Ochrona infrastruktury krytycznej nabiera coraz większego znaczenia biorąc pod uwagę bezpieczeństwo obywateli i zapewnienie ciągłości funkcjonowania państwa. Stąd cykliczne, organizowane przez Rządowe Centrum Bezpieczeństwa, spotkania z operatorami IK, aby wymienić się doświadczeniami i dobrymi praktykami – 13 grudnia odbyło się 7. Krajowe Forum Ochrony Infrastruktury Krytycznej.
7. Krajowe Forum Ochrony Infrastruktury Krytycznej było szczególne ze względu na zmianę podejścia do wyłaniania infrastruktury krytycznej. Do tej pory proces wyłaniania IK skupiał się na obiektach i systemach. Doświadczenie pokazało, że podejście to należy zmienić na usługowo-systemowe, ponieważ ważniejsze jest zapewnienie ciągłość świadczenia usług na rzecz bezpieczeństwa obywateli i funkcjonowania państwa niż ochrona konkretnego obiektu.
„Dojrzeliśmy do tego, żeby zmienić podejście do wyłaniania infrastruktury krytycznej z obiektowego na usługowe” – podkreślił Krzysztof Malesa, zastępca dyrektora Rządowego Centrum Bezpieczeństwa, otwierając Forum.
Kolejnym powodem organizacji Forum była aktualizacja Narodowego Programu Ochrony Infrastruktury Krytycznej (NPOIK). Aktualizacja postanowień NPOIK nie wynika wyłącznie z terminów zawartych w tym programie i konieczności uwzględnienia w nim dyrektywy NIS[1], musi uwzględnić procesy przekształceń własnościowych w organizacjach biznesowych, inne zmiany prawne, jak również zmiany w obszarze bezpieczeństwa. Do niedawna ochrona IK była kojarzona wyłącznie z potrzebą utrzymania, na akceptowalnym poziomie jakości usług świadczonych na rzecz obywatela.
Dzisiaj, w dobie zagrożeń hybrydowych, ochrona IK staje się elementem przygotowań obronnych, zadaniem realizowanym w ramach zobowiązań sojuszniczych w ramach NATO i stanowi zasadniczy element budowania odporności państwa na ewentualne zakłócenie ciągłości świadczenia usług kluczowych. Innymi słowy, klasycznie rozumiane zarządzanie bezpieczeństwem powinno być zastąpione takimi pojęciami jak „continuity” czyli ciągłość oraz „resilience” czyli odporność. Właśnie te dwa ujęcia powinny znaleźć swoje miejsce w nowej wersji NPOIK, obok kompleksowego zarządzania bezpieczeństwem. Punk ciężkości powinien zostać przesunięty z wyłącznego skupiania się na utrzymaniu wysokiego poziomu ochrony, na rzecz planowego zapobiegania przyszłym zdarzeniom.
„Celem ochrony obiektu nie jest posiadanie planu, ale zapewnienie ciągłości usług” – podkreślił Witold Skomra, doradca Rządowego Centrum Bezpieczeństwa, szef Wydziału Ochrony Infrastruktury Krytycznej – omawiając przygotowania do opracowania Narodowego Programu Ochrony Infrastruktury Krytycznej.
Ponadto, podczas Forum omówiono także:
- budowanie strategii bezpieczeństwa w kontekście identyfikacji czynników zarządzania bezpieczeństwem procesowym na szczeblu kierownictwa korporacji przemysłowej;
- zadania operatorów IK w zakresie cyberbezpieczeństwa;
- system wczesnego ostrzegania o zagrożeniach występujących w sieci Internet;
- zespół zadaniowy do spraw opracowania standardów zabezpieczeń antyterrorystycznych i reguł współdziałania dotyczących IK
– bezpieczeństwo fizyczne, osobowe i teleinformatyczne; - kulturę bezpieczeństwa w infrastrukturze krytycznej i jej wpływ na zachowanie ciągłości biznesowej
- bezpieczeństwo osobowe w świetle art. 6 d ustawy o zarządzaniu kryzysowym;
- zagrożenia nieautoryzowanymi lotami bezzałogowych statków powietrznych dla lotnictwa cywilnego.
Krajowe Forum Ochrony Infrastruktury Krytycznej organizowane jest cyklicznie – jest platformą do wymiany informacji oraz doświadczeń. Zobowiązanie do przeprowadzenia Forum zostało zapisane w Narodowym Programie Ochrony Infrastruktury Krytycznej.
Wzięli w nim udział przedstawiciele ministerstw odpowiedzialnych za poszczególne systemy ochrony infrastruktury krytycznej (IK), właściciele – operatorzy IK, przedstawiciele urzędów centralnych, służb, urzędów wojewódzkich oraz eksperci Rządowego Centrum Bezpieczeństwa.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.