Witold Skomra
Rządowe Centrum Bezpieczeństwa
13 grudnia 2019 r. odbyło się kolejne, siódme już, Krajowe Forum Ochrony Infrastruktury Krytycznej. Forum jak zwykle zgromadziło operatorów IK, przedstawicieli ministrów nadzorujących poszczególne systemy IK, wojewodów i przedstawicieli nauki. Mimo, że było to kolejne spotkanie w tym gronie, miało ono inny charakter niż poprzednie z uwagi na dwie okoliczności. Po pierwsze po 2 latach przygotowań, RCB rozpoczęło proces zmiany podejścia do wyłaniania infrastruktury krytycznej. Z podejścia obiektowo – systemowego w najbliższych latach zostanie wdrożone podejście usługowo – systemowe. Jest to podejście analogiczne do tego, które już zostało zastosowane przy wdrażaniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. Druga okoliczność, wskazująca na szczególny charakter Forum, to zbliżający się koniec funkcjonowania obowiązującej wersji Narodowego Programu Ochrony Infrastruktury Krytycznej (NPOIK) – rok 2020 powinien zaowocować nową wersją programu. Podjęcie prac uzależnione jest jednak od przebiegu prac legislacyjnych nad nowelizacją ustawy o zarządzaniu kryzysowym, która m.in. diametralnie zmieni krąg podmiotów zaangażowanych w ochronę IK poprzez ustanowienie kategorii infrastruktury lokalnej nadzorowanej przez poszczególnych wojewodów.
Kiedy w roku 2013 przyjmowano pierwszą wersję NPOIK, zakładano, że zaplanowane cele zostaną osiągnięte w ciągu 6 lat licząc od 2014 roku. Zbliżamy się więc do wyznaczonego terminu. Zanim jednak nowy NPOIK zostanie opracowany, warto podsumować osiągnięcia i porażki dotychczasowej jego wersji w kilku danych liczbowych, zaprezentowanych podczas Forum. W czasie pierwszego Krajowego Forum Ochrony IK które odbyło się 4 października 2013. na Stadionie Narodowym w Warszawie, w ramach infrastruktury krytycznej funkcjonowało 169 operatorów odpowiedzialnych za bezpieczeństwo 760 obiektów. Dzisiaj funkcjonuje 128 operatorów i 565 obiektów. Ten pozorny spadek liczby zarówno operatorów, jak i obiektów jest głównie skutkiem procesów konsolidacyjnych w sektorze telekomunikacji i w bankowości. Coraz częściej dostępem do transmisji danych zarządzają scentralizowane systemy teleinformatyczne, zaś klasyczna telefonia oparta o centrale wojewódzkie przestała istnieć. Podobny proces konsolidacji dotknął sektor bankowy, gdzie w miejsce samodzielnych oddziałów powstały ogólnokrajowe korporacje zarządzane w jednolity sposób z wykorzystaniem zintegrowanych narzędzi informatycznych. W efekcie mniejsza ilość operatorów i obiektów IK oznacza dużo poważniejsze skutki społeczne ewentualnej dysfunkcji usług świadczonych przez tych operatorów. Dlatego tak istotnym jest fakt, że ponad 80% obiektów IK posiada funkcjonujące plany ochrony spełniające wymagania opisane w NPOIK.
Kolejny ważny aspekt, omówiony w czasie ostatniego Forum IK, to zintegrowanie procesu wyłaniania operatorów usług kluczowych w rozumieniu ustawy o cyberbezpieczeństwie i w rozumieniu ustawy o zarządzaniu kryzysowym. Problem wynika z faktu, że w ramach Unii Europejskiej obowiązują dwie niespójne regulacje. Jedna dotycząca wyłaniania i ochrony Europejskiej Infrastruktury Krytycznej, a druga, tzw. dyrektywa NIS, dotycząca wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. W efekcie wyłoniono operatorów usług kluczowych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa, operatorów IK w rozumieniu ustawy o zarządzaniu kryzysowym i takich, którzy podlegają obu tym regulacjom jednocześnie. Pamiętając, że ochrona cyber dotyczy wszystkich operatorów IK i wszystkich form ochrony obiektu IK, celem strategicznym powinno być takie dobranie kryteriów wyłaniania infrastruktury krytycznej, by operator usługi kluczowej wskazał jaką infrastrukturą krytyczną zarządza we własnej organizacji i ta infrastruktura powinna się znaleźć w jednolitym wykazie obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej z podziałem na systemy. W efekcie, jak podkreślono w czasie Forum, każdy operator usługi kluczowej powinien być operatorem infrastruktury krytycznej. Pozostaje natomiast do dyskusji, czy powinna to być infrastruktura uznawana za lokalną, czy krajową.
Omawiana szeroko w czasie Forum aktualizacja postanowień NPOIK nie wynika wyłącznie z terminów zawartych w tym programie i konieczności uwzględnienia dyrektywy NIS. We wszystkich dokumentach planistycznych należy uwzględnić proces przekształceń własnościowych w organizacjach biznesowych, a także inne zmiany w otoczeniu prawnym, jak również zmiany w środowisku bezpieczeństwa. Odnosząc się do tego ostatniego zagadnienia, jak podkreślono w czasie Forum, warto zauważyć, że do niedawna ochrona IK była kojarzona wyłącznie z potrzebą utrzymania na akceptowalnym poziomie jakości usług świadczonych na rzecz obywatela. Dzisiaj, w dobie zagrożeń hybrydowych, ochrona IK staje się elementem przygotowań obronnych, zadaniem realizowanym w ramach zobowiązań sojuszniczych w ramach NATO i stanowi zasadniczy komponent budowania odporności państwa na ewentualne zakłócenie i utrzymania ciągłości świadczenia usług kluczowych na wypadek, gdyby to zakłócenie faktycznie wystąpiło. Innymi słowy, klasycznie rozumiane zarządzanie bezpieczeństwem jest zastępowane takimi pojęciami jak „continuity” czyli ciągłość oraz „resilience” czyli odporność. Te dwa ujęcia powinny znaleźć swoje miejsce w nowej wersji NPOIK obok znanego już nam wszystkim kompleksowego zarządzania bezpieczeństwem opartego o tzw. sześciopak czyli sześć form zapewnienia minimalnego poziomu bezpieczeństwa obiektu IK. Podsumowując tę część Forum stwierdzono, że przestajemy się koncentrować wyłącznie na utrzymaniu wysokiego poziomu ochrony (zakładamy, że to już potrafimy), lecz w sposób planowy powinniśmy zapobiegać przyszłym zdarzeniom.
Poza wskazaniem kierunków zmian w zakresie ochrony IK, spotkanie miało na celu omówienie szeregu problemów, jakie dotykają operatorów. Najważniejsze poruszone zagadnienia to ochrona cyber, możliwości wprowadzenia do porządku prawnego minimalnych standardów w zakresie bezpieczeństwa fizycznego, osobowego i teleinformatycznego oraz konieczność włączenia kultury bezpieczeństwa do podstawowych procesów biznesowych u operatorów IK. Odrębnym blokiem zagadnień omawianych w czasie Forum była możliwość zastosowania do ochrony obiektów IK systemów antydronowych. W czasie debaty z udziałem przedstawicieli Ministerstwa Infrastruktury, Polskiej Agencji Żeglugi Powietrznej, Urzędu Lotnictwa Cywilnego, Urzędu Komunikacji Elektronicznej oraz Zarządu Morskiego Portu Gdynia S.A. udało się jedynie wyspecyfikować listę problemów, jakie należy przezwyciężyć, aby zastosowanie ochrony antydronowej było możliwe. Stwierdzono ponadto, że aby prace nad tym zagadnieniem zakończyły się sukcesem, konieczne jest utworzenie zespołu lub grupy eksperckiej o charakterze ponadresortowym.
Zasadniczą konkluzją dyskusji podczas siódmego Krajowego Forum Ochrony IK jest postulat, aby poza możliwością przedstawienia kierunków zmian prawnych, spotkania tego typu stwarzały okazję do omówienia poszczególnych problemów, z jakimi spotykają się operatorzy, w formie zajęć warsztatowych. Sugestia ta zostanie uwzględniona przy organizacji kolejnego Forum na szczeblu ogólnokrajowym.