Krzysztof Malesa, Rządowe Centrum Bezpieczeństwa

Tematyka IV Krajowego Forum Ochrony Infrastruktury Krytycznej (7 grudnia 2016 r.) współorganizowanego przez Rządowe Centrum Bezpieczeństwa, Kancelarię Prezesa Rady Ministrów i Ministerstwo Cyfryzacji wpisuje się w działania realizowane przez organizacje międzynarodowe, mające na celu wzmocnienie odporności państw członkowskich (NATO) oraz zapewnienie bezpieczeństwa kluczowych usług wspieranych przez systemy teleinformatyczne (UE).

Dwuletni cykl aktualizacji przyjmowanego przez Radę Ministrów Narodowego Programu Ochrony Infrastruktury Krytycznej umożliwia harmonizowanie działań na szczeblu krajowym z pracami na forach międzynarodowych, realizowanymi w odpowiedzi na dynamicznie zmieniające się środowisko bezpieczeństwa.

Narodowy Program Ochrony Infrastruktury Krytycznej [1] określa zasady współpracy pomiędzy jego uczestnikami – pojmowanej jako kluczowy element zapewniający spójność podejmowanych decyzji i skuteczność realizowanych działań. Współpraca ta jest realizowana na trzech poziomach: zarządczym (poprzez szkolenia, konferencje, doradztwo i ćwiczenia), operacyjnym (poprzez krajowy mechanizm ochrony IK) oraz na poziomie strategicznym – w ramach Krajowego Forum Ochrony IK wspieranego przez fora regionalne i systemowe.

Plenarne spotkania Krajowego Forum OIK odbywają się nie rzadziej niż raz do roku, jednak prace zainicjowane podczas Forum są kontynuowane poza jego posiedzeniami – między innymi w grupach roboczych. Pierwsze zostały powołane na III Krajowym Forum OIK (po pierwszej aktualizacji NPOIK i po zakończeniu działań przygotowawczych, edukacyjnych i uświadamiających). Przedmiotem prac jednej z powołanych wówczas grup stały się kryteria wyznaczania infrastruktury krytycznej. Do prac w grupie roboczej pod kierownictwem przedstawiciela Rządowego Centrum Bezpieczeństwa zgłosili się reprezentanci Zarządu Portów Morskich Świnoujście S.A., PGNiG S.A., PGNIG Termika SA, GDDKiA, Enea Wytwarzanie Sp. z o. o., Ministerstwa Administracji i Cyfryzacji oraz Orlen S.A.

W pierwszym etapie prac zidentyfikowano podstawowe problemy dotyczące wyznaczania IK, takie jak nieadekwatność kryteriów przekrojowych do niektórych systemów, czy też pominięcie w kryteriach niektórych elementów wchodzących w skład systemów IK, które jednak mają wpływ na ciągłość świadczenia określonych usług. Stwierdzono również, że wysokość progów kryteriów przekrojowych zawartych w Narodowym Programie Ochrony IK sprawia, że jako IK nie zostaną zakwalifikowane obiekty krytyczne z punktu widzenia niższych szczebli zarządzania, takich jak gmina czy powiat.
Odpowiedzią na zidentyfikowane problemy jest proponowane przez grupę roboczą nowe podejście do wyznaczania IK, oparte nie na obiektach, lecz na usługach. Zastosowanie takiego podejścia, przynajmniej do części IK, umożliwiłoby identyfikację usług kluczowych w każdym systemie oraz pozwoliłoby na ocenę skutków niedostępności tych usług – dla każdego z systemów oddzielnie.

USŁUGI KLUCZOWE: DYREKTYWA NIS

Analogiczne podejście – oparte nie na obiektach, lecz na usługach – zostało przedstawione w dyrektywie w sprawie bezpieczeństwa sieci i systemów teleinformatycznych (tzw. dyrektywa NIS) opublikowanej 21 kwietnia 2016 roku przez Radę Unii Europejskiej i zatwierdzonej przez unijny Parlament 6 lipca 2016. Państwa członkowskie są zobowiązane do włączenia zapisów tej dyrektywy do prawa krajowego w ciągu 21 miesięcy od czasu jej przyjęcia.
Dyrektywa NIS jest pierwszym ogólnounijnym aktem dotyczącym bezpieczeństwa teleinformatycznego, który harmonizuje środki bezpieczeństwa teleinformatycznego stosowane przez dostawców usług cyfrowych oraz usług kluczowych. Dyrektywa wprowadza również mechanizmy informowania o incydentach poprzez system punktów kontaktowych i nakłada na państwa członkowskie pewne obowiązki legislacyjne, m. in. opracowanie rządowej strategii bezpieczeństwa w cyberprzestrzeni.

Należy zwrócić uwagę na wyraźną analogię pomiędzy wprowadzonym dyrektywą NIS podejściem opartym na ochronie usług kluczowych, a polskim systemem ochrony infrastruktury krytycznej. Infrastruktura krytyczna w Polsce jest wyznaczana de facto dlatego, że wspiera dostawy najważniejszych usług [2]. Można więc założyć, że znaczna część operatorów infrastruktury krytycznej (w rozumieniu ustawy o zarządzaniu kryzysowym) po wdrożeniu dyrektywy NIS zostanie operatorami usług kluczowych. Wyzwaniem będzie wówczas zharmonizowanie dwóch obszarów, z których pierwszy (ochrona IK), z uwagi na niejawność kryteriów jej wyznaczania, podlega rygorom ustawy o ochronie informacji niejawnych.

Z uwagi na fakt, że wykaz polskiej infrastruktury krytycznej jest dokumentem o klauzuli „tajne” (kryteria wyznaczania IK stanowią niejawny załącznik do NPOIK), trudno sobie wyobrazić, że sposoby identyfikacji usług kluczowych zostaną ujawnione w prawie powszechnie obowiązującym. Należy raczej dążyć do osiągnięcia efektu synergii i osadzić krajowy system cyberbezpieczeństwa w systemie kierowania bezpieczeństwem narodowym w taki sposób, aby przynajmniej częściowo wykorzystywał rozwiązania wprowadzone już wcześniej w ramach zarządzania kryzysowego i ochrony infrastruktury krytycznej.

BUDOWANIE ODPORNOŚCI: PLANOWANIE CYWILNE NATO

Komitet Planowania Cywilnego NATO (NATO CEPC), w którym Polskę reprezentuje przedstawiciel Rządowego Centrum Bezpieczeństwa, prowadzi zaawansowane prace na rzecz określenia czynników, stanowiących o poziomie odporności państwa członkowskiego na współczesne zagrożenia, w tym na tzw. zagrożenia hybrydowe.

W opracowanym na forum CEPC dokumencie (Compendium of Resilience Guidelines for the Seven Baseline Requirements; NATO Unclassified) wskazano obszary decydujące o stopniu odporności państwa. Obejmują one ciągłość działania administracji publicznej, system zaopatrzenia w energię, wodę i żywność oraz system łączności i transportu. Jako kwestie bezpośrednio związane z odpornością wskazano również zdolność do reagowania na masowy napływ ludności oraz do postępowania przy zdarzeniach o charakterze masowym (ze znaczną liczbą ofiar).

Do poszczególnych obszarów na forum CEPC opracowywane są szczegółowe wytyczne i kryteria służące do samooceny stopnia odporności w danym obszarze. Warto nadmienić, że obszar pierwszy – ciągłość działania administracji publicznej – był przedmiotem zorganizowanego przez RCB, KPRM, NATO i FEMA seminarium w Warszawie w dniach 21-22 września 2016 r., podczas którego uzgodnione zostały kolejne wytyczne i kryteria dla tego obszaru.

Wymienione powyżej obszary odporności państwa w znacznej części pokrywają się z systemami, w których w Polsce jest wyznaczana infrastruktura krytyczna i dla których wprowadzono krajowe wytyczne i zestawy dobrych praktyk zawarte m.in. w Narodowym Programie Ochrony Infrastruktury Krytycznej (pozostałe czynniki są opisane w Krajowym Planie Zarządzania Kryzysowego). Z tego względu wytyczne NATO – opracowane z uwzględnieniem dobrych praktyk i rozwiązań sprawdzonych w 28 państwach członkowskich Sojuszu – będą stanowić cenny punkt odniesienia do działań krajowych i zostaną wzięte pod uwagę przy kolejnej aktualizacji Narodowego Programu Ochrony IK.

Należy przy tym podkreślić, że znaczna część opisanych powyżej rozwiązań jest już wdrażana w polskiej administracji publicznej. Przyjęty uchwałą Rady Ministrów Narodowy Program Ochrony IK jest pierwszym dokumentem rządowym nakładającym na ministrów odpowiedzialnych za systemy infrastruktury krytycznej obowiązek wdrożenia planów ciągłości działania w obsługujących ich urzędach.

KOMENTARZ
Utrzymanie ciągłości działania kluczowych usług jest nie tylko nieodzownym elementem zapewnienia bezpieczeństwa narodowego, ale też stanowi podstawowy element ładu korporacyjnego i dobrze ugruntowaną praktykę biznesową. W sytuacji, w której dostawcami znacznej części kluczowych usług są podmioty prywatne, niezmiernie istotne jest włączenie ich, na zasadzie współodpowiedzialności, w działania mające zapewnić bezpieczeństwo obywateli i stabilną gospodarkę. Osiągnięcie efektu synergii jest jednak zależne nie tylko od efektywnej współpracy publiczno-prywatnej, ale też od spójnego podejścia administracji publicznej do kwestii ochrony podstawowych usług. Spójność tych działań powinno zapewnić ponadresortowe forum integrujące na szczeblu Rady Ministrów inicjatywy z różnych działów administracji rządowej. W tym celu optymalne byłoby wykorzystanie potencjału Rządowego Zespołu Zarządzania Kryzysowego.

[1] http://archiwum.rcb.gov.pl/wp-content/uploads/Narodowy-Program-Ochrony-Infrastruktury-Krytycznej-2015-Dokument-G%C5%82%C3%B3wny-tekst-jednolity.pdf
[2] Zgodnie z definicją zawartą w ustawie o zarządzaniu kryzysowym infrastrukturę krytyczną stanowią systemy oraz wchodzące w ich skład obiekty budowlane, urządzenia, instalacje i usługi.