Przedstawiony schemat postępowania jedynie pozornie wydaje się prosty. We współczesnym świecie poszczególne systemy są wzajemnie zależne i bez wiedzy o tych zależnościach trudno wyrokować, jak zakłócenie u jednego operatora wpływa na działalność kolejnego. W efekcie, wystąpienie efektu domina jest coraz trudniejsze do przewidzenia. Generalnie przy opisie współzależności pomiędzy poszczególnymi rodzajami infrastruktury krytycznej i pomiędzy nią a administracją można wykorzystać następującą klasyfikację (Rinaldi i in. 2001):

  • współzależność fizyczna – fizyczne połączenie wyjścia i wejścia, przykładowo usługa lub produkt dostarczane przez jedną infrastrukturę są niezbędne by inna infrastruktura mogła funkcjonować;
  • współzależność cyfrowa – działalność infrastruktury jest uzależniona od informacji przesyłanych systemami transmisji danych;
  • współzależność geograficzna – kilka obiektów lub rodzajów infrastruktury znajduje się w swoim bezpośrednim sąsiedztwie (w efekcie zagrożenie w jednym obiekcie może oddziaływać na pozostałe);
  • współzależność logiczna – dwa lub więcej rodzajów infrastruktury wzajemnie na siebie oddziałuje bez żadnego powiązania fizycznego, cyfrowego czy geograficznego.

Oczywiście nie da się w jednym kroku wytypować operatorów bezpośrednio dostarczających usługi krytyczne i tych, którzy są niezbędni, ale w sposób pośredni. Dlatego zamiana sposobu wyłaniania IK z podejścia systemowo-obiektowego na podejście systemowo-usługowe będzie procesem wieloletnim, uzależnionym od rozpoznawania współzależności pomiędzy systemami. Jednak jego przeprowadzenie pozwoli poszerzyć pojęcie kompleksowej ochrony IK o kompleksową ochronę obiektów i systemów, od których dana IK jest uzależniona. W efekcie, optyka „chronimy ważne obiekty” zostanie poszerzona o optykę „budujemy społeczeństwo odporne na zakłócenia”. I właśnie budowanie odporności powinno być głównym przesłaniem Narodowego Programu Ochrony Infrastruktury Krytycznej w nowym wydaniu.

Literatura:

  1. Ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym (tekst jedn. Dz. U. z 2018 r. poz. 1401 ze zm.)
  2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz. Urz. UE L 194/1.
  3. Dyrektywa Rady 2008/114/WE z 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, Dz. Urz. UE L 345/75.
  4. Bennett, V. Gupta, Dealing in Security understanding vital services and how they keep you safe, http://resiliencemaps.org/files/Dealing_in_Security.July2010.en.pdf.
  5. Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK) przyjęty uchwałą nr 210/2015 Rady Ministrów z 2 listopada 2015 r., http://rcb.gov.pl/wp-content/uploads/Narodowy-Program-Ochrony-Infrastruktury-Krytycznej-20151.pdf (online 11.09.2017).
  6. Rinaldi S.M., Peerenboom J.P., Kelly T.K. Identifying, understanding, and analyzing critical infrastructure interdependencies. IEEE Control Systems Magazine 2001:11-25.
  7. Skomra W., 2018. Panowanie nad ryzykiem w ramach publicznego zarządzania kryzysowego, Warszawa Bel Studio.
  8. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560).

[1] Dyrektywa Rady 2008/114/WE z 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, Dz. Urz. UE L 345/75.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz. Urz. UE L 194/1.

[3] M. Bennett, V. Gupta, Dealing in Security understanding vital services and how they keep you safe, http://resiliencemaps.org/files/Dealing_in_Security.July2010.en.pdf.