Marek Kubiak – Rządowe Centrum Bezpieczeństwa

Mija 11 lat od uchwalenia ustawy o zarządzaniu kryzysowym i 10 lat od utworzenia Rządowego Centrum Bezpieczeństwa. Jest to więc dobra okazja do postawienia pytań: „W jakim kierunku powinno się rozwijać zarządzanie kryzysowe w Polsce?” „Jaką rolę spełnia, bądź powinno spełniać w kontekście zagrożeń hybrydowych?” „Jaką rolę zarządzanie kryzysowe odgrywa w budowaniu odporności państwa?”

Historycznie rzecz ujmując, zarządzanie kryzysowe w Polsce bazuje na koncepcjach powstałych w latach 1998-1999, a będących odpowiedzią na bezradność struktur państwa wobec tragicznej w skutkach powodzi z roku 1997. W efekcie, uchwalona w 2007 r. ustawa regulująca ten obszar skupia się na działaniach związanych ze zdarzeniem, które już nastąpiło lub może się zdarzyć w nieodległej przyszłości. Warto zwrócić uwagę, że takie podejście było charakterystyczne dla zarządzania kryzysowego również w innych krajach. Na gruncie europejskim zagadnieniu temu była poświęcona Decyzja Rady z dnia 23 października 2001 r. ustanawiająca mechanizm wspólnotowy, ułatwiający współpracę przy interwencjach wspierających ochronę ludności. Decyzja skupiała się na reakcjach członków Unii Europejskiej po wystąpieniu katastrofy. Na obszarze ponadeuropejskim, wiodącymi dokumentami były w tym czasie Deklaracja z Hyogo oraz towarzyszący jej Plan Działania z Hyogo na lata 2005-2015. Plan działań zakładał zmniejszenie liczby ofiar katastrof naturalnych poprzez budowanie odporności poszczególnych państw. To budowanie odporności było rozumiane jako przygotowanie działań na wypadek wystąpienia katastrofy naturalnej. W tych warunkach polska ustawa o zarządzaniu kryzysowym nie odbiegała zasadniczo od aktualnych wówczas kierunków działania. Parafrazując nieco – ustanowione w jej ramach fazy działania można określić następująco:

  • nie dopuścić, aby zagrożenie przekształciło się w sytuację kryzysową;
  • przygotować się na wypadek, gdyby jednak do sytuacji kryzysowej doszło;
  • podjąć odpowiednie działania, gdy sytuacja kryzysowa wystąpiła;
  • odbudować (lub odtworzyć) zasoby zniszczone i zużyte podczas prowadzonych działań.

Z czasem światowe trendy w zarządzaniu kryzysowym zaczęły się zmieniać. W ramach Unii Europejskiej, Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/EU zmodyfikowała Unijny Mechanizm Ochrony Ludności. Zgodnie z jego postanowieniami zakłada się równoległą realizację dwóch procesów:

  • minimalizację możliwości wystąpienia zdarzenia lub skutków z nim związanych (czyli minimalizację ryzyka);
  • oraz przygotowanie się na wystąpienie zdarzenia (znane pod pojęciem osiągania gotowości).

Analogiczne podejście zawiera przyjęty na forum ONZ Ramowy Program Działań z Sendai na lata 2015-2030 na rzecz ograniczenia ryzyka katastrof. W tym dokumencie również postawiono na zapobieganie klęskom żywiołowym w oparciu o ocenę i zarządzanie ryzykiem. W obu dokumentach kluczowymi są trzy pojęcia:

  • zapobieganie;
  • ocena ryzyka;
  • zarządzanie ryzykiem.

Pojęcia te nie są nowe w publicznym zarządzaniu kryzysowym, jednak do tej pory były i są stosowane głównie w odniesieniu do bezpieczeństwa systemów infrastruktury krytycznej. Zapewnienie tego bezpieczeństwa rozpoczyna się od:

  • określenia celów działania danej organizacji, wskazania procesów pozwalających na osiągnięcie tych celów;
  • przypisania każdemu procesowi niezbędnych zasobów;
  • i na tej podstawie dokonanie analizy zagrożeń, których wystąpienie mogłoby ograniczyć dostępność do zasobów.

Mając zinwentaryzowane zagrożenia można dokonać oceny ryzyka i przyjąć strategię postępowania z ryzykiem. W skali całego państwa świadomość ryzyka pozwala na prowadzenie planowania strategicznego, co niektóre kraje już wdrożyły.

Jednak włączenie zarządzania ryzykiem w obszar zarządzania kryzysowego nie będzie sprawą łatwą. Dzisiejsze dokumenty planistyczne tworzone przez RCB, zgodnie z ustawą o zarządzaniu kryzysowym, zachowują ważność przez dwa – trzy lata. Jedynie Narodowy Program Ochrony Infrastruktury Krytycznej ma sześcioletni horyzont czasowy. W planowaniu strategicznym natomiast, działania są planowane w perspektywie 20 – 30 lat. Takie strategie sektorowe już w Polsce posiadamy, ale brakuje dokumentu, który by się odnosił do wszystkich zidentyfikowanych rodzajów ryzyka.

Drugie wyzwanie jakie stoi przed podmiotami zarządzania kryzysowego to wdrożenie podejścia procesowego. Podejście procesowe i zarządzanie ciągłością działania dzisiaj dotyczy zarówno podmiotów prywatnych jak i administracji. Postępująca cyfryzacja usług świadczonych przez administrację powoduje, że metody i narzędzia zapewnienia bezpieczeństwa podmiotów prywatnych, operatorów infrastruktury krytycznej i samej administracji przestają się różnić. Ten fakt jasno wskazuje, że zarządzanie kryzysowe dzisiaj bazuje na osiągnięciach nauk o bezpieczeństwie, ale coraz częściej sięga też po narzędzia i metody wypracowane przez nauki o zarządzaniu, funkcjonujące w ramach nauk ekonomicznych. Pytanie o podbudowę naukową zarządzania kryzysowego realizowanego w ramach administracji publicznej pozostaje ciągle otwarte.

Wspomniana infrastruktura krytyczna i jej ochrona również przeszły wiele zmian. Zaczynaliśmy od podejścia obiektowego, aby ostatecznie wytypować obiekty IK biorąc pod uwagę jednocześnie dwa aspekty – usługi świadczone w ramach każdego z systemów i obiekty niezbędne do jej zapewnienia. Obiekty te są typowane z punktu widzenia bezpieczeństwa państwa. Przed nami jednak kolejne wyzwanie. Przejście na wyłącznie usługowe wyłanianie IK z podziałem na poziom krajowy, branżowy i lokalny. To podejście usługowe oznacza, że to obywatel i jego potrzeby są wyróżnikiem co jest krytyczne, a co nie.

Mówiąc o infrastrukturze krytycznej na myśl przychodzi – bezpieczeństwo państwa, czyli ciąg zaplanowanych i skoordynowanych działań w celu zapewnia jego funkcjonowania. Traktowanie usług świadczonych przez infrastrukturę krytyczną jako elementu bezpieczeństwa państwa prowadzi do jednego, generalnego wniosku. Administracja publiczna, bez której funkcjonowanie nowoczesnego społeczeństwa jest utrudnione, a nawet niemożliwe, też powinna być uznana za infrastrukturę krytyczną. Jak zapewnić bezpieczeństwo usług świadczonych przez administrację? Wspominałem o tym wcześniej w kontekście ochrony infrastruktury krytycznej, ale powtórzę – zastosować zasady obowiązujące w zarządzaniu kryzysowym – zminimalizować możliwości wystąpienia zdarzenia zakłócającego funkcjonowanie administracji oraz przygotować się na ewentualne wystąpienie zdarzenia.

Jedynym, skutecznym sposobem zapewnienia bezpieczeństwa państwa to budowanie jego odporności. Największe doświadczenie w zakresie tworzenia standardów w tym obszarze ma NATO. Budowanie odporności jest niezwykle istotne zawłaszcza w kontekście zagrożeń hybrydowych, z którymi dzisiaj zmaga się wiele państw i dotyczą one zarówno sfery militarnej jak i cywilnej.

Czym są zagrożenia hybrydowe? Jaką rolę odgrywa czy może odegrać w przeciwdziałaniu im zarządzenie kryzysowe?

Na potrzeby dokumentów planistycznych, zagrożenie hybrydowe definiuje się jako zaplanowane i skoordynowane działania prowadzone przez podmioty państwowe i/lub niepaństwowe w sposób skryty i utrudniający przypisanie komuś odpowiedzialności za nie, które zmierzają do osiągnięcia celów politycznych i strategicznych oraz łączą różne środki wywierania nacisku i uzależniania od potencjalnego agresora, takie jak polityczne, militarne, ekonomiczne, społeczne, prawne czy informacyjne, w tym z wykorzystaniem mniejszości narodowych, etnicznych i religijnych.

Ta definicja, mimo że wydaje się być kompletną, może okazać się niewłaściwą, gdyż permanentną cechą zagrożeń hybrydowych jest zaskoczenie. Przeciwnik zawsze poszukuje takich narzędzi i takich podatności, aby zaatakowany nie był w stanie adekwatnie reagować. Jak zatem, mając świadomość czym są zagrożenia hybrydowe, budować odporność administracji publicznej, infrastruktury krytycznej czyli mówiąc wprost – państwa. Jak wyeliminować element zaskoczenia?

W mojej ocenie na budowanie odporności należy spojrzeć z innej perspektywy. Skoro spodziewamy się zaskoczenia, to nie możemy analizować zagrożeń (gdyż ich charakteru nie znamy) i nie możemy zakładać, że uda się wyeliminować ich przyczyny. Czyli rezygnujemy z podejścia przyczynowego, zgodnie z którym znając źródło zagrożenia i przeciwdziałając jego wystąpieniu możemy zminimalizować skutki. To co w zamian? Spójrzmy na budowanie odporności poprzez usuwanie podatności na zagrożenia. Musimy sobie uświadomić dzięki jakim procesom działa nasza instytucja, organizacja, urząd itd. Wyszczególnić te, które są krytyczne z punktu widzenia naszej organizacji lub z punktu widzenia obywateli. Jeżeli uzyskamy pewność, że procesy krytyczne będą działały pomimo wystąpienia sytuacji kryzysowej, to możemy mówić o uzyskaniu odporności. Odporności na każde przewidywalne zagrożenie, a nawet takie, które jeszcze nie zostało rozpoznane.

W kontekście zagrożeń hybrydowych, gdzie jak wspominałem, kluczowym elementem jest zaskoczenie – budowanie odporności poprzez zapewnienie funkcjonowania procesów krytycznych jest niezwykle istotne. Dotyczy to nie tylko obszaru bezpieczeństwa cybernetycznego, z którym najczęściej kojarzą nam się działania hybrydowe, czy ciągłości funkcjonowania infrastruktury krytycznej, ale również, a może przede wszystkim bezpieczeństwa państwa.

KOMENTARZ

W ciągu dziesięciu lat zmieniało się podejście do zarządzania kryzysowego, a wraz z nim i Rządowe Centrum Bezpieczeństwa. Zmieniała się także ustawa o zarządzaniu kryzysowym. Wydarzenia minionej dekady i sytuacje kryzysowe, z którymi mieliśmy do czynienia oraz zdobyte doświadczania pokazują nam, że ustawa musi stale ewoluować, aby móc stanowić odpowiedź na zmieniające się zagrożenia. Dlatego też pracujemy obecnie nad propozycją zmian w tej ustawie. Zmiany są niezbędne, aby jeszcze sprawniej zarządzać kryzysami, a obywatele mieli pewność, że ich bezpieczeństwo i bezpieczeństwo państwa jest priorytetem dla administracji publicznej.